Ogni giorno privati, enti pubblici, professioni e aziende si trovano alle prese con un gran numero di documenti cartacei. Nonostante sia in corso la digital transformation, sono ancora molti i documenti in formato cartaceo presenti in ogni organizzazione. La gran parte di questi documenti trattano però dati sensibili, meritevoli di tutela da parte dell’ordinamento giuridico.
In questo contesto, qual è la normativa sulla distruzione dei documenti cartacei?
Non sono in molti a sapere che il trattamento dei dati personali è qualificato dalla Magistratura come attività pericolosa ai sensi dell’art.2050 c.c.. Questo articolo prevede che “chiunque cagioni un danno ad altri nello svolgimento di un’attività pericolosa è tenuto al risarcimento dei danni se non prova di aver adottato tutte le misure idonee ad evitare tale danno”.
La distruzione dei documenti contenenti dati sensibili o dei documenti contabili è un’operazione che deve rispettare quanto stabilito dalla legge sulla privacy 193/2003, che tutela la privacy aziendale. Tale legge afferma che tutti i soggetti che trattano dati sensibili devono operare seguendo misure di sicurezza idonee e preventive in grado di ridurre al minimo i rischi di perdita o distruzione – anche accidentale – dei dati stessi.
Parliamo ad esempio di documenti come:
- contratti di fornitura di beni o servizi;
- anagrafiche clienti;
- contabili di pagamento;
- informazioni riservate.
In questo articolo vediamo tutto ciò che è necessario fare per distruggere correttamente documenti cartacei.
Distruzione documenti cartacei: normativa
Grazie all’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR), il 25 maggio 2018 sono cambiate le norme dell’Unione europea inerenti la protezione dei dati.
Questo cambiamento è di grande interesse per tutte le aziende, per cui occorre porre una forte attenzione alla conservazione, protezione e allo smaltimento dei documenti riservati.
Ogni documento cartaceo contenente possibili dati sensibili del cliente – come ad esempio mail personale, numero di telefono, codice fiscale – deve seguire obbligatoriamente la procedura di smaltimento individuata dalla normativa relativa alla distruzione documenti sensibili.
La violazione delle norme contenute nel Codice relativo ai dati personali fa emergere una triplice responsabilità in capo al titolare dell’azienda:
- Civile, ai sensi dell’art. 15;
- Penale, ai sensi dell’art. 169, c.1;
- Amministrativa, ai sensi dell’art. 160/162, c. 1/162, c. 3/164, c. 2/164, c. 3/164, c. 4.
Come distruggere i documenti cartacei
Anche se hanno esaurito la loro funzione, alcuni specifici documenti devono essere conservati per il periodo di tempo previsto dalla legge. Questi documenti devono essere conservati in quello che viene definito come archivio di deposito, dove passeranno il loro periodo obbligatorio di conservazione.
Una volta trascorso il periodo di conservazione individuato dalla legge, se i documenti non sono considerabili di valore storico o non sono soggetti a vincoli di tutela, si può procedere con la loro distruzione.
Al fine di distruggere i documenti cartacei, ci sono due soluzioni.
1. Ricorrere a un distruggidocumenti – una soluzione poco sicura
Questa prima soluzione rappresenta la meno sicura e professionale. In commercio si possono trovare facilmente dei distruggidocumenti, ovvero degli appositi macchinari che tritano i documenti o li riducono in una moltitudine di piccole striscioline. A loro volta i materiali di scarto devono essere poi portati al macero.
Ad ogni modo questa non è la soluzione migliore.
Ecco perché:
- Non è certo che tutti i dati sensibili contenuti nei documenti vengano effettivamente distrutti;
- Se vi è la necessità di distruggere un gran numero di documenti cartacei, questa operazione risulta inutilmente lunga;
- Certe tipologie di documenti necessitano di specifiche procedure di scarto.
2. Rivolgersi a professionisti del settore
Se devi distruggere documenti cartacei, è preferibile rivolgersi ai professionisti della gestione degli archivi cartacei. Questi professionisti prendono in carico la gestione dell’archivio in tutte le sue fasi, a partire dalla conservazione fino allo scarto dei documenti non più necessari.
Quello dello smaltimento di un archivio cartaceo è infatti un’operazione molto più complessa di quanto si possa credere, inoltre sono richieste delle specifiche procedure. Soltanto in questo modo si avrà la totale certezza che tutti i dati sensibili presenti nei documenti siano definitivamente ed effettivamente cancellati – e soprattutto che nessuno possa carpirli!
Scopri come proteggere in modo efficace i dati aziendali!
Distruzione documenti cartacei dopo 10 anni: perché è necessaria per i documenti contabili
Per legge, le aziende che producono documenti amministrativi, con informazioni riservate, fiscali o contabili devono conservare tali documenti in azienda per almeno 10 anni.
Successivamente, l’eliminazione dei documenti contabili è necessaria per:
- Proteggere i segreti commerciali aziendali;
- Evitare di intercorrere in problemi di tipo legale;
- Garantire ai propri clienti la tutela e la riservatezza dei loro dati personali.
La distruzione di documenti cartacei che contengono dati sensibili deve avvenire attraverso un processo di triturazione di tutto il materiale. Una volta triturati, il macero viene poi pressato e vengono create delle balle, al fine di essere facilmente stoccato e destinato al riciclo.
La distruzione di materiale sensibile è una questione da non sottovalutare: per queste tipologie di rifiuti, che contengono documenti sensibili, la responsabilità dell’azienda produttrice non si conclude con la mera eliminazione del documento cartaceo. Questa responsabilità prosegue infatti con la gestione del rifiuto contenente dati sensibili. Per questo motivo è opportuno gestire correttamente queste tipologie di rifiuto.
Il ritiro del rifiuto avviene inoltre con automezzi appositi autorizzati, che trasportano il materiale presso il centro di triturazione. Successivamente alla distruzione dei documenti sensibili viene rilasciata una certificazione di corretto trasporto e gestione fino allo smaltimento.
Potrebbe interessarti anche l’articolo Data Protection: che cos’è e a cosa serve.
Distruzione documenti cartacei GDPR
La distruzione dei documenti contenenti dati sensibili o contabili è un’operazione di grande importanza per garantire la tutela della privacy e la sicurezza aziendale. La legge sulla privacy 193/2003 – conosciuta anche come Codice in materia di protezione dei dati personali – è il riferimento principale per la gestione dei dati sensibili in Italia.
Affinché la distruzione dei documenti sia conforme alla legge sulla privacy, è fondamentale seguire alcune linee guida:
- Conservazione adeguata: i dati sensibili devono essere conservati solo per il tempo strettamente necessario per gli scopi previsti. Una volta scaduto questo periodo, i dati devono essere eliminati in modo sicuro;
- Disposizioni di legge: prima di distruggere i documenti, è importante verificare se esistono regolamenti specifici che richiedono la conservazione dei dati per un determinato periodo. In alcuni settori, possono essere previste norme specifiche riguardanti la conservazione dei dati, come nel caso dei documenti contabili;
- Modalità di distruzione: la distruzione dei documenti contenenti dati sensibili deve avvenire in modo sicuro e definitivo, in modo da rendere impossibile il loro recupero;
- Documentazione: è importante tenere traccia delle operazioni di distruzione effettuate, registrando i documenti eliminati, la data di distruzione e la modalità utilizzata;
- Sicurezza digitale: nel caso di dati sensibili memorizzati in formato digitale, è fondamentale garantire che vengano eliminati in modo sicuro, utilizzando metodi di sovrascrittura o crittografia, per prevenire il recupero dei dati;
- Formazione del personale: assicurarsi che il personale coinvolto nella gestione e distruzione dei documenti sia adeguatamente istruito sulle normative sulla privacy e sulla corretta procedura di distruzione dei dati.
- Rispetto delle norme internazionali: se l’azienda opera in ambito internazionale o gestisce dati di cittadini di altri paesi, è importante tenere conto delle normative sulla protezione dei dati di tali giurisdizioni.
La violazione delle norme sulla protezione dei dati e della privacy può comportare pesanti sanzioni per l’azienda, pertanto è fondamentale operare in conformità con la legge. Per questo motivo, molte aziende si affidano a consulenti o servizi specializzati per la gestione e la distruzione sicura dei dati sensibili.
Quali sono i dati personali meritevoli di tutela
In tema di dati personali, occorre fare un’ulteriore precisazione. Ecco quali sono i dati personali meritevoli di tutela secondo l’ordinamento:
- Dati particolari: dati che rivelano l’origine, stato etnico, razziale e di salute; vita sessuale; convinzioni filosofiche, religiose o di altro genere; l’adesione ad organizzazioni religiose, associazioni, partiti o sindacati; le opinioni politiche;
- Dati identificativi: dati che identificano o rendono identificabile un soggetto – data di nascita, nome, cognome, codice fiscale, immagini ecc.;
- Dati giudiziari: dati che rilevano l’esistenza di determinati provvedimenti giudiziari iscritti nel casellario giudiziale – come ad esempio libertà condizionale, provvedimenti penali di condanna definitivi, qualità di indagato o imputato o indagato.
Esempi di dati personali includono:
- Informazioni di base: Nome, cognome, indirizzo, data di nascita, numero di telefono, indirizzo email, ecc.
- Dati di identificazione: Numero di passaporto, numero di patente, numero di previdenza sociale, ecc.
- Dati finanziari: Numero di conto bancario, dati della carta di credito, informazioni fiscali, ecc.
- Dati sensibili: Dati relativi alla salute, origine razziale o etnica, orientamento sessuale, credo religioso, ecc.
- Dati di localizzazione: Dati GPS, informazioni di localizzazione di dispositivi, ecc.
- Dati online: Indirizzi IP, cookie, dati di accesso, ecc.
In conformità con il GDPR, è fondamentale adottare misure adeguate per proteggere i dati personali e assicurarsi che siano trattati in modo sicuro e in conformità con la legge. Ciò include anche la distruzione sicura dei documenti contenenti dati personali quando non sono più necessari per gli scopi per i quali sono stati raccolti o quando scade il periodo di conservazione previsto dalla legge.
Come smaltire documenti cartacei con dati sensibili: nuova normativa DIN 66399
La normativa DIN 66399 rappresenta un significativo passo avanti nella tutela della privacy e dei dati sensibili, specialmente considerando l’evoluzione tecnologica e la digitalizzazione dei sistemi di archiviazione. Questo protocollo europeo fornisce linee guida rigorose per la protezione delle informazioni personali sia per i cittadini privati che per le aziende coinvolte nel trattamento di dati sensibili, con particolare attenzione al momento della distruzione del materiale.
Un aspetto rilevante della DIN 66399 è la sua estensione oltre il tradizionale supporto cartaceo, includendo ogni tipo di supporto digitale ed elettronico. Ciò significa che non solo i documenti cartacei, ma anche dati contenuti in dispositivi elettronici come computer, tablet, chiavette USB, CD, DVD e dischi rigidi, devono essere trattati con particolare rigore durante la distruzione per garantire la sicurezza delle informazioni.
La norma DIN 66399 classifica i dati trattati in tre categorie di protezione per stabilire standard specifici per ciascun tipo di supporto. Queste classi corrispondono a diverse esigenze di protezione:
- Prima classe di protezione: riguarda il normale bisogno di protezione dei dati interni;
- Seconda classe di protezione: presuppone una elevata necessità di protezione delle informazioni;
- Terza classe di protezione: richiede un’esigenza di tutela particolarmente alta per dati soggetti a segretezza.
La normativa assegna a ciascun supporto un codice di identificazione, facilitando così la distinzione tra i vari tipi di dati. I supporti sono suddivisi in sei gruppi identificati con le lettere P, O, T, E, F e H.
Infine, la DIN 66399 definisce sette livelli di sicurezza da applicare alle tre classi di protezione. Maggiore è il livello, più elevata sarà la frammentazione del materiale alla fine del processo di distruzione certificata. I primi due livelli di sicurezza riguardano documenti interni e di carattere generale che devono essere resi illeggibili o invalidati. Mentre, dal terzo livello fino al settimo, il grado di tutela aumenta progressivamente fino ad arrivare ai documenti segreti, i quali richiedono precauzioni straordinarie e misure di sicurezza efficaci per garantire la massima protezione dei dati sensibili.
In conclusione, la normativa DIN 66399 rappresenta un’importante iniziativa per affrontare le sfide della gestione dei dati sensibili nell’era digitale, garantendo una distruzione sicura e certificata dei materiali contenenti informazioni personali e aziendali riservate.
Direttore Commerciale di Real Document Solution
Accompagna i partner nella definizione degli obiettivi e nella costruzione dei workflow documentali con il Process Planner di DocuWare. Monitora le performance e la User Experience degli utenti nell’utilizzo di DocuWare.
Anche lui usa DocuWare: per gestire la pipeline di clienti, per archiviare e firmare i contratti digitalmente e tenere aggiornate le scadenze.
Per qualsiasi informazione puoi scrivermi a: info@realdocumentsolution.it oppure chiamare il numero: +39 039.228.17.23