La Pubblica Amministrazione tra privacy e transizione digitale
Innovazione e protezione dei dati
In uno dei suoi ultimi interventi, Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali, ha ribadito la necessità di ricercare continuamente nuove soluzioni che rendano compatibili le spinte tecnologiche con i diritti e le libertà[i] degli individui. È un dovere che, peraltro, è scritto a chiare lettere nell’art. 24 del Regolamento UE 679/2016 (GDPR)[ii] quando afferma che “[Le misure tecniche ed organizzative] … sono riesaminate e aggiornate qualora necessario”.
Siamo, dunque, destinati a ripetuti cicli di progettazione e revisione che, per la verità, non costituiscono nulla di nuovo nelle realtà aziendali moderne che, da anni, si ispirano al ciclo di Deming (Plan‑Do‑Check‑Act) nel governo dei processi.
La revisione, peraltro, deve collocarsi nella cornice della transizione verso il digitale, che ha il suo padre nobile normativo per le Pubbliche Amministrazioni nel Codice dell’Amministrazione Digitale (CAD – Dlgs. 82/2005)[iii]. L’’art. 17, in particolare, richiede che ciascuna amministrazione pubblica individui un ufficio cui affidare il governo della transizione digitale ovvero di tutte quelle attività finalizzate alla realizzazione di un’amministrazione digitale e aperta, dotata di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. Quindi, per la Pubblica Amministrazione “un doppio salto (mortale?)”: quello nel digitale e quello nella compliance alle norme in materia di trattamento dei dati personali.
Il percorso tracciato richiede, quindi, di coltivare i sogni di introduzione delle nuove tecnologie, attraverso il responsabile per la transizione digitale (ex art. 17 del CAD), rimanendo fermamente ancorati alla realtà della tutela dei dati personali, attraverso il Data Protection Officer (ex art. 37 del GDPR) che costituisce un’ulteriore figura professionale obbligatoria per gli organismi pubblici.
Il compito del responsabile per la transizione digitale
Il responsabile per la transizione digitale, dunque, è una figura obbligatoria per tutte le Pubbliche Amministrazioni a partire dal 14 settembre 2016, a seguito dell’entrata in vigore del Dlgs. 179/2016 (modificativo del CAD). In precedenza, l’obbligo di designare tale figura era riservato alle sole Pubbliche Amministrazioni centrali che, di solito, erano già attrezzate con un apposito ufficio dirigenziale preposto al governo dell’evoluzione ICT dell’ente.
La ratio della novità introdotta nel 2016 risiedeva nella necessità di coinvolgere le migliaia di enti pubblici medio/piccoli (comuni, ordini professionali, ecc.) nell’ecosistema digitale che si sognava (e si sogna) per il Paese e che li vedeva relegati ai margini. I motivi della marginalizzazione/arretratezza sono stati essenzialmente due:
- scarse risorse finanziarie da impiegare negli investimenti ICT;
- deficit di competenze ICT difficilmente colmabile per il reiterato “blocco dei concorsi pubblici”.
L’obbligo di individuare tale figura, tuttavia, non ha rimosso le cause che hanno generato, a parte qualche isolato caso virtuoso, il ritardo della Pubblica Amministrazione nella spinta all’innovazione tecnologica.
L’impegno richiesto, peraltro, appare significativo a mente del primo comma dell’art. 17 del CAD; infatti, i compiti attribuiti al responsabile per la transizione digitale sono:
- a) coordinamento strategico dello sviluppo dei sistemi informativi di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
- b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
- c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
- d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilità anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4 ;
- e) analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa;
- f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
- g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
- h) progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
- i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
- j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis.
- j-bis) pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b).
Quindi, un’attività a tutto campo che, in parte, si sovrappone allo svolgimento dei compiti che il GDPR assegna al Data Protection Officer.
Il compito del Data Protection Officer
Com’è noto, il Data Protection Officer (DPO)
- deve essere nominato da tutti gli organismi pubblici (art. 37, comma 1, lettera a del GDPR);
- assume una posizione di autonomia ed indipendenza rispetto alle decisioni che riguardano i processi decisionali ed operativi relativi al trattamento dei dati personali (art. 38 comma 6 del GDPR).
Questi due elementi obbligano tutte le Pubbliche Amministrazioni, anche le più piccole, ad individuare due soggetti distinti per i ruoli di responsabile per la transizione digitale e di Data Protection Officer. Tuttavia, spesso, le risorse economiche disponibili per figure di livello professionale così elevato non sono disponibili e la tentazione, soprattutto per le Pubbliche Amministrazioni più piccole, è quella di provvedere alla nomina per mero adempimento senza riflettere sugli effetti dell’ulteriore ritardo accumulabile, oltre che sugli aspetti sanzionatori previsti dal GDPR.
In ogni caso, il comma 1 dell’art. 38 del GDPR prevede che il titolare del trattamento dei dati personali coinvolga il DPO, tempestivamente ed adeguatamente, in tutte le questioni riguardanti la protezione dei dati personali. Questo vuol dire che, andando a rileggere la lettera c) delle attività che svolge il responsabile per la transizione digitale (RTD), è necessario un forte coordinamento tra quest’ultimo ed il DPO.
Gli ambiti comuni
L’attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica, a cura del RTD, deve essere garantita, infatti, nel rispetto dei paradigmi di privacy by design e privacy by default previsti dal GDPR e sulla conformità ad essi il DPO deve svolgere una specifica attività di vigilanza.
Ad onor del vero, anche le attività di sviluppo dei sistemi di telecomunicazione (lettera a), di progettazione di servizi in rete per i cittadini (lettera h), di coordinamento dei progetti di interoperabilità (lettera j) o di pianificazione degli acquisti (lettera j‑bis) costituiscono ambiti nei quali è richiesta una stretta collaborazione tra RTD e DPO, in considerazione dei possibili rischi che possono emergere, oltre che della individuazione di misure di contenimento degli stessi già in fase di pianificazione.
L’impegno dell’AGID
L’onere della transizione, oltre che condivisibile con il DPO, può risultare meno gravoso per l’RTD grazie all’attività sviluppata dall’Agenzia per l’Italia Digitale (AGID). Infatti, l’AGID nel Piano Triennale per l’Informatica nella Pubblica Amministrazione[iv] ha pianificato il percorso di avvicinamento delle Pubbliche Amministrazioni ad una gestione più moderna e tecnologicamente evoluta.
Recentemente, peraltro, l’AGID ha completato uno dei passaggi chiave del piano: la definizione della piattaforma per la qualificazione dei Cloud Service Provider[v] al fine di costituire un marketplace[vi] al quale le pubbliche amministrazioni dovranno rivolgersi, a partire dal 30 novembre 2018, per l’acquisto di servizi IaaS, Paas e Saas. Questo potrà aiutare le Pubbliche Amministrazioni ad approvvigionarsi di servizi cloud che offrano garanzie, certificate dal pool di esperti AGID, su
- livelli prestazionali;
- effettiva interoperabilità;
- meccanismi di sicurezza posti a protezione dei dati e, in particolare, dei dati personali.
Quindi, un’occasione da non perdere per spingere sull’evoluzione dei sistemi informativi coniugando innovazione tecnologica e tutele previste dal GDPR.
Note
- [i] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9005804
- [ii] https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando
- [iii] https://cad.readthedocs.io/it/v2017-12-13/
- [iv] https://pianotriennale-ict.italia.it/
- [v] https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2018/07/23/piano-triennale-online-piattaforma-qualificazione-csp
- [vi] https://cloud.italia.it/marketplace/supplier/market/index.html
A cura di: Francesco Maldera
Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it