Con l’entrata in vigore del GDPR, le Pubbliche Amministrazioni si troveranno ad affrontare nuovi adempimenti in tema di tutela e protezione dei dati personali.
Da sempre, la Pubblica Amministrazione si divide fra due temi strettamente correlati ed a tratti contrastanti: la protezione dei dati personali e la sfida della cosiddetta “amministrazione trasparente”.
Non è la prima volta che le Pubbliche Amministrazioni vengono contestate sulla loro gestione in questi ambiti: anche per questi motivi crea preoccupazione l’entrata in vigore del GDPR che implica diversi adempimenti da mettere in atto a partire dal 25 maggio 2018.
La reattività della PA su questi temi non è mai stata elevata. All’esordio della legge sulla privacy, oltre vent’anni fa, le amministrazioni si misero sulla difensiva e utilizzarono la riservatezza come strumento per negare ai cittadini le informazioni. Tranne poi passare, sulla spinta delle ultime norme sulla trasparenza, a diffondere online fin troppe notizie personali. Fu Stefano Rodotà, primo Garante della privacy, a puntare il dito contro l’uso improprio delle norme sulla riservatezza da parte della PA.
C’è poi l’altro versante, quello della protezione dei dati. Anche qui la PA si è dimostrata disattenta e lenta nell’adeguarsi alle prescrizioni del Garante.
I due aspetti – l’accesso alle informazioni e la loro tutela – danno l’idea dello stato della privacy nella pubblica amministrazione che si prepara a fare i conti con la riservatezza in chiave europea.
La sfida più importante che in nuovo Regolamento imporrà sarà ribaltare ciò che è stata fino ad ora la gestione aziendale italiana (non sono quella delle PA). Se prima si lavorava anni per arginare le falle create da un sistema inadeguato, da maggio in poi dovrà essere introdotto un sistema di gestione che valuta PREVENTIVAMENTE i rischi e le misure da adottare, prima di iniziare una qualsiasi attività in questi ambiti.
Fra gli esempi più esplicativi di questa tendenza portiamo il caso dell’Anagrafe tributaria, finita nel mirino del Garante della privacy a ottobre 2006. A settembre 2008 arrivano i risultati delle verifiche e sono preoccupanti: la gigantesca mole di informazioni contenuta nell’Anagrafe risulta a disposizione di un numero imprecisato di utenti, che la interrogano senza lasciare tracce.
Inoltre, a luglio 2013 l’Authority prescrive ai tribunali le misure per proteggere i dati delle intercettazioni, da mettere in campo entro i primi mesi del 2015, termine poi prorogato al 31 dicembre 2017. Dunque, è da meno di un mese che le sale d’ascolto delle procure dovrebbero essere state adeguate alle regole della privacy.
E le misure minime AgID?
Il 31 dicembre 2017, come se non bastasse, è una data ormai nota alle PA, cioè il termine ultimo per adottare le Misure Minime di Sicurezza ICT pubblicate da AgID.
Quante delle pubbliche amministrazioni si saranno adeguate? Aprendo la barra di ricerca di Google e scrivendo Misure Minime AgID, fra i primi risultati suggeriti troviamo “Misure Minime AdID sanzioni” e “Misure Minime AdID proroga”, il che ci fa pensare a quale sia il trend che le aziende hanno intrapreso. Feder.A.T.A. (La Federazione Nazionale del Personale Amministrativo Tecnico Ausiliario) scrive una richiesta di proroga ad AgID il 13/12/2017 https://www.federata.it/richiesta-proroga-misure-minime-sicurezza-ict-le-pubbliche-amministrazioni/
L’implementazione corretta di tutte quelle norme e provvedimenti già in vigore (come le misure minime AgID, ma anche gli Amministratori di sistema ecc…) sono un requisito fondamentale per la corretta adozione del GDPR.
Che consiglio dare alle aziende? Fare per l’ultima volta ciò che hanno fatto fino ad ora: ripercorrere e ricordare tutti gli adempimenti del passato, valutare il modo in cui vengono gestiti e mettere in atto tutto il necessario per adeguarsi alle normative già esistenti. Questo andrà a creare una solida base per la costruzione delle infrastrutture e delle attività necessarie alla conformità con il GDPR.
