Quando si parla di software per la gestione documentale i requisiti e le caratteristiche che lo rendono “conforme” (inteso come compliant rispetto alla normativa vigente) sono anche quelli che lo rendono sicuro. Mai come nel caso della Data protection, infatti, vincoli legali, efficienza dei processi ed esigenze di business collimano in maniera così evidente: gli obblighi di legge previsti per proteggere le informazioni personali dei soggetti che interagiscono con l’organizzazione costituiscono, infatti, una solida impalcatura per costruire una serie di difese a tutela dell’asset più prezioso dell’azienda: i dati che descrivono le relazioni con fornitori, partner e soprattutto clienti.
SOFTWARE DI GESTIONE DOCUMENTALE: COSA DICE IL GDPR
Il dispositivo legale su cui è imperniata la protezione dei dati è come ormai noto il GDPR (General Data Protection Regulation), il regolamento comunitario – entrato in vigore a maggio 2018 – che istituisce prassi, strumenti e figure professionali a tutela del patrimonio informativo custodito e trattato da enti pubblici e privati. Il Regolamento in realtà non fa differenza tra documenti cartacei e documenti digitalizzati, ma è chiaramente impostato per definire le linee guida utili a erigere barriere efficaci soprattutto sul piano informatico. Fondamentale, nel momento in cui si conservano e si trattano dati personali di cittadini europei (che è poi l’ambito d’azione del GPDR) è assicurarsi di averne ottenuto il consenso esplicito e di garantirne il diritto all’oblio dopo aver specificato finalità e tempo di trattamento dei dati. Rispetto a questo punto, il riferimento resta l’articolo 17, che prescrive la liceità della conservazione delle informazioni contenute nei documenti per tutto il tempo necessario allo svolgimento delle attività per cui il loro utilizzo è stato concesso.
I REQUISITI DEL SOFTWARE DI GESTIONE DOCUMENTALE
Per essere compliant con il GDRP una piattaforma di document management deve quindi soddisfare questi requisiti:
- incorporare un’informativa sul trattamento dei dati, dove si specifica il tipo di dati raccolti, le modalità e le finalità del loro utilizzo, per quanto tempo verranno conservati, se verranno trasferiti in Paesi Terzi;
- raccogliere il consenso esplicito e specifico al trattamento dei dati;
- prevedere l’accountability del titolare del trattamento dei dati;
- offrire privacy by design e by default;
- garantire la cancellazione dei dati che lo riguardano e di ricevere i dati personali forniti per eventualmente effettuare la portabilità verso un altro soggetto;
- integrarsi con il registro che contiene tutte le informazioni relative al titolare del trattamento e all’eventuale DPO (Data Protection Officer), alle finalità e alle modalità del trattamento;
- notificare, entro 72 ore, i diretti interessati in caso di violazione dei dati.
SOFTWARE DI GESTIONE DOCUMENTALE E PIANO AGID
L’altro riferimento da tenere in considerazione quando si progetta l’adozione di un software di gestione documentale è il Piano triennale AgID (Agenzia per l’Italia Digitale), che pur essendo dedicato primariamente alla Pubblica Amministrazione definisce i benchmark del document management del futuro per tutte le tipologie di organizzazioni. Il cardine dell’ecosistema che si verrà a creare è il Sistema di gestione dei procedimenti amministrativi nazionali (SGPA), le cui parole d’ordine sono interoperabilità e trasparenza. “Il sistema”, si legge nel documento pubblicato da AgID, “rappresenta una delle piattaforme essenziali per il raggiungimento degli obiettivi di digitalizzazione, di semplificazione e di efficientamento dell’azione amministrativa della Pubblica Amministrazione previsti dall’Agenda digitale italiana e dal CAD”.
COME ESSERE COMPLIANT AL PIANO AGID
Il sistema ha l’obiettivo di garantire l’uniformità e l’interoperabilità a livello nazionale dei flussi documentali associati ai procedimenti amministrativi: occorre quindi, per realizzarlo, un complesso di azioni che prevedano una sempre maggiore dematerializzazione della documentazione amministrativa, la diffusione di sistemi di gestione e workflow documentale nelle pubbliche amministrazioni e lo sviluppo della rete nazionale dei poli di conservazione, che dovranno garantire massima trasparenza e interoperabilità. “AgID sta lavorando alla definizione di regole di interscambio per l’interoperabilità tra tutti i sistemi di conservazione a livello nazionale e alla progettazione di un unico punto di accesso a tutta la documentazione della Pubblica Amministrazione in conservazione ”.