In questo articolo analizzeremo i benefici derivanti dell’applicazione delle buone pratiche e le conseguenze di una Gestione Documentale inefficace, specialmente in relazione a normative come GDPR e leggi italiane specifiche.
Foreste di Fogli e Tigri di Carta
Chiunque riterrebbe inefficiente mantenere una documentazione cartacea nei tempi moderni,o quasi. Chi lavora a stretto contatto con alcune amministrazioni pubbliche, infatti, deve spesso produrre copie fisiche di documenti.
Ho avuto il piacere di entrare in un ufficio simile nella capitale di un paese Europeo dove passavo per lavoro; le pile di carte in quell’ufficio erano tante, e tali, da dare l’impressione di camminare in una foresta di alberi bianchi.
In quel contesto appresi che sia sul cartaceo sia sul digitale una mancata Gestione Documentale è la maggiore fonte di costi, rischi ed inefficienze.
Con le tecnologie moderne in continua evoluzione, coloro che gestiscono la documentazione digitale di un'azienda devono operare in conformità con le migliori pratiche.
Queste sfide non saranno altro che “tigri di carta” per voi, minacciose solo in apparenza, poiché in questo articolo esploreremo i principi di una buona Gestione Documentale.
I processi di Gestione Documentale dovrebbero esser considerati un traino, non una fiera, a supporto dei processi produttivi. Infatti, possono essere facilmente “domati” seguendo dei semplici principi e avendo ben presenti le più importanti normative vigenti.
In questo articolo vedremo quali sono i benefici associati più spesso all’applicazione di buone pratiche di Gestione Documentale e come avvalersene. Riassumeremo, inoltre, le conseguenze derivate da una cattiva Gestione Documentale, tentando di capire come evitarle.
Cos’è la Gestione Documentale?
In generale, possiamo definire la Gestione Documentale come l'insieme di procedure e norme utilizzate per creare, tracciare e modificare i documenti all’interno di un’impresa.
Possiamo distinguere tre metodologie principali: la Gestione Documentale, la Gestione Elettronica Documentale e la Conservazione Sostitutiva.
La Gestione Elettronica è un sottoinsieme della Gestione Documentale, volto a gestire digitalmente i documenti.
La Conservazione Sostitutiva è un processo fatto secondo procedure stabilite dalla legge, volto a sostituire documenti cartacei con copie digitali conformi alle normative.
Esistono poi diversi standard ISO che forniscono i concetti chiave legati alla gestione dei documenti e dei registri, ad esempio ISO 14641 e ISO 15489.
Il primo, ISO 14641, definisce le procedure che garantiscono, in caso di trasposizione dei documenti da analogico a digitale, il mantenimento della validità legale che possiedono i documenti cartacei originali.
ISO 15489, invece, nella sua versione aggiornata nel 2016 (ISO 15489-1:2016), definisce la Gestione Documentale come un processo di creazione, ricezione, manutenzione, utilizzo e smaltimento dei documenti.
In questo processo operano risorse umane e infrastrutture tecnologiche seguendo questi principi:
- Responsabilità e accountability: Ogni attore coinvolto adempie a delle responsabilità ed è “accountable” (rendicontabile) per le sue azioni. Questo principio serve ad assicurare che ogni azione intrapresa venga eseguita nel giusto modo e rimanga tracciabile, con le dovute limitazioni, per tutti i membri dell’organizzazione.
- Integrazione con altri sistemi di gestione: le prassi di Gestione Documentale non sono isolate o in conflitto con altri standard ma devono essere integrate e fornire supporto ai processi aziendali, preservando gli interessi economici e strategici.
- Ciclo di vita dei documenti: I documenti seguono il ciclo vita (sopra descritto) che definisce e regola l’inizio e la fine dell’utilità delle informazioni che circolano nel gruppo.
- Classificazione e indicizzazione: linee guida sulla classificazione e indicizzazione dei documenti, volte a garantire l’efficiente utilizzo delle informazioni e facilitare il passaggio da ogni fase del ciclo vita verso quella successiva.
- Sicurezza e protezione: le informazioni non protette, specialmente in contesti aziendali, possono essere causa di gravi danni economici e di sicurezza. Una politica di gestione dei documenti completa non può prescindere dal definire gli standard di sicurezza necessari per la gestione sicura dei processi.
L’osservazione di questi principi dovrebbe costituire la linea guida di partenza di ogni impresa che si approccia al tema, a prescindere dalla volontà di ottemperare con ISO o meno.
Una policy di Gestione Documentale, infatti, deve avere necessariamente nel proprio DNA la sicurezza e l’integrazione con altri processi per rispondere alle esigenze moderne senza intaccare la produttività del personale.
Al contrario, una Gestione Documentale non configurata correttamente o non osservata diligentemente potrebbe portare alle conseguenze che analizzeremo nella sezione successiva.
Quali sono i rischi effettivi di una cattiva Gestione Documentale?
Una Gestione Documentale inefficace, oltre a portare a una perdita, o peggio, esfiltrazione delle informazioni da parte dell’azienda, può comportare danni finanziari.
Esistono alcune disposizioni legali che coinvolgono la maggior parte delle imprese che oggi sono in attività. La più importante di queste è probabilmente il GDPR, il regolamento Europeo sulla protezione dei dati personali; in Italia, però, esistono altri regolamenti specifici che è bene tener presente.
GDPR
Il Regolamento generale sulla protezione dei dati è di vitale importanza non solo per chiunque operi in un paese Europeo, ma per chiunque gestisca dati relativi a cittadini dell’Unione Europea.
Il garante della Privacy ci ricorda che “la violazione delle disposizioni [...]è soggetta a sanzioni [...] fino a 10 000 000 EUR o [...] fino al 2 % del fatturato mondiale”.
Per evitare di incorrere in queste sanzioni è importante avere in essere una corretta Gestione Documentale; in particolare, per osservare i principi:
- Liceità, Correttezza e Trasparenza: i documenti contenenti dati personali devono essere trattati secondo i limiti stabiliti dalla legge; il loro scopo deve essere comunicato in maniera chiara e trasparente ai proprietari dei dati.
- Limitazione: questo principio richiede di raccogliere solo i dati necessari per le specifiche finalità dichiarate. I dati raccolti non devono essere riutilizzati o trattati per finalità diverse da quelle dichiarate in origine senza l’esplicito consenso del proprietario dei dati.
- Minimizzazione: la documentazione contenente dati personali deve essere periodicamente esaminata per assicurare che l'impresa conservi solo i dati strettamente necessari, sia al momento della raccolta che durante la loro permanenza nella documentazione aziendale.
- Accuratezza: la documentazione deve essere aggiornata, secondo necessità, per assicurare che i dati raccolti siano veritieri.
- Integrità e riservatezza: le aziende sono responsabili per il mantenimento di adeguate misure di sicurezza per la Gestione Documentale che assicurino l’accesso ai dati personali solo alle entità autorizzate.
Questi sono alcuni dei principi fondamentali da seguire nella configurazione di una Gestione Documentale in ottemperanza con il GDPR.
Per chi opera in Italia potrebbe, inoltre, essere necessario conoscere altre normative oltre a GDPR.
Altre Leggi
La legislazione italiana in materia di Gestione Documentale è particolarmente completa e puntuale rispetto alla maggior parte dei paesi Europei.
Nel 2020 AgID ha pubblicato la normativa sulla formazione, gestione e conservazione dei documenti informatici.
Le aziende che operano nel settore pubblico, inoltre, seguono il Decreto legislativo n. 82/2005 che contiene disposizioni volte ad agevolare l’informatizzazione della documentazione nella Pubblica Amministrazione. Sebbene le disposizioni in questo Decreto si rivolgono alla Pubblica Amministrazione, alcune di esse, dal 1° gennaio 2022, sono applicabili anche ai soggetti privati.
Tra queste ultime troviamo, principalmente, norme riguardanti i documenti informatici, la riproduzione e la conservazione degli stessi. Queste richiedono:
- Di adottare specifiche modalità per la gestione e conservazione dei documenti;
- Di individuare e nominare il Responsabile della conservazione documentale
- Di adottare un Manuale di conservazione documentale.
Come minimizzare i rischi?
Le sanzioni per una cattiva gestione documentale sono dunque applicabili a livello nazionale ed Europeo.
Per creare, modificare, conservare e distruggere documenti senza rischi, o inefficienze, il formato elettronico offre numerosi vantaggi rispetto a quello cartaceo.
I documenti elettronici consentono accessi ubiqui e condivisibili, riducendo il rischio di smarrimento o di mancata disponibilità. Inoltre, consentono di implementare misure di sicurezza più avanzate, come l'accesso a due fattori e la crittografia dei dati in transito, garantendo la riservatezza e l'integrità delle informazioni.
Inoltre, la possibilità di tracciare le versioni dei documenti, e di automatizzare la creazione di backup, se applicate correttamente, riducono al minimo i danni da errori o perdite.
Conclusioni
La Gestione Documentale è un processo da non sottovalutare per via delle stringenti normative emergenti in materia di sicurezza dei dati. Non dovrebbe però essere considerata una sfida. Al contrario, deve e può essere implementata come un processo a supporto delle altre funzioni strategiche di un’azienda.
ISO è uno dei tanti standard che può dare linee guida in tal senso ma ogni azienda può, tuttavia, definire un proprio approccio, rispettando i principi guida contenuti in questo articolo e consultando le informazioni pubblicamente reperibili sulle leggi applicabili nei paesi di riferimento.
