Pubblichiamo il testo dell’intervento di Maria Elena Bramanti, DPO dell’Università degli Studi di Milano-Bicocca, scritto per il convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi nell’Ateneo milanese il 25 novembre scorso.
Come è noto anche la Pubblica Amministrazione, e quindi gli Atenei, devono far i conti con il diritto alla protezione dei dati personali. Nello specifico devono garantire ad ogni cittadino l’autodeterminazione decisionale e il controllo sulla circolazione dei propri dati, assicurando pertanto la libertà personale come diritto fondamentale, non solo come libertà fisica ma anche contro ogni controllo illegittimo e ogni ingerenza altrui.
Ogni individuo può quindi pretendere che i suoi dati personali siano raccolti e trattati da terzi solo nel rispetto delle regole e dei principi previsti dalle leggi in materia.
Il cittadino che diventa interessato ha pertanto il potere di disporre dei propri dati, e la Pubblica Amministrazione deve assicurargli il controllo su tutte le informazioni riguardanti la sua vita privata, fornendogli, nel contempo, gli strumenti per la tutela di queste informazioni.
Alcuni di questi strumenti sono fornititi dal GDPR, come:
- istanza di accesso per conoscere l’eventuale esistenza di propri dati personali,
- richiesta rettifica o cancellazione o limitazione del trattamento;
- opposizione al trattamento;
- portabilità;
- revoca al consenso;
- reclamo all’autorità di controllo.
Uno strumento chiave? Il principio dell’accountability
Altri devono essere garantiti alla Pubblica Amministrazione con cui il cittadino interagisce, e tra questi uno strumento chiave è il principio dell’accountability, che Bicocca ha utilizzato per la tutela dei cittadini, attraverso l’informazione, la formazione e la consapevolezza dei diritti.
In quest’ottica, Bicocca ha trattato i dati personali con liceità, correttezza e trasparenza, limitando le finalità, minimizzando i dati, con accuratezza, con integrità e confidenzialità, limitando la conservazione, e iniziando altresì il percorso di adeguamento fin dal maggio 2018 partendo da un’efficace formazione e progettando da capo il sistema privacy di ciascun affare, attività e procedimento, dando attuazione al principio della privacy by design.
L’esperienza di Bicocca è pertanto proceduta, non soltanto con l’adeguamento degli atti amministrativi, attraverso l’emanazione del Regolamento Interno dell’Ateneo, la redazione del registro dei trattamenti, la redazione delle informative, la definizione di un organigramma interno, ma anche attraverso la nomina di una rete di Referenti, uno per ciascuna struttura dell’Ateneo, sia UOR sia Dipartimenti, individuati per affiancare il DPO e collaborazione con esso per rendere attività, processi e affari GDPR compliant.
La rete dei referenti è risultata essere un eccellente strumento, tenuto conto che ha ottenuto ottimi risultati. Sin dal primo anno sono stati effettuati più di 40 incontri con i referenti, da un lato per informare i Referente, dall’altro lato al fine di formare gli stessi perdi rendere compliant tutti i processi gestiti da ciascuna struttura, siano processi di didattica, di ricerca e di terza missione.
Nel rispetto del principio di accountability si è ritenuto di preminente importanza garantire una adeguata formazione al personale autorizzato al trattamento, consentendo un aggiornamento professionale a tutte le figure operanti e uniformità ai processi; a tal fine sono stati predisposti tre corsi di formazione in house, due dei quali sono stati predisposti per il personale dell’Ateneo: il primo di taglio normativo e l’altro di taglio applicativo; uno diretto invece a sensibilizzare sul tema gli studenti. Tutti i corsi sono stati somministrati tramite piattaforma e-learning.
Successivamente l’attività si è evoluta e ha comportato non solo la prosecuzione dell’ordinaria attività di adeguamento, ma ha altresì avuto l’attenzione su aspetti di approfondimento, tra i quali si evidenziano:
- la redazione dei criteri per la redazione della valutazione d’impatto;
- la modulistica per il censimento del rischio;
- la redazione dell’accordo con i sindacati per la videosorveglianza;
Ed è continuata consulenza per progetti di ricerca.
Trasversalmente nel 2018 e nel 2019 si sono state attuate le policies di cui si è discusso durante gli incontri con i Referenti, sono stati redatti i modelli di clausole da inserire nei contratti, le nomine a Responsabile esterno, gli accordi di contitolarità. Si è prestata consulenza, sia a soggetti interni sia a soggetti esterni collegati all’Ateneo, ed è stata fornita consulenza ai Ricercatori in merito ai progetti di ricerca, provvedendo altresì all’emissione di pareri ogniqualvolta un ricercatore un docente o un funzionario tecnico amministrativo lo richiedesse.
Nota di merito alla consulenza offerta ai responsabili scientifici e ai direttori di dipartimento per i progetti di ricerca degli 8 Dipartimenti di Eccellenza, al fine di rendere tutti i processi conformi e approntati ai principi di privacy by design e by default, anche nell’ottica di una maggiore tutela degli interessati.
La prima DPIA elaborata relativa alla videosorveglianza
Ed ancora, l’attività sui processi è proseguita anche con la valutazione del rischio connesso ai trattamenti e con la definizione del modello di Valutazione d’impatto (DPIA); la prima DPIA elaborata è quella relativa alla videosorveglianza.
Per quanto riguarda invece la valutazione del rischio, questa è stata effettuata attraverso un censimento presso ciascun Referente, in relazione ai trattamenti di competenza della struttura di maggior rilevanza rispetto alla protezione del dato.
Tutto ciò senza esimersi dall’espletare nei tempi e nel rispetto dei termini procedurali previsti dalla normativa vigente il riscontro alle istanze di cui al GDPR.
Si è quindi portata avanti un’attività su un doppio binario: l’uno relativo all’adeguamento dei processi e l’altro relativo all’approfondimento delle tematiche, avendo sempre cura di garantire la maggior tutela del cittadino e quindi dell’interessato.
Pur essendo quella di Bicocca una esperienza positiva, ovviamente, nell’ottica di un miglioramento continuo, anche con riferimento alla tutela dei diritti degli interessati, si auspica di approntare un approccio sempre più diffuso e più capillare, prefiggendosi l’obiettivo di raggiungere ogni singolo ricercatore e ogni singolo autorizzato di fine di garantire che l’eticità della ricerca e l’attività dell’Ateneo vadano di pari passo con la tutela dei dati personali e degli interessati.