Key4biz

Gdpr, il ritardo della Pa e cosa fare per adeguarsi in tempo (mancano meno di 3 mesi)

Donato A. Limone

La PA alla prova del Regolamento UE per la protezione dei dati personali. 

C’è da rilevare il ritardo con il quale le PA hanno preso in considerazione il regolamento:

oggi ci si accorge che il regolamento è applicabile dal 2016 e che dal 2016 al 24 maggio c’era una fase cosiddetta di adeguamento per attuare il regolamento con tempi interessanti e funzionali per assorbire i principi del regolamento che richiedono un nuovo tipo di amministrazione pubblica. E per questo i tempi di adeguamento sono ristretti ma tuttavia è necessario avviare il processo di innovazione amministrativa non solo per applicare il regolamento ma soprattutto per ammodernare la PA.

Il regolamento 679/2016 può essere applicato solo in una amministrazione pubblica rivisitata. La PA alla prova del regolamento significa la PA alla prova di un nuovo modello di PA.

Le mie considerazioni partono da questa premessa.

Dobbiamo sottolineare che l’approccio al problema rischia di seguire la logica dell’adempimento che è esattamente la logica che non supporta il regolamento in quanto i principi del regolamento delineano un approccio integrato, strutturale, sistemico, che interessa aspetti organizzativi, funzionali, documentali, informativi, comportamentali, tecnici.

Mi limito a citare i principi per rendersi conto della totale diversità di approccio rispetto alla situazione amministrativa attuale:

  1. totale responsabilizzazione e autonomia del titolare del trattamento nell’affrontare il problema della sicurezza dei dati personali (art. 24);
  2. protezione dei dati fin dalla progettazione per impostazione predefinita (art. 25);
  3. tutto ciò che si fa per il trattamento e la protezione dei dati deve essere registrato (art. 30)
  4. valutazione d’impatto sulla protezione dei dati (art. 35)
  5. analisi sistematica dei rischi nel trattamento.

Questi principi non permettono un approccio ed una soluzione di tipo prettamente formalistico che poi si risolverebbe (come avvenuto nei 20 anni trascorsi, dalla legge 675/96 in poi) in un approccio scarsamente operativo e concreto sul piano reale (cioè i dati non sarebbero protetti se non per adempimento in quanto ci si è attenuti a indicazioni o schemi formali o liste di cose da fare).

Si rischia una finzione di protezione dei dati.

Il regolamento detta norme per una protezione su “misura”

Il regolamento richiede un intervento per la protezione dei dati su misura di ciascuna amministrazione e quindi fuori da una logica di approccio standard generalizzato che va bene per tutto purché le carte siano a posto. Il regolamento UE incide ed inciderà molto fortemente sul contesto organizzativo ed amministrativo delle PA: lo mette radicalmente in discussione e richiede quindi in fase di “adeguamento” una revisione dell’assetto organizzativo degli enti senza la quale non è possibile attuare completamento il regolamento.

Ma come si presenta il contesto delle PA?

In termini generali (e con l’eccezione di poche amministrazioni rispetto a 30.000 enti pubblici con 3.500.000 di pubblici dipendenti) il contesto non si presenta molto bene:

Il contesto non aiuta le PA ad applicare il regolamento UE ma è necessario applicare il regolamento per dare un contributo all’ammodernamento delle PA.

La fase di adeguamento

La fase di adeguamento quindi è particolarmente significativa proprio in ragione delle osservazioni che abbiamo fatto sul contesto e quindi è necessario (sia pure tardivamente) avviare una fase di assessment organizzativo proprio per meglio conoscere la tipologia dei dati, i rischi nel trattamento, per definire una policy di protezione dei dati personali.

Le amministrazioni che hanno avviato un processo di semplificazione (purtroppo poche) oggi si trovano in una condizione migliore per applicare il regolamento proprio perché possono meglio intervenire sui rischi e per approntare le misure di sicurezza che sono organizzative e tecniche.

Nella fase di adeguamento (sono pochi tre mesi) si possono creare le condizioni per una visione moderna delle PA e per nuovi modelli di organizzazione e gestione innovativa.

In questo nuovo scenario possiamo trattare i dati personali non solo in quanto dati personali e da trattare secondo principi di riservatezza ma anche i dati personali come patrimonio di dati a valenza nazionale. Un Paese che tratta bene i dati personali e li protegge è un Paese moderno che riconosce ai dati pubblici in generale e ai dati personali trattati dalle PA (il patrimonio dei dati pubblici) una funzione primaria fondamentale per la crescita del Paese stesso.

Cosa fare nella fase di adeguamento

Nella fase di adeguamento sarà quindi necessario verificare cosa è stato fatto fino ad oggi dalle PA per la protezione dei dati personali e da questa situazione avviare un nuovo processo di trattamento, di valorizzazione, di protezione dei dati personali sulla base dei principi stabiliti dal regolamento. La fase di adeguamento è particolarmente importante e le analisi e le verifiche in questa fase dovranno quindi riguardare l’assetto attuale in tema di privacy ed in particolare alcuni aspetti:

I principi del regolamento non possono essere rispettati ed utilizzati se non in un contesto riorganizzato e digitalizzato.

Al di fuori di questo contesto l’applicazione del Regolamento non solo sarà difficile ma non sarà utile.

Il Data Protection Officer

La nomina dei Data Protection Officer non può che essere fatta anche in riferimento al contesto organizzativo delle PA e alle dinamiche di cambiamento: la nomina non può ridursi a mero adempimento amministrativo anche perchè il profilo del DPO è un profilo alto, particolarmente qualificato e competente.

Nè può essere fatta nella logica dello scarico delle responsabilità dei dirigenti e degli apicali amministrativi sul DPO: le funzioni del DPO accentuano ancora di più il ruolo e le responsabilità dei dirigenti e degli apicali proprio rispetto ai settori di competenza (i dirigenti sono responsabili del trattamento dei dati personali  e della protezione dei dati personali in quanto sono responsabili dell’organizzazione, delle risorse, dei procedimenti del proprio settore di competenza e quindi sono responsabili dei dati personali trattati nel proprio settore).

Formazione

In questa fase di adeguamento (sia pure in ritardo) un ruolo particolare può essere svolto dalla formazione sui principi del regolamento (e quindi sulla cultura della protezione dei dati personali in un contesto rinnovato). Una formazione non solo per un DPO all’altezza del regolamento ma soprattutto per la ridefinizione dei ruoli della dirigenza e/o degli apicali nel trattamento dei dati personali  e nella protezione degli stessi dati.

La formazione nella fase di adeguamento permette di cogliere l’occasione per prendere in esame tutta la struttura organizzativa.

Ma la formazione dovrebbe interessare i cittadini: fare crescere la cultura della privacy e della protezione dei dati personali.

In conclusione

Alla prova del regolamento oggi la PA (ciascuna PA) ha una ulteriore occasione per avviare un cambiamento nei termini di ammodernamento e di digitalizzazione. Il regolamento non può essere applicato nei termini di puro adempimento (il rischio in tal senso è molto alto) ma in termini di razionalizzazione del contesto amministrativo. Il regolamento stesso aiuta ad operare con un approccio moderno.

In questo nuovo contesto la prova dell’amministrazione pubblica sul Regolamento potrebbe risultare positiva. È quello che ci auguriamo.

Exit mobile version