Innovazione della PA: non ci può essere digitalizzazione senza sicurezza

In uno degli episodi del film “Made in Italy” di Nanni Loy (mirabile affresco satirico dei difetti nostrani), un cittadino qualunque, interpretato da Nino Manfredi, recatosi all’anagrafe per un certificato di residenza, viene risucchiato in un surreale gorgo di file, sportelli, bolli mancanti e documenti sbagliati che sembrano, alla fine, mettere in discussione la sua stessa esistenza e identità.

Una situazione volutamente esasperata che coglie nel segno, evidenziando alcuni aspetti della burocrazia italiana che tornano a riproporsi anche oggi, nella fase di passaggio dalla “vecchia” pubblica amministrazione, fatta di carte bollate e file allo sportello, alla nuova, più trasparente e più funzionale (almeno così dovrebbe essere) amministrazione digitale.

Ma molti degli ostacoli e delle complicazioni che il cittadino si trova a dover superare per esercitare i propri diritti (ma anche per adempiere i propri doveri), e con i quali – guardando le cose da un altro punto di vista – gli stessi operatori della PA devono fare faticosamente i conti, sono il frutto di una confusione organizzativa e di una normativa troppo complicata, ridondante per certi aspetti, lacunosa per altri.

Che la digitalizzazione in Italia manchi di una governance solida e precisa non è un mistero, visto che negli ultimi anni abbiamo accumulato, in questo settore, più incarichi che risultati: un Digital Champion nazionale, un Consigliere per l’innovazione a Palazzo Chigi, un direttore dell’AgID e un Commissario di governo per il digitale a cui si aggiungono il Tavolo di indirizzo di AgID, il Tavolo permanente per l’innovazione e l’agenda digitale italiana, il Tavolo di coordinamento dell’Agenda digitale fra le Regioni.

A destare perplessità, sia chiaro, non sono le persone chiamate a ricoprire questi ruoli, né la loro indiscutibile professionalità, ma la mancanza di una definizione puntuale delle responsabilità e di una robusta strategia a lungo termine per i delicati processi di digitalizzazione del nostro Paese, che, magari, dia più nerbo al ruolo direttivo dell’AgID, senza spezzettare funzioni e poteri in un nugolo di incarichi, di fatto depotenziandoli.

La confusione dominante si riversa anche sulla normativa, producendo delle incongruenze non da poco e delle ricadute anche per la corretta conservazione e la sicurezza dei nostri dati e documenti. E non possiamo non ricordare che non si può parlare di corretta formazione e di puntuale gestione di dati, informazioni e documenti informatici senza un approccio attento alla sicurezza e alla conservazione (che devono procedere a braccetto).

Pensiamo ad esempio alla ricetta elettronica, di cui molto si parla in questi giorni. Paradossalmente nel DPCM 14 novembre 2015 mancano proprio precise disposizioni sulle regole in base alle quali procedere alla conservazione delle prescrizioni farmaceutiche in formato digitale e sul soggetto che deve occuparsene, esponendo questi documenti a dei rischi concreti, nonostante il Codice dell’Amministrazione digitale, agli articoli 43 e 44, imponga rispettivamente: la conservazione permanente in modalità digitale dei documenti informatici di cui è prescritta la conservazione per legge o regolamento, da effettuarsi in modo da garantire il rispetto delle regole tecniche stabilite ai sensi dell’art. 71 dello stesso CAD e delle misure di sicurezza previste dagli articoli da 31 a 36 del Codice Privacy (D.Lgs. n. 196/2003) e dal disciplinare tecnico di cui all’Allegato B dello stesso.

Ad oggi, invece, chi si sta preoccupando di conservare a norma di legge e in sicurezza le nostre prescrizioni mediche? E con quali modalità?

Segnali non incoraggianti vengono anche dallo schema di decreto che dovrebbe modificare il Codice dell’Amministrazione Digitale e che ha suscitato non poche perplessità, alcune delle quali strettamente legate alla sicurezza dei dati.

Come sostiene l’amico Carlo Mochi Sismondi (Forum- PA), sembra si voglia togliere di netto dal CAD tutto quello che non si è riusciti ad attuare finora, senza chiedersi se alcune norme non potrebbero, magari, ancora essere utili e applicabili con qualche piccola revisione dettata dal buon senso.

È questo il caso dell’art. 50bis, che prevedeva l’obbligo per tutte le amministrazioni di predisporre un piano di “continuità operativa” contenente anche lo studio sul “disaster recovery” sul quale avrebbe dovuto esprimersi AgID (all’epoca DigitPA) con un suo parere tecnico. Il rispetto puntuale di questa norma (già pienamente in vigore, ma sostanzialmente ignorata dalla stragrande maggioranza delle P.A.) avrebbe però fatto sì che AgID venisse sepolta da una mole enorme di piani e studi, inviati da tutte le amministrazioni italiane, ai quali avrebbe dovuto fare fronte fornendo per ognuno di essi un parere tecnico. Di fronte alla sua effettiva inattuabilità per come era stata concepita, si sta preferendo eliminare tout court una norma – che ha invece un valore per la sicurezza dei dati gestiti dalle PA – piuttosto che prevederne un’applicazione selettiva (solo per alcuni enti maggiori, ad esempio) o più graduale nel tempo.

Sempre nell’ottica di offrire un’adeguata sicurezza ai dati detenuti dagli enti pubblici, come non mettere in evidenza che le uniche regole tecniche a mancare tutt’ora all’appello sono proprio le Regole tecniche previste dall’art. 51 del Codice dell’Amministrazione Digitale, che dovrebbero stabilire le modalità atte a garantire l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture delle amministrazioni pubbliche e che risultano imprescindibili per garantire la sicurezza informatica sia delle infrastrutture, sia del crescente patrimonio informativo digitale, soprattutto degli enti che gestiscono dati e documenti di natura pubblicistica.

Sulla loro pubblicazione tutto tace, mentre intanto si continua a “utilizzare” come riferimento normativo l’Allegato B al Codice privacy. Questo dovrebbe destare particolare preoccupazione, ma si preferisce pensare di risolvere tutto affidandosi a nomine di “super esperti” deputati alla cybersicurezza nazionale. Purtroppo non sono questi gli strumenti reali per presidiare i processi e modelli organizzativi che servono davvero per la digitalizzazione del Paese.

Ma possiamo digitalizzare la PA lasciando nella normativa un “buco” proprio riguardo alla sicurezza dei dati del cittadino?

La domanda è ovviamente retorica, dal momento che la sicurezza di dati e documenti è il primo, ineludibile principio, su cui basare la loro conservazione digitale: senza sicurezza, quindi, non c’è digitalizzazione.

Non rischiamo di minare il delicato rapporto PA-cittadino con insidie che lo rendano un rapporto complesso, arzigogolato, pieno di vicoli ciechi, come nel film di Nanni Loy, ma cerchiamo di farne una relazione sana, bidirezionale, funzionante: ne trarremo tutti vantaggio.

Riferimenti

Il CAD che ho letto e il CAD che sognavo, Carlo Mochi Sismondi, http://www.forumpa.it/pa-digitale/il-cad-che-ho-letto-e-il-cad-che-sognavo

A cura di: Andrea Lisi, Presidente di ANORC, Silvia Riezzo, Responsabile comunicazione Digital&Law Department

Profilo Autore

Avvocato esperto in diritto delle nuove tecnologie, Presidente ANORC Professioni, Segretario Generale ANORC e AIFAG e Coordinatore del Digital & Law Department dello Studio Legale Lisi. È Docente presso la Document Management Academy e la MIS Academy della SDA Bocconi.

Condividi sui Social Network:

Articoli simili