{{feedLink}}

Non tutto è riciclabile. Il riuso di fogli ha messo nei guai una studentessa.

cancellazione Christian Bernieri - Tempo di lettura: 6 min.
(Aggiornato il )
Smaltimento abusivo di dati personali - ai generated image

Un caso curioso, ma decisamente istruttivo: una scuola è stata sanzionata con una multa di 2.000 euro per gestione inadeguata dei documenti cartacei destinati al macero, che sono stati riutilizzati, e per manifesta cialtroneria nel trattamento dei dati personali. Questo però l'ho aggiunto io, non sono parole del Garante.

Ma perché il titolo fa pensare che sia la studentessa ad essere nei guai, quando la sanzione è stata comminata alla scuola? La risposta è semplice: per me e agli occhi di ogni DPO, il vero problema riguarda solo chi ha subito il danno, ovvero chi vede i propri dati maltrattati, abusati e diffusi illecitamente. Il fatto che qualcuno venga sanzionato è irrilevante e non aiuta minimamente chi ha subito l'abuso. I buoi sono scappati dalla stalla, il latte è stato versato, il dentifricio è uscito dal tubetto... non si può rimetterlo dentro. Non c'è rimedio.

 

Scheda sintetica del provvedimento inviata dal sistema WOW... Watchdog of the Watchdog.

Il tema è interessante per due aspetti della gestione dei dati personali che solitamente vengono molto trascurati: la distinzione tra archivio e rifiuto e la corretta gestione della distruzione sicura dei documenti.

 

In particolare nel mondo fisico, si tende ad accumulare finché lo spazio lo consente. Ci troviamo così archivi immensi, faldoni polverosi e scatole che nessuno apre da lustri. Ogni tanto, capita che qualcuno prenda a cuore la questione e decida di metterci mano.

Può capitare quando lo spazio finisce, quando non si sa più dove mettere la nuova carta, quando crolla la soletta, quando il DPO segnala una criticità nella gestione documentale.

Qualunque sia la causa scatenante, le facce si fanno scure, vengono chiesti preventivi stellari per lo smaltimento e, come se questo non bastasse, arrivano tutti a metterci del loro.

I vari consulenti parlano di impatto  nella rendicontazione energetica, di indicatori di sostenibilità, di impronta di CO2, di KPI ecc.

 

Da Archivio a Rifiuto: il punto di non ritorno

In effetti, c'è un momento in cui avviene una trasformazione sostanziale: si passa da ARCHIVIO a RIFIUTO.

Capita esattamente quando "il detentore si disfi o abbia l’intenzione o abbia l’obbligo di disfarsi” di un archivio, un faldone, un documento. Questo significa che quando la carta sulla quale sono stampati i dati personali non è più desiderata, necessaria o utile al suo detentore, può essere considerato un rifiuto.

In quel momento tutto cambia.

Per un archivio contente dati personali "l'heure, c'est l'heure; avant l'heure, c'est pas l'heure; après l'heure, c'est plus l'heure".

Per dirla a modo nostro, un archivio deve essere conservato secondo una policy di retention, un tempo predefinito e non casuale: non si può distruggere prima del tempo, non lo si può tenere più del dovuto. L'azienda deve determinare il tempo di conservazione che, spesso, è molto ampio. L'unica certezza è che un archivio non possa essere conservato per un tempo indefinito oppure che il tempo dipenda da fattori estranei al trattamento (come la mancanza di spazio). Oltre a questo, l'archivio non può essere smaltito allegramente buttando tutto in un cassonetto (o usandolo come carta da riciclo per gli studenti). Questo è un potenziale data breach e molte aziende sono state sanzionate proprio per questo, incluse alcune ASL che hanno messo sul marciapiede scatoloni contenenti vecchi documenti clinici di gente comune. Follia. Per documenti cartacei è necessaria una preventiva distruzione del loro contenuto. Prima di tutto, è necessario distruggere i dati presenti sul supporto cartaceo, solo dopo si può pensare alla carta, qualificarla come rifiuto e gestirla. 

Al contrario, per un ammasso di rifiuti cartacei, il tempo di conservazione non è più una scelta del titolare ma dipende da parametri definiti delle leggi ambientali. Deposito temporaneo, conferimento, smaltimento. Se hai un rifiuto, lo puoi accumulare secondo precisi parametri e, in ogni caso, lo devi conferire almeno una volta all'anno o entro tre mesi se vengono superati i limiti volumetrici o quantitativi.

"Ghe pensi mi"

Buffa questa staffetta  in cui il GDPR passa il testimone (la carta) alla normativa ambientale. Raramente ho visto enti gestire i propri archivi in modo coerente con questo schema. Solitamente si semplifica molto, chiamando uno smaltitore che, gagliardo, rassicura tutti con un confortante "ghe pensi mi", porta via tutto e fine della faccenda.

Le cose sono leggermente più complicate e preoccupanti di quello che sembra. Il gagliardo smaltitore è, prima di tutto, un responsabile del trattamento. Va scelto per affidabilità e capacità di svolgere il lavoro commissionato, va sottoscritto un data protection agreement (o nomina a responsabile del trattamento), va istruito su cosa dovrà fare e come. Al termine delle operazioni, condotte secondo la norma UNI EN 15713, tutto dovrà essere documentato e certificato. Lui, anima candida, non sa cosa gli stiamo dando e, per la cronaca, non è affatto un rifiuto, è ancora un archivio pieno zeppo di dati. In pratica, non basta un mondezzaro qualsiasi, serve un professionista. 

Ma perché così tante aziende sbagliano nella gestione della fine del ciclo di vita degli archivi, confondendoli con semplici rifiuti da mandare al macero?

Beh, non serve Aaryan Shukla per risolvere questa equazione a colpo d'occhio:

  1. Definire un criterio per identificare i documenti da smaltire in modo sicuro e quelli meno critici ha un costo.
  2. Definire un tempo di conservazione e fare pulizia periodica ha un costo.
  3. Distruggere in modo sicuro i documenti cartacei ha un costo.
  4. Fare qualcosa per rispettare l'ambiente, diminuire i rifiuti, riciclare e riusare, e quindi diminuire il nostro impatto sul futuro del pianeta, ci fa apparire belli, bravi e coccolosi, e ci fa addirittura risparmiare.

A+B+C+D= catastrofe!

Però, tranquilli, abbiamo salvato l'ambiente e tantissimi cuccioli di foca!

A harp seal in the Gulf of St. Lawrence. Tier Und Naturfotografie J und C Sohns / Getty Images

Su questo blog ci sono altri 195 articoli.
Esplora, cerca, curiosa in giro...

 

Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è sì... allora una birra virtuale è d'obbligo!

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...