Dematerializzazione dei processi: come relazionarla con

Ovviamente, come sottolinea il Dottor. Iaselli, quando parliamo di dematerializzazione entriamo in un campo molto delicato che è quello della gestione elettronica documentale, ossia la gestione informatica dei documenti in modalità avanzata. Ritengo di dover precisare, grazie alle informazioni che mi sono pervenute da tali esperti, come essa abbia assunto una tale denominazione, ossia dal fatto che si tratta di una soluzione che privilegia ed esalta essenzialmente le potenzialità legate alla gestione informatizzata dei documenti e degli archivi. Sempre dalle delucidazioni fornitemi a riguardo dal Dottor. Iaselli, ritengo precisare come tale gestione documentale consista in una macro-categoria che comprende attività assai eterogenee, che variano a seconda del grado di funzionalità che si desideri attuare, ma che trovano una logica ben precisa per il loro accorpamento: ovvero il loro comune presupposto fondamentale, che è quello della dematerializzazione dei documenti cartacei e quindi della disponibilità degli stessi a livello informatico. Ovviamente però, come sottolinea il Dottor. Balboni, la vera dematerializzazione non può ridursi ai processi di digitalizzazione dei documenti, bensì consiste nel faticoso e complesso intervento di semplificazione dei processi, e di conseguenza, di diminuzione delle fasi e dei passaggi del processo decisionale, ossia tutte fasi queste, che dovranno fare i conti con la materia della protezione dei dati personali. Entriamo, naturalmente, nel campo della sicurezza informatica dove è necessario attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati degli accessi non autorizzati,

125

intenzionali o meno, per garantire la riservatezza, nonché eventuali usi illeciti quali la divulgazione, la modifica e la distruzione. La Dott.ssa Capoluongo rispondendomi al quesito di come esattamente la dematerializzazione dei processi possa relazionarsi ai requisiti del GDPR, ha richiamato, il più volte citato, principio di accountability. Semplificandolo all’estremo ha sottolineato come tale principio preveda che il titolare debba essere cosciente di quella che è la sua organizzazione, di quali siano i dati e di come essi vengono trattati254_. In tale senso quindi dovrà strutturare delle misure logiche tecniche ed organizzative che siano adeguate al rischio. Ha evidenziato inoltre come la dematerializzazione dei processi debba seguire le stesse regole di sicurezza che si applicano ad ogni processo e come il Regolamento dia delle linee generali a cui potersi rifare255_{. Fra quest’ultime infatti} emerge:

 L’anonimizzazione: ossia quel trattamento dei dati che ha l’obiettivo di impedire l’identificazione dell’interessato e che è in grado di rimuovere definitivamente ogni elemento riconoscibile che possa anche in un futuro permettere di risalire ad un soggetto identificandolo256_;

 La pseudonimizzazione: ossia una tecnica di cifratura che permette di conservare i dati personali e sensibili di un soggetto impedendo che essi siano attribuibili ad esso senza utilizzare informazioni aggiuntive, a condizione che quest’ultime siano mantenute in modo separato e soggette a misure tecniche e organizzative volte a fare in modo che i dati personali non vengono attribuiti a una persona fisica identificata o identificabile257_{. Si distingue}

254 _{Il titolare deve inoltre darne prova.} 255 _{Art. 32 GDPR.}

256 _{Cfr. https://blog.dps40.it/index.php/2018/10/01/anonimizzazione-e-}

pseudonimizzazione-dei-dati/.

126

dall’anonimizzazione proprio perché il dato non è completamente anonimo, in quanto essa non elimina ogni elemento identificativo dei dati, ma diminuisce i collegamento di un set di dati con l’originale identità di un soggetto, per esempio utilizzando la crittografia258_;

 La cifratura259_{: ossia quel sistema volto a rendere un insieme} di informazioni illeggibile a coloro che non hanno la chiave per decodificarlo260_;

 La resilienza dei sistemi: ossia, come già trattata, è la possibilità di resistere agli attacchi informatici e quindi è la capacità di reagire agli eventi avversi261_;

 Le procedure di audit: ossia quelle procedure poste in essere da revisori esterni per valutare se i comportamenti adottati siano o meno conformi al GDPR262_.

Occorre precisare che, ognuna di queste misure, si tradurrà in azioni differenti a seconda che si parli di sicurezza organizzativa/fisica263 _{o di} sicurezza logica264_{. Come sottolinea il Dottor. Iaselli, notevole rilevanza} viene attribuita dal legislatore comunitario anche al Disaster

Recovery265_{, per cui diventa fondamentale predisporre un piano}

specifico attraverso il quale si intenda fornire servizi volti all’analisi dei rischi di inoperatività del sistema EDP-informatico- e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di

258 _{Cfr. https://blog.dps40.it/index.php/2018/10/01/anonimizzazione-e-}

pseudonimizzazione-dei-dati/

259 _{Detta anche crittografia.}

260 _{Cfr. https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-} limportanza-della-cifratura-nella-protezione-dei-dati-personali/. 261 _{Cfr. https://www.cybersecurity360.it/soluzioni-aziendali/resilienza-contro-gli-} attacchi-informatici-linee-guida-per-le-aziende/. 262 _{Cfr. https://www.itgovernance.eu/blog/it/gdpr-come-eseguire-un-audit-interno-di-} verifica-della-conformita.

263 _{Anche detta: “sicurezza passiva” è un concetto abbastanza generale e comprende}

l’insieme di soluzioni che hanno lo scopo di impedire che un intruso, un estraneo o un non autorizzato possa accedere al luogo fisico dove i dati sono custoditi.

264 _{Anche detta sicurezza attiva è quella sicurezza volta ad impedire l’accesso ai}

luoghi digitali da parte di persone prive di autorizzazione.

127

emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’uso di macchine di soccorso da utilizzare in attesa della riattivazione. E come infine evidenzia il Dottor. Iaselli, in tali ambiti assumono particolare rilevanza sia la componente legale che quella tecnologica, che infatti devono essere complementari, al fine così di consentire il pieno rispetto delle disposizioni del GDPR.