La gestione dei dati personali nella PA: da INAIL, un focus su come conciliare interesse pubblico e diritto alla privacy

Molto delicato il tema della gestione dei dati nella pubblica amministrazione affrontato il 26 giugno scorso durante un Convegno organizzato da INAIL, Istituto nazionale per l’assicurazione contro gli infortuni sul lavoro. In particolare, il dibattito sull’utilizzo delle nuove tecnologie nella PA è un tema oggi molto serrato, basti pensare ad esempio al rilevamento delle impronte digitali o al riconoscimento facciale nelle amministrazioni. Al centro del convegno di INAIL, il tema dell’interesse pubblico che, alla base del sistema di gestione del dato per la pubblica amministrazione, non si dovrebbe in nessun caso tradurre in uso massivo che leda libertà e diritti fondamentali della persona.

Ma a che punto sono le amministrazioni? La normativa vigente impone un cambiamento di approccio nella gestione dei dati personali: la sfida è proprio quella di coniugare l’interesse pubblico con il diritto alla privacy del cittadino. Come ha ricordato Giuseppe Lucibello, Direttore Generale INAIL, la PA rappresenta un grande raccoglitore di dati e per questo necessita di competenze mirate e di nuove modalità di raccordo tra amministrazioni, che consentano una gestione dei dati trasparente e nel rispetto degli interessi dei cittadini.

Al contrario di quanto si è sentito spesso dire nell’ultimo periodo, la privacy non è morta con l’emergenza sanitaria, la tecnologia è andata avanti non indietro e ora più che mai si rende necessario mettere al centro la libertà e i diritti della persona. Quanto emerso in fase di emergenza COVID-19 è proprio la necessità che le amministrazioni superino la logica del dato come possesso, ricchezza e potere del singolo ente, ed entrino invece in un paradigma di condivisione, per presentare una macchina amministrativa più coesa, più partecipata.

Una privacy by design (ossia il principio di incorporazione della privacy a partire dalla progettazione di un processo con le relative applicazioni informatiche di supporto) strutturata e improntata al coordinamento tra enti, renderà assolutamente conciliabile l’interesse pubblico con il diritto alla privacy. Al fianco di amministrazioni che ancora oppongono qualche resistenza, ci sono realtà come INAIL che, attraverso l’esperienza di un data center integrato (in particolare con i data center di ISTAT e del Ministero della Salute), hanno dimostrato che si può perseguire l’interesse pubblico nel rispetto degli interessi dei soggetti più fragili.

Come ha ricordato Giuseppe Busia, Autorità Garante per la protezione dei dati, in questa intensa attività di adeguamento che coinvolge le amministrazioni, cruciale è la sensibilizzazione al tema. La buona gestione dei dati è un compito essenziale della PA e, in quanto tale, non può e non deve essere vissuto come un adempimento estraneo e ulteriore rispetto alle attività delle amministrazioni. È necessario che ci sia una particolare attenzione a offrire questo servizio di partecipazione attiva del cittadino come parte essenziale delle attività delle amministrazioni. Infatti, il rispetto del diritto alla privacy passa prima di tutto dal coinvolgimento degli utenti, che, in forza del principio di trasparenza, divengono consapevoli dell’uso che viene fatto dei loro dati e delle loro informazioni personali.

Una pubblica amministrazione attenta agli interessi dei cittadini è una pubblica amministrazione trasparente, chiara, che mostra l’utilizzo che fa dei dati. È un concetto di trasparenza diverso da quello a cui siamo abituati: in questo caso si tratta di una vera e propria chiarezza su come vengono utilizzati i dati che consenta ai cittadini, in modo attivo, di controllarne gli effetti.

La definizione dei ruoli per coordinare il processo di adeguamento alla normativa per la protezione dei dati personali e il ruolo del DPO nel settore pubblico

Il processo di adeguamento, in quanto tale, non può che coinvolgere tutta la macchina amministrativa, ma la figura chiave, anche alla luce dell’attuale normativa è il Responsabile della protezione dati, il cosiddetto DPO.

A due anni dall’entrata in vigore del GDPR c’è forse ancora qualche difficoltà nell’intendere la figura del DPO.  Da un lato per alcune amministrazioni, il DPO rischia di essere una figura meramente istituzionale, più che un vero esperto del tema, e dall’altro c’è ancora una resistenza al coinvolgimento in tutte le attività di innovazione tecnologica e partecipazione alle scelte che si fanno nella fase di ideazione di un trattamento. C’è da dire che la normativa non facilita la questione. L’effort, la quantità di risorse e l’ampiezza delle competenze che sono richieste al Responsabile per la protezione dei dati, rende abbastanza difficile alle amministrazioni il compito di imputarle ad una sola persona.

In forza del ruolo multidisciplinare e di facilitatore richiesto al DPO, è necessario che si venga a creare attorno a lui un team per il supporto nella gestione e nella protezione dei dati, per garantire la protezione ovunque il dato nasca, sia presente e transiti. Secondo Roberto Di Tucci, DPO INAIL, emergono quindi numerosi ambiti che il titolare deve gestire correttamente. In particolare, l’organizzazione, i trattamenti, le persone, l’IT e l’Accountability.

Il percorso verso la PA digitale: l’evoluzione “sicura” dell’Istituto supportata dall’organizzazione privacy e dall’innovazione tecnologica

Come sottolineato da Stefano Tomasini, Direttore centrale organizzazione digitale dell’Inail, la trasformazione digitale comporta una necessaria estensione del perimetro di attacco e, in questo senso, “fare rete” con le altre PA è un passo che non si può più rinviare.

Anche in termini di sicurezza, le amministrazioni ancora hanno molto da fare; basti pensare all’intensificazione di attacchi che si sono succeduti nell’ultimo periodo. L’emergenza sanitaria ha per forza di cose fatto fare un passo in avanti alle organizzazioni sul digitale, ha fatto alzare il livello di attenzione sulla sicurezza, che non deve essere vissuta come una tassa, un elemento bloccante del business. La sfida oggi è far percepire la sicurezza, anche se per obbligo di legge, come un vero e proprio driver per il business. Molti studi negli ultimi anni hanno infatti individuato un nesso tra ottimizzazione delle misure di sicurezza e aumento del fatturato.

Il GDPR facilita questo percorso, attribuisce e dà responsabilità alle amministrazioni con linee guida chiare e definite. È possibile quindi una sensibilizzazione al tema per tutto il personale. I principi del GDPR sono ormai entrati nel vocabolario comune dei soggetti che quotidianamente lavorano con i dati. In questo senso INAIL ha lavorato e lavora per l’efficienza e l’efficacia dell’approccio ai singoli processi organizzativi, non solo incrementando le competenze degli addetti IT, ma ripensando i processi da zero.

Ruolo fondamentale per la rete con le altre amministrazioni, è stato svolto dal Cloud. INAL ha infatti optato per un modello Cloud ibrido, multi-cloud, garantendo una differenziazione dei servizi e di poter beneficiare degli aspetti più qualificanti di ciascuna attività.

Il principio di Accountability e gli investimenti per la sicurezza

Il processo di digitalizzazione ha lo scopo di rendere i processi più snelli, ma la chiave sono ancora una volta le persone. Purtroppo, sono ancora moltissimi i dati illecitamente trattati nelle amministrazioni. Il controllo e il presidio sul tema del trattamento devono essere costanti. Non è più concepibile che nei grandi enti a servizio del cittadino non ci sia una sensibilità diffusa; la protezione del dato non è un tema confinato al personale tecnico e legale, ma deve divenire presidio dell’organizzazione della sua interezza.

Per poter parlare di presidio dell’intera organizzazione, imprescindibile diventa l’elemento di investimento. Non è possibile un adeguamento dei processi a costo zero. Gli investimenti, infatti, sono la chiave per implementare le misure di sicurezza. D’altra parte, sarebbe molto più oneroso per le amministrazioni un blocco totale delle attività causato da una mancanza di presidio in termini di sicurezza.