Scatta il conto alla rovescia verso la diretta applicabilità del nuovo Regolamento Ue sulla protezione dei dati personali, fissata per il 25 maggio 2018. Il countdown è partito e i nuovi adempimenti previsti per cittadini, aziende, enti pubblici, associazioni, liberi professionisti sono precisi e stringenti. In particolare, l’obbligo di nominare un Dpo (Data protection officer) negli enti della PA desta non poche preoccupazioni al Garante Privacy Antonello Soro e fra gli addetti ai lavori, riuniti ieri a Roma nella sede della Rappresentanza in Italia della Commissione Europea che ha ospitato l’evento “Save the Data. Verso il nuovo Regolamento sulla protezione dei dati personali” – #savethedata – organizzato dalla neonata associazione Privacy Italia, l’hub italiano della Data Protection. All’evento moderato da Raffaele Barberio, presidente di Privacy Italia, hanno partecipato Beatrice Covassi, capo della rappresentanza in Italia della Commissione Europea; Antonello Soro, presidente dell’Autorità Garante per la Protezione dei Dati Personali; il professor Donato Antonio Limone, Ordinario di Informatica giuridica, Direttore della Scuola Nazionale di Amministrazione Digitale (SNAD), Università Unitelma Sapienza; Cristiano Cannarsa, presidente e amministratore delegato della Sogei; Gianna Barbieri, direttore generale per i Sistemi Informativi e la Statistica del Ministero dell’Istruzione; Massimo Casciello, direttore generale della digitalizzazione, del sistema informativo sanitario e della statistica del Ministero della Salute; Antonio Affinita, direttore del Movimento Italiano Genitori (Moige); Nicola Bernardi, presidente della Federprivacy; Luca Bolognini, presidente dell’Istituto Italiano per la Privacy; Gianluigi Ciacci, consigliere Associazione Nazionale Docenti di Informatica Giuridica e Diritto dell’Informatica (Andig); Fernanda Faini, presidente del Circolo dei Giuristi Telematici; Massimo Giuriati, esperto in Consulenza e Formazione Manageriale Associazione Data Protection Officer (Asso DPO); Michele Iaselli, presidente dell’Associazione Nazionale Difesa della Privacy; Serena Visintin, direttore della Federsanità ANCI; il prefetto Francesco Paolo Tronca, Direttore della Struttura di Missione per la prevenzione e il contrasto delle infiltrazioni mafiose nelle attività di ricostruzione post-sisma.
Privacy Italia
L’obiettivo di Privacy Italia, che ha organizzato il primo evento di accompagnamento verso l’effettiva applicabilità del nuovo GDPR (General Data Protection Regulation) sulla protezione dei dati personali, è “contribuire alla crescita di consapevolezza sul tema delicato della data protection, per difendere la somma algebrica di tutti i nostri dati in Rete – ha detto il presidente Raffaele Barberio – I dati sono il nuovo petrolio, però le minacce sono concrete sia di fronte al rischio di furti di dati personali, sia di fronte alla loro cessione a volte troppo ingenua su richiesta. E’ per questo che Privacy Italia invita tutti gli stakeholder, istituzioni, aziende, università, associazioni, consumatori e media nell’advisory board per diffondere i temi della data protection durante il countdown verso il GDPR”. Un prossimo appuntamento con è previsto intorno a novembre, mentre gli Stati Generali della Privacy saranno convocati a ridosso del 25 maggio 2018.
Commissione Ue
Il tema della Data Protection è legata a doppio filo alla digital economy, la nuova dimensione dell’economia globale. “Me ne sono occupata per anni – ha detto Beatrice Covassi, capo della rappresentanza in Italia della Commissione Europea – soprattutto in realzione al valore dei dati con la revisione della direttiva Ue nel 2012, che ha implicato un serrato lavoro di negoziato a livello transatlantico. In Europa la privacy è un diritto, che dal prossimo anno con il nuovo Regolamento sarà applicabile direttamente. Il nuovo GDPR è uno strumento cruciale, ora che i Big Data sono parte integrante delle nostre vite, per rafforzare i diritti dei cittadini ma anche la lotta al cybercrime”. Ed è proprio per questo, in relazione al valore sociale ed etico dei dati personali (si pensi alla sanità), che serve il contributo di tutti gli esperti per contribuire alla presa di consapevolezza di aziende, PA e società in generale rispetto al tema della Data Protection.
Garante Privacy
Antonello Soro, presidente dell’Autorità Garante della protezione dei Dati Personali, è tranquillo nel ricordare che “Il 25 maggio del 2018 non sarà l’anno zero della Privacy per l’Italia – ha detto – però dovremo prepararci per essere pronti, perché il nuovo GDPR arriva a 20 anni dalla prima direttiva Ue in materia. Esiste un nesso forte fra il nuovo Regolamento e il contesto europeo, fortemente mutato negli ultimi 20 anni, ma anche dalla pubblicazione del Codice nel 2003 e persino dal 2012 quando sono arrivato all’Autorità”. La nostra vita è sempre più digitale, “il paese più grande del mondo è un social network (Facebook ndr) – prosegue Soro – La raccolta dei dati personali ha favorito quella dell’economia digitale”, in un contesto sempre più dominato da robot e intelligenza artificiale dove il rischio di un eccesso di delega alla tecnologia va contrastato da una nuova centralità della protezione dati. “E’ il contesto globale che spinge ad un nuovo quadro giuridico – aggiunge Soro – Il nuovo GDPR armonizza la disciplina a livello europeo, compreso il Regno Unito, ma anche altri stati (Giappone, Australia, Canada e India) guardano al modello europeo di regolamento, centrato sulle persone”. C’è poi l’appello del Garante: “Non lasciamo la protezione dati all’improvvisazione. Al rischio data breach bisogna pensarci ora”, con riferimento all’attacco hacker WannaCry, sulla bocca di tutti in questi giorni ma che rischia di passare in secondo piano a breve, passata la fase di emergenza. “Il sistema italiano non è pronto ad un attacco ostile – dice Soro – ma il digitale sarà sempre più terreno di scontro fra Stati e imprese. Competeranno soltanto le aziende in grado di garantire la security ad aziende e individui”.
In vista del countdown, il Garante (che nell’ambito dell’Article 29, il gruppo dei garanti Ue sta mettendo a punto le linee guida per il GDPR, che saranno completate in autunno) vuole accompagnare imprese e Pubbliche Amministrazioni, anche decentrate, con una serie di incontri per non arrivare impreparate alla scadenza del 25 maggio 2018. Per cambiare assetto sulla Data Protection non basta una delibera comunale.
Pubblica Amministrazione
Il Garante Soro avvia quindi una nuova fase, in un contesto globale critico per la protezione dati, e la Pubblica Amministrazione non può permettersi di restare indietro. “Il principio di responsabilizzazione e di accountability non sono semplici adempimenti, ma implicano skill particolari che purtroppo nella PA non esistono – dice Donato Antonio Limone, Ordinario di Informatica giuridica, Direttore della Scuola Nazionale di Amministrazione Digitale (SNAD), Università Unitelma Sapienza – Nella PA non si fa formazione, la protezione dati è una materia nuova, la cultura dei dati è considerata un adempimento e lo stesso vale per la sicurezza”. Il professore prosegue il suo ragionamento: “Il nuovo regolamento sarà più adeguatamente seguito se sarà applicato in ambito nativamente digitale – dice Limone – Serve un approccio integrato con il nuovo CAD (Codice dell’amministrazione digitale). Il conto della produzione dati da parte dei dipendenti pubblici che lavorano sui dati è di 155 miliardi”. Anche in relazione a questo, il nuovo GDPR rischia grosso nel contesto normativo italiano, basato su una pletora di regole. “E’ per questo che il Data Protection Officer dovrà considerare e mettere in pratica il diritto alla trasparenza, come previsto dal CAD – aggiunge Limone – dovrà conoscere i sistemi della PA, per proteggerli e garantire la sicurezza informatica, che va integrata con il patrimonio pubblico dei dati”.
Il piano di Sogei
Il rifiuto totale dell’improvvisazione auspicato dal Garante Soro “è fondamentale – ha detto Cristiano Cannarsa, presidente e amministratore delegato della Sogei – i servizi digitali devono coesistere con la sicurezza”. Per adottare le nuove misure di sicurezza introdotte dal Regolamento europeo in materia di protezione dei dati personali, Sogei, partner tecnologico del Ministero dell’Economia e delle Finanze, “ha definito, già da tempo, un piano attuativo in risposta alle prescrizioni innovative”. “Il piano attuativo di Sogei – ha spiegato il manager – è basato sui cardini del Regolamento e riguarda, principalmente, l’integrazione in tutti i processi aziendali dei requisiti di sicurezza e privacy previsti dalla normativa e dai relativi adempimenti”.
Sogei, prosegue Cannarsa, “ha definito uno strumento di multicompliance, che raccoglie i requisiti di sicurezza e privacy in un unico framework, estensibile anche in vista di nuove norme o regolamenti. Tale framework unificato consente di eliminare la ridondanza che deriva da molteplici standard di sicurezza, da normative e da regolamenti specifici e permette di ottimizzare i tempi e le risorse necessarie per le analisi e i conseguenti interventi in materia di privacy e sicurezza”.
Scuola
Il Miur gestisce banche dati con milioni di record, che comprendono il personale e gli studenti, con l’offerta di servizi all’esterno come ad esempio l’iscrizione online. “Ho avuto il primo approccio con il Codice Privacy nel 2009 – ricorda Gianna Barbieri, direttore generale per i Sistemi Informativi e la Statistica del Ministero dell’Istruzione – l’Anagrafe degli studenti esiste con finalità ben precise, la banca dati degli studenti comprende 8,5 milioni di nominativi ed è stato esteso nel 2012. L’anagrafe degli studenti disabili è in via di completamento, ci sono poi i dati dei minori e quelli degli alunni disabili. I dati degli studenti vengono cancellati dopo il diploma, in futuro sarà consentito l’accesso degli atenei per la verifica della frequenza”. Sul fronte sicurezza, il Miur non ha mai subito attacchi dall’esterno e ha già avviato dei gruppi di lavoro in vista dell’entrata in vigore del nuovo GDPR.
Sanità
In ambito sanitario, la consapevolezza del valore dei dati è fondamentale in un contesto sempre più marcato dalla presenza del digitale “per la diagnostica precoce e da nuovi sistemi di realtà aumentata per il medico – dice Massimo Casciello, direttore generale della digitalizzazione, del sistema informativo sanitario e della statistica del Ministero della Salute – in ottica di machine learning, la presenza del maggior numero di dati è basilare”. In tema di privacy e trasparenza, le procedure per garantirla già ci sono, mentre per il nuovo GDPR “ci vorranno disposizioni di legge – dice Casciello – che dovranno comunque rispettare i criteri della necessità dell’utilizzo del dato, della non eccedenza e della mancata vigilanza”. Se la privacy non è considerata un ostacolo in ambito sanitario, un grosso problema, soprattutto “a livello di strutture sanitarie periferiche”, è la sicurezza dei dati.
“La gestione del dato sanitario è delicata – ha detto Serena Visintin, direttore della Federsanità ANCI – in particolare quando si tratta di patologie particolari, i cui dati vanno curati come se fossero quelli di minori. I ministri della salute in ambito Ocse hanno chiesto di poter utilizzare i dati sanitari in maniera condivisa, per accrescere il know how di conoscenza”. Un tema interessante, da valutare, tenendo conto dei rischi. Anche l’Italia procede sul fronte del digitale in salità, con alcune regioni (Lombardia, Veneto, Puglia, Emilia Romagna) più avanti di altre. Mentre un tema caldo riguarda l’auspicio di Visintin di condividere le banche dati sanitarie e sociali: “Sarebbe molto utile soprattutto per la cura di anziani e indigenti”, ha detto Visintin, che ha chiuso con un riferimento alla banca dati dei diabetici: come regolarsi con i dati dei pazienti?
I nostri figli sui social vanno protetti
Grande apertura alla collaborazione da parte delle associazioni, che hanno offerto in pieno il loro appoggio al Garante Privacy nell’opera di sensibilizzazione culturale da mettere in pratica nell’anno che ci separa dalla piena entrata in vigore del nuovo Regolamento Ue sulla protezione dei dati personali. “I nostri figli so’ piezz’e core – ha detto Antonio Affinita, direttore del Movimento Italiano Genitori (Moige) – Il tema della gestione dei nostri figli sui social media è una questione acutissima”. E basta un dato per capire il senso dell’affermazione di Affinita: “su 4mila suicidi all’anno in Italia, mille sono ad opera di ragazzi – dice – sui social media ci sono tutti i dati dei minorenni il caso di Lecco (l’eBook con le donne single della zona pescate su Facebook ndr) fa scuola. Facebook ottiene gratis tutti i dati di un minorenne, ma in Italia i minorenni fra 13 e 18 anni non possono sottoscrivere un contratto, mentre con Facebook viene sottoscritto un contratto di cessione dei loro dati. In Italia ci sono più di 2 milioni di minorenni che hanno sottoscritto contratti nulli per legge con Facebook sui quali i genitori non possono in alcun modo intervenire”. Per questo il Moige si augura “provvedimenti seri sui minorenni”.
Sulla stessa linea Gianluigi Ciacci, consigliere Associazione Nazionale Docenti di Informatica Giuridica e Diritto dell’Informatica (Andig): “I genitori di figli preadolescenti hanno bisogno di aiuto, il Garante privacy non può fare miracoli – dice Ciacci – la base per difendersi è l’informatica giuridica, il nuovo CAD impone all’informatica giuridica anche la funzione di tutelare genitori e figli online”.
Della necessità di bilanciare “dati, interessi e soggetti” parla Fernanda Faini, presidente del Circolo dei Giuristi Telematici, che fa notare come “il nuovo Regolamento non parla esplicitamente di Big Data, ma servono linee guida chiare in questo ambito – dice Faini – E’ un problema di interessi: il mercato e i giganti del web si pongono come controllori dei dati e del patrimonio informativo. Il compito dell’informatica giuridica è bilanciare le diverse forze”.
Mobilitazione
“Ad appena 12 mesi dalla piena operatività del GDPR se ne parla ancora troppo poco – dice Nicola Bernardi, presidente della Federprivacy – Serve una comunicazione massiva, il tema non deve restare confinato ai convegni e agli addetti ai lavori. Nuove tutele sono in arrivo per le persone ma pochi lo sanno. Serve una mobilitazione nei prossimi mesi per dire che entreranno in vigore forti sanzioni per chi non si adegua e nuovi diritti per tutti. Il vero proprietario dei dati è il cittadino”.
DPO
“Il nostro obiettivo è aiutare i DPO nella loro attività – dice Massimo Giuriati, esperto in Consulenza e Formazione Manageriale vice presidente Associazione Data Protection Officer (Asso DPO) – Lavorando con la PA ho potuto riscontrare modelli organizzativi vecchi, oggli la privacy nella PA è poco presidiata. Un domani, con il DPO, faremo un salto in avanti per adeguare la PA dal punto di vista tecnologico. Il dato è la cosa più importante che abbiamo. Un dossier sanitario al mercato nero costa 30 euro, ciò significa che 500mila dossier sanitari costano 15 milioni, poca roba per una grande azienda. E’ per questo che dobbiamo dare un segnale forte, la protezione del dato è fondamentale”.
“Dobbiamo suscitare un maggior interesse sulla privacy da parte dei cittadini con la figura del DPO – ha detto Michele Iaselli, presidente dell’Associazione Nazionale Difesa della Privacy – l’obiettivo è favorire al massimo una maggior responsabilizzazione e autocoscienza dei cittadini, tenendo sempre conto che tecnologia e privacy non devono essere in antitesi fra loro”. In ambito PA, “sono un po’ preoccupato, perché non vedo troppo interesse nonostante l’imminente arrivo del nuovo Regolamento Ue. Di certo, bisogna evitare che il 24 maggio del prossimo anno ci si ponga il problema della nomina del DPO”.
Class action sulla privacy
Ci sono alcune novità “minime, ma enormi, presenti nel nuovo GDPR – dice Luca Bolognini, presidente dell’Istituto Italiano per la Privacy – in primo luogo, questa legislazione europea è quella della democrazia digitali, per questo mi aspetto un ruolo sempre più importante dei Garanti Ue e di quello italiano per capire quali sono i limiti del potere pubblico in tema di algoritmi. In secondo luogo, il ruolo del Data Protection Officer (Dpo) sarà molto più rilevante nel settore pubblico rispetto a quello privato, penso al DPO pubblico come ad un ombudsman digitale, con un ruolo di pre-filtro di liceità nell’utilizzo dei dati personali dei cittadini. In terzo luogo, l’articolo 80 del nuovo Regolamento è sottovalutato, ma riconosce la possibilità che dal 25 maggio 2018 nascano delle possibili class action in materia di privacy”.
Legalità
Le conclusioni sono state affidate al prefetto Francesco Paolo Tronca, Direttore della Struttura di Missione per la prevenzione e il contrasto delle infiltrazioni mafiose nelle attività di ricostruzione post-sisma: “La privacy è un problema delicatissimo – ha detto Tronca – Privacy e protezione dei dati sono due facce della stessa medaglia, una sfida fondamentale dei nostri giorni. Serve prevenzione in questo ambito, di fronte all’enorme mole di dati disponibili che chiamano in causa problemi come il conflitto d’interessi, il diritto all’oblio, il ruolo delle diverse Authority, le intercettazioni, il telepass, l’autovelox e il cellulare: in questi ambiti andiamo a toccare veramente i diritti fondamentali dell’uomo. L’ordinamento deve adeguarsi, la PA deve affrontare il cambiamento con senso alto di responsabilità, individuando criticità e insidie. Il problema della privacy va ricondotto nel perimetro più ampio della legalità. Bisogna piantare dei paletti per tutelare la libertà, che è l’essenza della democrazia, attraverso la prevenzione”.