In uno dei suoi ultimi interventi, Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali, ha ribadito la necessità di ricercare continuamente nuove soluzioni che rendano compatibili le spinte tecnologiche con i diritti e le libertà[i] degli individui. È un dovere che, peraltro, è scritto a chiare lettere nell’art. 24 del Regolamento UE 679/2016 (GDPR)[ii] quando afferma che “[Le misure tecniche ed organizzative] … sono riesaminate e aggiornate qualora necessario”.
Siamo, dunque, destinati a ripetuti cicli di progettazione e revisione che, per la verità, non costituiscono nulla di nuovo nelle realtà aziendali moderne che, da anni, si ispirano al ciclo di Deming (Plan‑Do‑Check‑Act) nel governo dei processi.
La revisione, peraltro, deve collocarsi nella cornice della transizione verso il digitale, che ha il suo padre nobile normativo per le Pubbliche Amministrazioni nel Codice dell’Amministrazione Digitale (CAD – Dlgs. 82/2005)[iii]. L’’art. 17, in particolare, richiede che ciascuna amministrazione pubblica individui un ufficio cui affidare il governo della transizione digitale ovvero di tutte quelle attività finalizzate alla realizzazione di un’amministrazione digitale e aperta, dotata di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. Quindi, per la Pubblica Amministrazione “un doppio salto (mortale?)”: quello nel digitale e quello nella compliance alle norme in materia di trattamento dei dati personali.
Il percorso tracciato richiede, quindi, di coltivare i sogni di introduzione delle nuove tecnologie, attraverso il responsabile per la transizione digitale (ex art. 17 del CAD), rimanendo fermamente ancorati alla realtà della tutela dei dati personali, attraverso il Data Protection Officer (ex art. 37 del GDPR) che costituisce un’ulteriore figura professionale obbligatoria per gli organismi pubblici.
Il responsabile per la transizione digitale, dunque, è una figura obbligatoria per tutte le Pubbliche Amministrazioni a partire dal 14 settembre 2016, a seguito dell’entrata in vigore del Dlgs. 179/2016 (modificativo del CAD). In precedenza, l’obbligo di designare tale figura era riservato alle sole Pubbliche Amministrazioni centrali che, di solito, erano già attrezzate con un apposito ufficio dirigenziale preposto al governo dell’evoluzione ICT dell’ente.
La ratio della novità introdotta nel 2016 risiedeva nella necessità di coinvolgere le migliaia di enti pubblici medio/piccoli (comuni, ordini professionali, ecc.) nell’ecosistema digitale che si sognava (e si sogna) per il Paese e che li vedeva relegati ai margini. I motivi della marginalizzazione/arretratezza sono stati essenzialmente due:
L’obbligo di individuare tale figura, tuttavia, non ha rimosso le cause che hanno generato, a parte qualche isolato caso virtuoso, il ritardo della Pubblica Amministrazione nella spinta all’innovazione tecnologica.
L’impegno richiesto, peraltro, appare significativo a mente del primo comma dell’art. 17 del CAD; infatti, i compiti attribuiti al responsabile per la transizione digitale sono:
Quindi, un’attività a tutto campo che, in parte, si sovrappone allo svolgimento dei compiti che il GDPR assegna al Data Protection Officer.
Com’è noto, il Data Protection Officer (DPO)
Questi due elementi obbligano tutte le Pubbliche Amministrazioni, anche le più piccole, ad individuare due soggetti distinti per i ruoli di responsabile per la transizione digitale e di Data Protection Officer. Tuttavia, spesso, le risorse economiche disponibili per figure di livello professionale così elevato non sono disponibili e la tentazione, soprattutto per le Pubbliche Amministrazioni più piccole, è quella di provvedere alla nomina per mero adempimento senza riflettere sugli effetti dell’ulteriore ritardo accumulabile, oltre che sugli aspetti sanzionatori previsti dal GDPR.
In ogni caso, il comma 1 dell’art. 38 del GDPR prevede che il titolare del trattamento dei dati personali coinvolga il DPO, tempestivamente ed adeguatamente, in tutte le questioni riguardanti la protezione dei dati personali. Questo vuol dire che, andando a rileggere la lettera c) delle attività che svolge il responsabile per la transizione digitale (RTD), è necessario un forte coordinamento tra quest’ultimo ed il DPO.
L’attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica, a cura del RTD, deve essere garantita, infatti, nel rispetto dei paradigmi di privacy by design e privacy by default previsti dal GDPR e sulla conformità ad essi il DPO deve svolgere una specifica attività di vigilanza.
Ad onor del vero, anche le attività di sviluppo dei sistemi di telecomunicazione (lettera a), di progettazione di servizi in rete per i cittadini (lettera h), di coordinamento dei progetti di interoperabilità (lettera j) o di pianificazione degli acquisti (lettera j‑bis) costituiscono ambiti nei quali è richiesta una stretta collaborazione tra RTD e DPO, in considerazione dei possibili rischi che possono emergere, oltre che della individuazione di misure di contenimento degli stessi già in fase di pianificazione.
L’onere della transizione, oltre che condivisibile con il DPO, può risultare meno gravoso per l’RTD grazie all’attività sviluppata dall’Agenzia per l’Italia Digitale (AGID). Infatti, l’AGID nel Piano Triennale per l’Informatica nella Pubblica Amministrazione[iv] ha pianificato il percorso di avvicinamento delle Pubbliche Amministrazioni ad una gestione più moderna e tecnologicamente evoluta.
Recentemente, peraltro, l’AGID ha completato uno dei passaggi chiave del piano: la definizione della piattaforma per la qualificazione dei Cloud Service Provider[v] al fine di costituire un marketplace[vi] al quale le pubbliche amministrazioni dovranno rivolgersi, a partire dal 30 novembre 2018, per l’acquisto di servizi IaaS, Paas e Saas. Questo potrà aiutare le Pubbliche Amministrazioni ad approvvigionarsi di servizi cloud che offrano garanzie, certificate dal pool di esperti AGID, su
Quindi, un’occasione da non perdere per spingere sull’evoluzione dei sistemi informativi coniugando innovazione tecnologica e tutele previste dal GDPR.
A cura di: Francesco Maldera
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…