Pubblichiamo il testo dell’intervento tenuto da Lucio Badiali, DPO, Istituto Nazionale di Geofisica e Vulcanologia, al convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi nell’Ateneo milanese il 25 novembre scorso.
In tema di interesse nazionale e sovranità, la Ricerca rappresenta decisamente un asset strategico del sistema Paese. La ricerca nazionale è strutturata in circa una ventina di enti. Si va da quelli impegnati in studi sull’agricoltura, a quelli sulle particelle subatomiche, dagli studi sull’universo e alle tecnologie spaziali a quelli che si occupano di ricerca medica, biomedica, dalla genetica alla statistica, c’è chi fa scienze della terra, chi si occupa di ambiente, matematica, lavoro, energie, politiche pubbliche, istruzione e così via.
Come il gatto di Schrödinger, bisognava attendere l’entrata in vigore del GDPR per scoprire gli enti di ricerca non pronti
Ma gli enti di ricerca sono anche una declinazione dell’amministrazione pubblica. E da quel lontano 27 aprile 2016 gli enti, come la gran parte della PA, hanno vissuto in uno stato di indeterminatezza quasi quantistica. Come il gatto di Schrödinger, bisognava attendere il 24 maggio 2018 per scoprire che si sono presentati alla data dell’entrata in vigore del GDPR non così pronti come avrebbero potuto.
Non lo erano i titolari, i quali credevano stesse per sorgeva all’orizzonte solo un ulteriore gravoso adempimento normativo. Cercavano ancora al di fuori le regole cui conformarsi e gli elenchi dettagliati di prescrizioni per i trattamenti. Era troppo fuori dall’esperienza il seguire un modello di responsabilità e rendicontazione dell’operato. L’accountability, vera chiave di volta e rivoluzione copernicana nel nuovo mondo della protezione dati e della privacy, come principio sembrava un concetto più teorico che operativo.
Subito dopo il primo passo obbligato, ed eseguito con un po’ di inerzia, della nomina dei DPO, i DPO stessi del comparto della ricerca hanno iniziato a cercarsi per scambiare opinioni e valutare le migliori prassi. I Direttori generali, riuniti nella Conferenza permanente dei Direttori Generali degli Enti Pubblici di Ricerca Italiani (CO.DI.G.E.R.) intuendo l’importanza del fenomeno emergente, creavano per i DPO il “Tavolo Tecnico sulla Privacy”, luogo di incontro dove costruire uno standard operativo per la data protection della comunità degli enti ricerca, così da affrontare la sida del nuovo Regolamento. L’obiettivo era quello di fare rete.
Anche il Garante ha guardato a questa attitudine emergente, e l’ha sostenuta facilitandone il compito affidando al tavolo di lavoro un suo dirigente che periodicamente continua ad incontrare i DPO. Un supporto per vedere come cresce la consapevolezza della protezione dati in questa fetta di amministrazione pubblica in un rapporto dialettico fatto di dubbi, domande e risposte.
Oggi i DPO del comparto si sentono più preparati ad affrontare le sfide
Oggi, dopo il primo periodo di rodaggio, i DPO del comparto si sentono più preparati ad affrontare le sfide. Dopo poco più di un anno anche il DPO comincia ad assumere una sembianza più precisa. La sua figura di verifica e garanzia tuttavia non può essere completamente definita in una realtà che è sua volta liquida ed in divenire. Le sue stesse competenze sono messe continuamente in discussione. Come pure quelle degli organi decisionali di un tipico ente di ricerca. Durante i nostri scambi ci domandiamo cosa ci si aspetti da un DPO e in cosa potrebbe evolvere, rispetto a ciò che si è tentato di stabilire finora sia nelle normative nazionali sia in quella europea con un corpus della materia e di competenze che non è più ormai solamente riferibile al GDPR. È il nostro un profilo aziendale molto più sensibile di quello che si è tratteggiato in letteratura e che si è immaginato. Non può limitarsi ad essere presente in un board, interagire con il management solo per prevenire contenziosi futuri o interpretare la legge per limitare i danni in una causa per violazione dati. Non possono sfuggirgli le dinamiche e i significati della rivoluzione del big data e le implicazioni per la società come la privacy by design, norma cui relazionarsi durante le fasi di organizzazione aziendale.
Una consapevolezza che i DPO hanno raggiunto è che gli stessi organi sociali dovrebbero accrescere le loro conoscenze in ambito di protezione del dato e gestione della sicurezza così da essere consapevoli delle scelte che l’ente compie e poter interagire più naturalmente ed efficacemente con il DPO.
Parafrasando Eraclito di Efeso si potrebbe dire che il compito più difficile di un Protection Officer sarà “aspettarsi l’inaspettato” per non trovarsi impreparato nel momento di crisi così da poter permettere al titolare di realizzare compiutamente il principio della accountability.
Il rispetto della privacy e, più in generale, la difesa del dato personale – specialmente in un ambito di interesse nazionale – presuppone un’adeguata sicurezza. La sola sicurezza, purtroppo, non presuppone il rispetto della privacy e quindi il lavoro ed il ruolo che si sta ritagliando il DPO richiederà una formazione sempre più di studio interdisciplinare per poter interagire e comunicare al meglio ad ogni livello.