Pa, nuovo regolamento Ue per la privacy

Quasi un anno fa, il 24 maggio 2016, dopo quattro anni di gestazione, è stato approvato il Regolamento Ue 2016-679 sulla protezione dei dati personali (Gdpr) che abroga la direttiva del 1995 che reggeva tutte le leggi nazionali attualmente in vigore, come, in Italia, il Dlgs 196/2003. Da allora le imprese e le amministrazioni pubbliche hanno avuto due anni per mettersi in regola: dal 25 maggio 2018 il Gdpr sarà pienamente operativo, visto che, trattandosi di un Regolamento e non di una direttiva, non servono leggi nazionali di recepimento.

Cambia la logica di fondo
Con il Gdpr cambiano molte cose. Vengono introdotti nuovi diritti per i cittadini e nuovi obblighi per le amministrazioni. Ad esempio: il diritto all’oblio, tempo di conservazione dei dati definito a priori, l’obbligo di considerare le implicazioni privacy fin dalla progettazione dei nuovi servizi, la sicurezza basata su una valutazione dei rischi, l’obbligo di notifica all’Autorità delle violazioni di sicurezza. Per le amministrazioni pubbliche, l’obbligo di nomina di un Data Protection Officer che può essere condiviso fra più amministrazioni e anche acquisito come servizio da terzi.
Prima di tutto, però, cambia la logica di fondo che ispira il provvedimento: da un approccio prescrittivo si passa ad un approccio basato sulla responsabilizzazione di aziende e amministrazioni pubbliche, i Titolari del trattamento. Non c’è una lista di prescrizioni, soddisfatte le quali si è in regola. Sono invece i Titolari a dover valutare, ciascuno nel proprio specifico contesto operativo, come si possano meglio garantire i diritti tutelati dal Gdpr e applicarne i principi, assumendosi poi la responsabilità di questa valutazione.
La parola chiave che rappresenta questo cambiamento è un termine inglese: accountability. Include l’idea di responsabilità ma anche l’obbligo di poterla dimostrare come chiaramente stabilito all’articolo 24. Questo approccio, peraltro, rappresenta l’unica strada percorribile quando una legge, che ha richiesto quattro anni di discussione per essere approvata, deve regolamentare un settore come questo, determinato da una tecnologia, quella digitale, che si rinnova freneticamente quasi di giorno in giorno: la più lungimirante delle prescrizioni rischierebbe, infatti, di essere obsoleta ben prima di venire approvata. L’attitudine richiesta al Titolare richiede una organizzazione e una cultura aziendale più facili da trovare nelle grandi imprese che operano in mercati regolati, come ad esempio le banche, ma che diventano via via più rare se si cambia il settore o si scalano le dimensioni dell’organizzazione.

Effetti su amministrazioni ed enti
E le amministrazioni pubbliche? Per quanto riguarda i Comuni, che sono uno dei contesti più rilevanti della PA, oltre il 46% della popolazione vive in Comuni con meno di 20mila abitanti mentre l’84% dei Comuni ha meno di 10mila abitanti: piccole o piccolissime organizzazioni gestiscono i dati personali di milioni di italiani. Non ci si può, però, fermare a questo: basti pensare alla sanità ma anche alle scuole che hanno iniziato ad usare strumenti digitali, come il registro elettronico, per gestire i rapporti fra docenti, studenti e famiglie. Cosa succederebbe se si perdessero i voti di un anno o se fossero modificati da un hacker?
Viene spontaneo chiedersi come faranno, i 6.753 Comuni con meno di 10mila abitanti o le scuole che, giustamente forse, non hanno alcuna struttura organizzativa a farsi carico della complessità del Gdpr e ad assumersi le responsabilità che questo richiede. D’altra parte, ammesso che fosse fattibile, sarebbe davvero un costo giustificato se ciascuna di queste piccole organizzazioni si attrezzasse autonomamente, interpretando la normativa e acquistando le tecnologie ed i servizi necessari per garantire i diritti dei cittadini? Il legislatore dimostra, in diversi articoli del Gdpr, di aver ben presente questi aspetti del problema, favorendo l’adozione di soluzioni condivise fra molti Titolari che svolgono funzioni fra loro simili, come è il caso specificatamente delle amministrazioni locali, delle scuole e della sanità. Serve però, in questi casi, un soggetto in grado di dirigere e coordinare l’iniziativa collettiva. Questa è la vera sfida che Anci, Regioni e l’organizzazione della Scuola hanno davanti. Una sfida che ha certamente una alternativa a basso costo: non fare nulla, perché tanto non succederà nulla.
La prima parte è probabile che, in qualche misura, accada. La seconda nasconde una superficialità molto pericolosa: i rischi legati ad un uso improprio o illegale dei nostri dati personali sono in continua crescita e, in un numero crescente di casi, riguardano direttamente la vita delle persone. Basta una lettura veloce del Rapporto Clusit (www.clusit.it) per rendersi conto della realtà che, peraltro, ormai trova ampi spazi anche sulle prime pagine dei quotidiani. Trovare le risorse e l’energia necessarie dipende dalla sensibilità di chi amministra la cosa pubblica e, in parte, dalla consapevolezza di tutti noi. Il dibattito che si terrà il 24 maggio prossimo all’interno del Forum PA, approfondendo molti aspetti di merito che qui non sono stati affrontati anche per questioni di spazio, si occuperà anche di questo.

* Responsabile data Protection P4I - Direttivo Clusit - Coordinatore di www.europrivacy.info

--------------------------------------------------------------------------------------------------

A FORUM PA 2017 (Roma Convention Center “La Nuvola”, 23-25 maggio) questi temi verranno approfonditi nei seguenti appuntamenti: