La Pubblica Amministrazione tra privacy e transizione digitale

A cura di:Francesco Maldera Ore

Innovazione e protezione dei dati

In uno dei suoi ultimi interventi, Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali, ha ribadito la necessità di ricercare continuamente nuove soluzioni che rendano compatibili le spinte tecnologiche con i diritti e le libertà[i] degli individui. È un dovere che, peraltro, è scritto a chiare lettere nell’art. 24 del Regolamento UE 679/2016 (GDPR)[ii] quando afferma che “[Le misure tecniche ed organizzative] … sono riesaminate e aggiornate qualora necessario”.

Siamo, dunque, destinati a ripetuti cicli di progettazione e revisione che, per la verità, non costituiscono nulla di nuovo nelle realtà aziendali moderne che, da anni, si ispirano al ciclo di Deming (Plan‑Do‑Check‑Act) nel governo dei processi.

La revisione, peraltro, deve collocarsi nella cornice della transizione verso il digitale, che ha il suo padre nobile normativo per le Pubbliche Amministrazioni nel Codice dell’Amministrazione Digitale (CAD – Dlgs. 82/2005)[iii]. L’’art. 17, in particolare, richiede che ciascuna amministrazione pubblica individui un ufficio cui affidare il governo della transizione digitale ovvero di tutte quelle attività finalizzate alla realizzazione di un’amministrazione digitale e aperta, dotata di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. Quindi, per la Pubblica Amministrazione “un doppio salto (mortale?)”: quello nel digitale e quello nella compliance alle norme in materia di trattamento dei dati personali.

Il percorso tracciato richiede, quindi, di coltivare i sogni di introduzione delle nuove tecnologie, attraverso il responsabile per la transizione digitale (ex art. 17 del CAD), rimanendo fermamente ancorati alla realtà della tutela dei dati personali, attraverso il Data Protection Officer (ex art. 37 del GDPR) che costituisce un’ulteriore figura professionale obbligatoria per gli organismi pubblici.

Il compito del responsabile per la transizione digitale

Il responsabile per la transizione digitale, dunque, è una figura obbligatoria per tutte le Pubbliche Amministrazioni a partire dal 14 settembre 2016, a seguito dell’entrata in vigore del Dlgs. 179/2016 (modificativo del CAD). In precedenza, l’obbligo di designare tale figura era riservato alle sole Pubbliche Amministrazioni centrali che, di solito, erano già attrezzate con un apposito ufficio dirigenziale preposto al governo dell’evoluzione ICT dell’ente.

La ratio della novità introdotta nel 2016 risiedeva nella necessità di coinvolgere le migliaia di enti pubblici medio/piccoli (comuni, ordini professionali, ecc.) nell’ecosistema digitale che si sognava (e si sogna) per il Paese e che li vedeva relegati ai margini. I motivi della marginalizzazione/arretratezza sono stati essenzialmente due:

  • scarse risorse finanziarie da impiegare negli investimenti ICT;
  • deficit di competenze ICT difficilmente colmabile per il reiterato “blocco dei concorsi pubblici”.

L’obbligo di individuare tale figura, tuttavia, non ha rimosso le cause che hanno generato, a parte qualche isolato caso virtuoso, il ritardo della Pubblica Amministrazione nella spinta all’innovazione tecnologica.

L’impegno richiesto, peraltro, appare significativo a mente del primo comma dell’art. 17 del CAD; infatti, i compiti attribuiti al responsabile per la transizione digitale sono:

  • a) coordinamento strategico dello sviluppo dei sistemi informativi di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
  • b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
  • c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
  • d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilità anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4 ;
  • e) analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa;
  • f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
  • g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
  • h) progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
  • i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
  • j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis.
  • j-bis) pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b).

Quindi, un’attività a tutto campo che, in parte, si sovrappone allo svolgimento dei compiti che il GDPR assegna al Data Protection Officer.

Il compito del Data Protection Officer

Com’è noto, il Data Protection Officer (DPO)

  • deve essere nominato da tutti gli organismi pubblici (art. 37, comma 1, lettera a del GDPR);
  • assume una posizione di autonomia ed indipendenza rispetto alle decisioni che riguardano i processi decisionali ed operativi relativi al trattamento dei dati personali (art. 38 comma 6 del GDPR).

Questi due elementi obbligano tutte le Pubbliche Amministrazioni, anche le più piccole, ad individuare due soggetti distinti per i ruoli di responsabile per la transizione digitale e di Data Protection Officer. Tuttavia, spesso, le risorse economiche disponibili per figure di livello professionale così elevato non sono disponibili e la tentazione, soprattutto per le Pubbliche Amministrazioni più piccole, è quella di provvedere alla nomina per mero adempimento senza riflettere sugli effetti dell’ulteriore ritardo accumulabile, oltre che sugli aspetti sanzionatori previsti dal GDPR.

In ogni caso, il comma 1 dell’art. 38 del GDPR prevede che il titolare del trattamento dei dati personali coinvolga il DPO, tempestivamente ed adeguatamente, in tutte le questioni riguardanti la protezione dei dati personali. Questo  vuol dire che, andando a rileggere la lettera c) delle attività che svolge il responsabile per la transizione digitale (RTD), è necessario un forte coordinamento tra quest’ultimo ed il DPO.

Gli ambiti comuni

L’attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica, a cura del RTD, deve essere garantita, infatti, nel rispetto dei paradigmi di privacy by design e privacy by default previsti dal GDPR e sulla conformità ad essi il DPO deve svolgere una specifica attività di vigilanza.

Ad onor del vero, anche le attività di sviluppo dei sistemi di telecomunicazione (lettera a), di progettazione di servizi in rete per i cittadini (lettera h), di coordinamento dei progetti di interoperabilità (lettera j) o di pianificazione degli acquisti (lettera j‑bis) costituiscono ambiti nei quali è richiesta una stretta collaborazione tra RTD e DPO, in considerazione dei possibili rischi che possono emergere, oltre che della individuazione di misure di contenimento degli stessi già in fase di pianificazione.

L’impegno dell’AGID

L’onere della transizione, oltre che condivisibile con il DPO, può risultare meno gravoso per l’RTD grazie all’attività sviluppata dall’Agenzia per l’Italia Digitale (AGID). Infatti, l’AGID nel Piano Triennale per l’Informatica nella Pubblica Amministrazione[iv] ha pianificato il percorso di avvicinamento delle Pubbliche Amministrazioni ad una gestione più moderna e tecnologicamente evoluta.

Recentemente, peraltro, l’AGID ha completato uno dei passaggi chiave del piano: la definizione della piattaforma per la qualificazione dei Cloud Service Provider[v] al fine di costituire un marketplace[vi] al quale le pubbliche amministrazioni dovranno rivolgersi, a partire dal 30 novembre 2018, per l’acquisto di servizi IaaS, Paas e Saas. Questo potrà aiutare le Pubbliche Amministrazioni ad approvvigionarsi di servizi cloud che offrano garanzie, certificate dal pool di esperti AGID, su

  • livelli prestazionali;
  • effettiva interoperabilità;
  • meccanismi di sicurezza posti a protezione dei dati e, in particolare, dei dati personali.

Quindi, un’occasione da non perdere per spingere sull’evoluzione dei sistemi informativi coniugando innovazione tecnologica e tutele previste dal GDPR.

Note

  • [i]       https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9005804
  • [ii]      https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando
  • [iii]      https://cad.readthedocs.io/it/v2017-12-13/
  • [iv]      https://pianotriennale-ict.italia.it/
  • [v]      https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2018/07/23/piano-triennale-online-piattaforma-qualificazione-csp
  • [vi]      https://cloud.italia.it/marketplace/supplier/market/index.html

 

A cura di: Francesco Maldera

Profilo Autore
Francesco Maldera

Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

Altri Articoli
Condividi sui Social Network:

Articoli simili

Un aiuto per l’audit AI

Un aiuto per l’audit AI

A cura di:Stefano Gorla e Attilio Rampazzo Ore Pubblicato il

Come accennato nei precedenti articoli: E’ possibile una Governance e un Controllo dell’AI?; E’ possibile un controllo dell’Intelligenza Artificiale?; La Governance dell’AI attraverso le norme ISO; Ancora sulla Governance dell’AI; Un approccio alla Governance dell’AI; Modello di autovalutazione relativo a un sistema di Intelligenza Artificiale; il controllo sui sistemi AI è di fondamentale importanza per…

A case history – Think Different

A case history – Think Different

A cura di:Vincenzo Digilio Ore Pubblicato il

L’utilizzo del termine “Hacker” è uno degli esempi migliori degli ultimi tempi di discriminazione dei mass media ed uso improprio delle parole. Numerosi criminali informatici spacciano i loro misfatti definendoli “hack” ed ogni giorno assistiamo a slogan del tipo: “Hacker svuotano conto in banca”, “Tizio risponde ad un SMS e il suo portfolio evapora”, “Centrale…

Martin McKeay – Intervista al Forum ICT Security 2014

Martin McKeay – Intervista al Forum ICT Security 2014

A cura di:Redazione Ore Pubblicato il

Martin McKeay Senior Security Advocate di Akamai. Martin McKeay speaks about Akamai’s approach and explanes the reasons why it is different from any other in the market. During the interview he describes types of attack that customers receive more often and gives suggestions to mantain their website secure.

Un approccio alla Governance dell’AI

Un approccio alla Governance dell’AI

A cura di:Stefano Gorla Ore Pubblicato il

Governance è una parola complicata e un po’ fumosa, perché essa include tutti i processi di governo aziendali. È il modo in cui le regole o le azioni sono strutturate, mantenute e regolamentate compreso il modo in cui viene assegnata la responsabilità. Garantire la governance dell’IA implica che l’IA sia spiegabile, trasparente ed etica. Queste…

SPC Cloud: le best practice cloud security per il sistema Cloud Computing italiano

SPC Cloud: le best practice cloud security per il sistema Cloud Computing italiano

A cura di:Alberto Manfredi Ore Pubblicato il

Introduzione Forse non tutti sanno che nel 2016 è stata aggiudicata la più grande gara europea relativa alla realizzazione della nuova piattaforma digitale nazionale, secondo il paradigma cloud computing, per la Pubblica Amministrazione italiana denominata “SPC Cloud”[1] La gara SPC Cloud è di fatto un passo importante nell’attuazione della strategia ICT nazionale come indicato nel…

TA444: la startup APT che usa il malware per sottrarre criptovalute

TA444: la startup APT che usa il malware per sottrarre criptovalute

A cura di:Redazione Ore Pubblicato il

TA444, un gruppo di minacce APT sponsorizzato dalla Corea del Nord che si sovrappone alle attività pubbliche denominate APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e COPERNICIUM, ha probabilmente il compito di generare entrate per il regime nordcoreano. Se in passato ha spesso preso di mira le banche, più di recente ha rivolto la sua attenzione alle…