GDPR, dopo 3 mesi la PA è ancora ferma
Di mesi oramai ne sono passati più di tre dal fatidico GDPR Start Day (25 maggio 2018) e intorno alla nuova (perché in molti casi così viene ancora “apostrofata”..) normativa ancora si percepiscono fermento, timori, dubbi e speranze.
Quanto avevamo detto, circa due mesi fa, nel precedente contributo (25 giugno 2018: ad un mese dal GDPR Star Day la PA è ancora ai blocchi di partenza?) lasciava in sospeso una serie di domande, ponendo l’accento (o quantomeno cercava di farlo) su una serie di situazioni che a 30 gg dall’entrata in piena operatività del GDPR, sicuramente non deponevano a favore, soprattutto, di quella piena rispondenza ( o compliance) ai dettami in esso contenuti specie da parte della PA.
Cosa è cambiato nel frattempo? (sempre che qualcosa sia cambiato!), come procede il “lavoro” di adeguamento in ambito PA?
Qualcosa è effettivamente cambiato, quantomeno dal punto di vista normativo. Ha visto la luce, infatti, il D.Lgs. 101/2018 di armonizzazione al GDPR della normativa nazionale (D.Lgs. 196/03) con tutte le “conseguenze” che questo comporta a partire sicuramente dalla necessità di una nuova “lettura” fatta integrando il testo novellato con quello del Regolamento e di una puntuale e corretta interpretazione pratica.
Per quanto riguarda l’avanzare del “lavoro”, l’uso della terminologia appare ora particolarmente importante. Questo perché un uso troppo “leggero” di alcuni termini potrebbe far pensare che effettivamente, nonostante la pausa estiva, la situazione sia migliorata o quantomeno abbia imboccato la strada giusta come, non solo chi scrive, auspicava.
La situazione, purtroppo, non sembra proprio stare così. A giudicare, infatti, da quello che è possibile verificare sembra proprio che anche questa si stia trasformando in una “occasione persa”.
Perché? Perché nulla è realmente andato avanti, anzi, se fosse possibile, la situazione in alcuni settori, potrebbe addirittura definirsi peggiorata, dato che (in riferimento ad es. alle nomine del DPO da parte di PA e enti pubblici) sono state sollevate, in alcuni casi, obiezioni, con relativi successivi controlli, sulla correttezza di bandi/gare per il reclutamento di questa fondamentale figura; molti enti locali, non hanno, di fatto, ancora avviato alcuna procedura di adeguamento proprio a causa della mancanza di un “coordinamento” che potesse dare impulso all’avvio di questi processi né, tantomeno, hanno provveduto alla nomina del DPO o a “responsabilizzare” e coinvolgere il personale in tutta quella serie di attività propedeutiche al percorso di adeguamento al GDPR; in altri casi abbiamo assistito al proliferare di “offerte speciali” al limite del black Friday, che hanno visto assegnare incarichi di DPO da parte di PA (da sole o in “associazione”) a soggetti per una manciata di spicci (NB: il sistema dell’offerta più economica non ha nulla di male – se visto dal lato dell’economia che consente alla PA di risparmiare -, ma fa quantomeno nascere qualche dubbio sul “perché” ci si sia buttati su tale incarico!!) e per di più senza “strutture di supporto”.
La mancanza di fondi, che continua ad impazzare, ha di fatto bloccato sul nascere il ricorso ad una formazione in materia che è da considerarsi fondamentale visto anche l’attuale livello di (non)specializzazione in questo ambito da parte di una buona fetta di dipendenti della PA (anche per le cause già citate nel precedente articolo). A cascata, la mancanza di fondi, non consente di far ricorso a soggetti esterni (esperti) per effettuare tutta una serie di azioni (verifiche/controlli) necessari a definire un corretto percorso di adeguamento. Si pensi ad es. alle verifiche nel campo della sicurezza informatica, della sicurezza dei sistemi informatici, di servizi on-line, dei servizi di posta elettronica ecc. (NDR: oramai giornalmente si trovano notizie di nuovi data-breach non solo a danno di aziende private, ma anche in ambito pubblico).
Parlando di PA centrale, poi, la melodia è sostanzialmente la stessa, anche se, in qualche caso esistono ancora margini per potersi stupire. In diverse occasioni, infatti, si sta assistendo alla nomina di un DPO UNICO (parliamo di persona fisica e non di un team DPO) a livello di amministrazione centrale che, quindi, dovrebbe (seppur supportato – o almeno così pare – da “altro personale”) svolgere la propria funzione su tutto il territorio nazionale. Seppur convinti dell’elevato profilo e delle notevoli conoscenze in possesso dei prescelti, viene quantomeno da domandarsi (nascondendosi, però, dietro un amaro sorriso!) se questi soggetti siano persone comuni o siano dei “supereroi” (??) o anche questi sono gli ennesimi segnali che indicano, ancora una volta, come la PA nazionale non sia in grado (da un lato) oppure non voglia (dall’altro) preoccuparsi dell’importanza del cambiamento o impegnarsi, quantomeno, nel tentativo di raggiungere l’obiettivo di far entrare il settore in una reale dimensione 2.0?
A cura di: Leonardo Scalera
Laureato e specializzato presso l’Università Unitelma Sapienza di ROMA in Scienze dell’Amministrazione con tesi sull’evoluzione dei sistemi informativi nella PA e sull’innovazione digitale in sanità. Specializzato c/o l’Università di Teramo in Sicurezza informatica e informatica giuridica con focus sugli aspetti legati alla sicurezza dei sistemi informativi, delle reti e sulla sicurezza, riservatezza e tutela dei dati trattati.
Ha frequentato numerosi corsi di formazione riguardanti sicurezza informatica , privacy & data protection. Ha conseguito la certificazione volontaria delle competenze secondo lo schema UNI CEI EN ISO/IEC 17024 certificato da Bureau Veritas/CEPAS a seguito del percorso formativo come Corso di Alta Specializzazione DATA PROTECTION OFFICER- PRIVACY SPECIALIST.
Tutor in diversi corsi in tema D.Lgs. 81/01, incaricato come docente in ambito formazione GDPR per quanto attiene al “trattamento di particolari categorie di dati personali; diritti degli interessati, modalità di esercizio, tutele” per aziende di formazione professionale, autore del corso “ Il Nuovo Pacchetto Protezione Dati Personali. Obblighi della P.A. Ricadute sul Dipartimento Amm.ne Penitenziaria”.
Presta la propria opera c/o il Ministero della Giustizia Dipartimento dell’Amministrazione Penitenziaria e dando il suo apporto anche in ambito privacy e data protection, in diversi settori/aree dell'amministrazione di appartenenza.