Distruzione documenti cartacei: la normativa europea non scherza
Contenuto a cura di
Redazione Magazine LyrecoLa distruzione dei documenti cartacei che contengono dati sensibili è una prassi da tenere in alta considerazione dalle aziende: il rischio è quello di incorrere in gravi sanzioni e grossi guai legali.
In base all’articolo 15 del cosiddetto “Codice della Privacy” (196/2003) pubblicato sulla Gazzetta Ufficiale,
“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile”.
L’articolo 2050 qui menzionato è il seguente:
“Responsabilita' per l'esercizio di attivita' pericolose - “Chiunque cagiona danno ad altri nello svolgimento di una attivita' pericolosa, per sua natura o per la natura dei mezzi adoperati, e' tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.”
Il codice legislativo 196/2003 è stato abrogato e sostituito dalla normativa privacy europea, ovvero il regolamento 2016/679 (GDPR), che però non è certo meno severo in materia di sanzioni.
Il GDPR, entrato in vigore dal 25 maggio 2018, ha cambiato in maniera radicale il modo in cui le aziende sono tenute a trattare i dati personali dei propri dipendenti, collaboratori e soprattutto dei propri clienti. Essere compliant rispetto a quanto previsto dalla normativa vigente è una necessità per tante imprese non solo perché, in questo modo, non incorrono in sanzioni pecuniarie onerose, ma anche per dimostrarsi attenti nei confronti di un tema così delicato ed attuale.
Andiamo a vedere, nello specifico, i dettagli sulla distruzione dei documenti cartacei.
Distruzione dei documenti cartacei, sì, ma quali?
Tutti i documenti cartacei delle aziende che contengono possibili dati sensibili dei clienti devono seguire la procedura di distruzione e smaltimento descritta dalla normativa.
Cosa si intende per dati sensibili? Ad esempio, possiamo menzionare:
- mail personale
- numero di telefono
- codice fiscale
Ma non solo. Il garante della privacy sintetizza così la definizione:
“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”
La normativa sulla distruzione dei documenti cartacei e le aspre sanzioni
Le aziende dell’Unione Europea sono tenute a trattare i dati personali “in modo tale da promuovere la sicurezza, inclusa la protezione contro trattamenti non autorizzati o illegali e contro perdite accidentali o danni - ciò grazie all’utilizzo di misure tecniche od organizzative”. Queste informazioni devono essere raccolte in condizioni rigorose e solo per scopi legittimi; coloro che recepiscono queste informazioni hanno la responsabilità di proteggerli da eventuali abusi, nel rispetto della normativa del GDPR.
In accordo con la normativa del GDPR, esistono sei principi sui quali si basa la protezione dei dati. Questi sono:
- Legalità, giustizia e trasparenza: i dati personali devono essere trattati in maniera legale, equa, trasparente.
- Restrizioni: è opportuno ricordare che la raccolta dei dati personali può essere effettuata solo in relazione a scopi specifici, espliciti e legittimi e - soprattutto - il loro utilizzo non può essere in disaccordo con gli scopi sopra indicati.
- Termini di conservazione: le imprese possono trattenere i dati in una forma che consenta al soggetto di essere identificato, non oltre il tempo necessario e in relazione agli scopi previsti dal regolamento. Di conseguenza, nel momento in cui non si ha più la necessità di disporre di certe informazioni, devono essere rimosse (se digitali) o distrutte (se si tratta di documenti cartacei).
- Accuratezza: è fondamentale correggere o cancellare le informazioni inesatte di cui si è in possesso.
- Riduzione al minimo dei dati: è opportuno che le aziende raccolgano solo le informazioni adeguate, rilevanti e limitate allo scopo per i quali devono essere utilizzati.
- Riservatezza e integrità: questi due principi fanno riferimento alle modalità sicure con cui i dati personali devono essere trattati.
Appare evidente come le aziende che desiderano agire nel rispetto della normativa GDPR devono munirsi di una serie di strumenti che gli consentano di operare nella legalità.
Il regolamento europeo 2016/679, all'articolo 5, sancisce che i documenti con dati personali vanno
“conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Alcuni documenti cartacei (ad esempio le scritture contabili) prevedono un obbligo di conservazione per 10 anni.
In questi casi è utile innanzitutto fornirsi di scatole da archivio dotate di specifiche etichette, che favoriscono il reperimento delle informazioni nel caso in cui il soggetto richieda accesso ai propri dati personali. Del resto, mantenere i dati ben organizzati in un archivio permette di rimanere conformi alla normativa e trasportare i documenti da un luogo all’altro in totale sicurezza.
Un dispositivo ancora più importante è però il distruggidocumenti: come suggerisce il nome stesso, si tratta di strumenti che possono eliminare in maniera sicura i dati cartacei quando non sono più utili. Utilizzando questo strumento i documenti, una volta distrutti, non possono più essere recuperati, né consultati.
Le aziende devono predisporre un flusso di cancellazione, testarlo ed essere in grado di dimostrare le modalità attraverso le quali trattano le informazioni personali. Tutti coloro non ottemperano a quanto previsto possono incorrere in sanzioni fino a 20 milioni di Euro o di importo pari e superiore al 4% del fatturato globale dell’azienda.
Lo smaltimento dei documenti cartacei
La distruzione dei documenti cartacei non è l’ultimo passaggio obbligatorio: anche lo smaltimento dei residui non dev’essere affidato al caso. Infatti, anche se distrutti, non si possono gettare i documenti nella spazzatura: vanno inviati al macero.