Privacy, riciclaggio della carta, ecologia e … l’apparecchio per distruggere i documenti

Alcuni esempi. La fotocopia di un documento di identità (patente o carta d’identità) può permettere di effettuare una serie innumerevole di operazioni. Pensiamo a quali effetti può produrre qualora pervenga nel possesso di soggetti in mala fede (ma anche di soggetti in buona fede non autorizzati al trattamento). Ancora, gran parte dei documenti con i quali aziende e studi professionali hanno a che fare quotidianamente contengono dati personali (anche sensibili). Mi riferisco in particolare a contratti, documenti fiscali e di trasporto, ricevute d’acquisto e di prelievo, estratti di conti correnti bancari e di carte di credito. Tutti documenti che servono per istruire pratiche, perfezionare contratti e adempiere obbligazioni, ma che devono altresì essere oggetto di trattamento in conformità alle regole privacy previste dal citato Codice e dall’allegato B che reca il Disciplinare tecnico in materia di misure minime di sicurezza.

È bene sin da ora precisare che il mancato rispetto delle misure minime poste dal Disciplinare ai numeri 27, 28 e 29 in caso di trattamento con strumenti diversi da quelli elettronici è sanzionato penalmente, anche se la sanzione civilistica del risarcimento dei danni può risultare economicamente assai più pesante e, è bene ricordarlo, può essere comminata anche qualora il titolare del trattamento abbia adottato le misure minime.

È il caso dell’istituto di credito che, ancora in vigenza della "vecchia" legge 675/1996 fu condannato a risarcire una somma considerevole a favore di due coniugi che "mentre attendevano di essere ricevuti da un funzionario della banca, avevano trovato sul davanzale di una finestra posta in una zona accessibile al pubblico, dei fogli sparsi contenenti notizie riservate relative alla loro posizione" (Tribunale Orvieto, Sentenza 23 novembre 2002).

La gestione, archiviazione e la distruzione dei documenti cartacei deve essere oggetto di precise istruzioni agli incaricati del trattamento (allo stesso modo del trattamento dei dati mediante strumenti informatici), affinché i documenti non cadano nella disponibilità di soggetti non autorizzati al trattamento (per tali intendendosi non solo terzi estranei alla struttura, ma anche incaricati non muniti di specifiche autorizzazioni, quali in ipotesi personale dell’ufficio approvvigionamenti rispetto ai dati trattati dall’ufficio del personale).

Si è parlato di armadietti dotati di serratura, di archiviazione delle pratiche al termine della sessione di lavoro e quando è prevista la pulizia dei locali aziendali, di controllo dell’accesso agli archivi contenenti documenti con dati sensibili, di chiusura dei locali, ecc.. Ad avviso di chi scrive si è affrontato con una certa sufficienza il problema della distruzione dei documenti cartacei.

Addirittura si può tuttora riscontrare la prassi di conservare tutti i documenti "a scopo di riciclaggio" della carta. Il classico foglio A4 viene utilizzato sia fronte (fattura o pagina di un contratto o, peggio, copia della carta d’identità) sia retro (appunti di telefonate, minute di contratti e di forniture, ecc.). Inutile dire che tale prassi dovrebbe essere disincentivata con fermezza da tutti i titolari di trattamento dei dati personali.

I documenti non più oggetto di archiviazione perché obsoleti, scaduti e in ogni caso perché il trattamento dei dati in essi contenuti non è più coperto dal principio di finalità del trattamento devono essere distrutti. La distruzione, naturalmente, deve essere tale da impedire la possibilità di ricostruirire i documenti. Ben venga allora l’utilizzo di un apparecchio per distruggere i documenti che da una parte consente di mettersi al riparo da un utilizzo abusivo di tali documenti e dall’altra consente in ogni caso a chi è sensibile a queste tematiche di attivarsi per il riciclo della carta.

Dell’utilizzo dell’apparecchio e delle istruzioni fornite agli incaricati si potrebbe fare menzione nel Documento programmatico sulla sicurezza, a testimonianza della diligenza prestata nel trattamento dei dati.

Alcuni esempi. La fotocopia di un documento di identità (patente o carta d’identità) può permettere di effettuare una serie innumerevole di operazioni. Pensiamo a quali effetti può produrre qualora pervenga nel possesso di soggetti in mala fede (ma anche di soggetti in buona fede non autorizzati al trattamento). Ancora, gran parte dei documenti con i quali aziende e studi professionali hanno a che fare quotidianamente contengono dati personali (anche sensibili). Mi riferisco in particolare a contratti, documenti fiscali e di trasporto, ricevute d’acquisto e di prelievo, estratti di conti correnti bancari e di carte di credito. Tutti documenti che servono per istruire pratiche, perfezionare contratti e adempiere obbligazioni, ma che devono altresì essere oggetto di trattamento in conformità alle regole privacy previste dal citato Codice e dall’allegato B che reca il Disciplinare tecnico in materia di misure minime di sicurezza.

È bene sin da ora precisare che il mancato rispetto delle misure minime poste dal Disciplinare ai numeri 27, 28 e 29 in caso di trattamento con strumenti diversi da quelli elettronici è sanzionato penalmente, anche se la sanzione civilistica del risarcimento dei danni può risultare economicamente assai più pesante e, è bene ricordarlo, può essere comminata anche qualora il titolare del trattamento abbia adottato le misure minime.

È il caso dell’istituto di credito che, ancora in vigenza della "vecchia" legge 675/1996 fu condannato a risarcire una somma considerevole a favore di due coniugi che "mentre attendevano di essere ricevuti da un funzionario della banca, avevano trovato sul davanzale di una finestra posta in una zona accessibile al pubblico, dei fogli sparsi contenenti notizie riservate relative alla loro posizione" (Tribunale Orvieto, Sentenza 23 novembre 2002).

La gestione, archiviazione e la distruzione dei documenti cartacei deve essere oggetto di precise istruzioni agli incaricati del trattamento (allo stesso modo del trattamento dei dati mediante strumenti informatici), affinché i documenti non cadano nella disponibilità di soggetti non autorizzati al trattamento (per tali intendendosi non solo terzi estranei alla struttura, ma anche incaricati non muniti di specifiche autorizzazioni, quali in ipotesi personale dell’ufficio approvvigionamenti rispetto ai dati trattati dall’ufficio del personale).

Si è parlato di armadietti dotati di serratura, di archiviazione delle pratiche al termine della sessione di lavoro e quando è prevista la pulizia dei locali aziendali, di controllo dell’accesso agli archivi contenenti documenti con dati sensibili, di chiusura dei locali, ecc.. Ad avviso di chi scrive si è affrontato con una certa sufficienza il problema della distruzione dei documenti cartacei.

Addirittura si può tuttora riscontrare la prassi di conservare tutti i documenti "a scopo di riciclaggio" della carta. Il classico foglio A4 viene utilizzato sia fronte (fattura o pagina di un contratto o, peggio, copia della carta d’identità) sia retro (appunti di telefonate, minute di contratti e di forniture, ecc.). Inutile dire che tale prassi dovrebbe essere disincentivata con fermezza da tutti i titolari di trattamento dei dati personali.

I documenti non più oggetto di archiviazione perché obsoleti, scaduti e in ogni caso perché il trattamento dei dati in essi contenuti non è più coperto dal principio di finalità del trattamento devono essere distrutti. La distruzione, naturalmente, deve essere tale da impedire la possibilità di ricostruirire i documenti. Ben venga allora l’utilizzo di un apparecchio per distruggere i documenti che da una parte consente di mettersi al riparo da un utilizzo abusivo di tali documenti e dall’altra consente in ogni caso a chi è sensibile a queste tematiche di attivarsi per il riciclo della carta.

Dell’utilizzo dell’apparecchio e delle istruzioni fornite agli incaricati si potrebbe fare menzione nel Documento programmatico sulla sicurezza, a testimonianza della diligenza prestata nel trattamento dei dati.