Costruire la protezione dati del futuro con il confronto pubblico-privato

Dalla salute all’intelligenza artificiale, dal telemarketing alle smart cities, dalla cybersecurity ai diritti umani, dai servizi finanziari ai minori, dalla PA digitale alla figura del DPO: sono alcuni dei focus al centro di “State of Privacy 2023”, l’appuntamento voluto e organizzato dall’Autorità Garante per la protezione dei dati personali, che si è svolto il 18 settembre scorso a Roma. L’evento, alla seconda edizione (dopo quella del 2022 a Pietrarsa), ha visto 19 tavoli di lavoro tematici per un confronto aperto e costruttivo con mondo pubblico e privato sul futuro della protezione dei dati e sui problemi posti già oggi dalle nuove tecnologie.

Ecco cosa è emerso dai due tavoli ai quali abbiamo partecipato attivamente: il Tavolo DPO (Chair l’avv. Stefano Aterno) e il Tavolo PA digitale (Chair Gianni Dominici, Amministratore delegato di FPA).

Il Tavolo DPO

Valorizzazione, rete e formazione: le sfide per i DPO

Tre erano le principali sfide già evidenziate dal confronto avviato nel 2022 a Pietrarsa:

• valorizzazione del ruolo del DPO, con l’intento di rafforzarne la leadership all’interno e all’esterno delle organizzazioni puntando sulla sua autorevolezza intesa anche come capacità ed efficacia di azione. Occorre a tal fine anche migliorare i flussi informativi interni ed esterni alle organizzazioni;
• fare rete, con l’esigenza di promuovere e sviluppare la costituzione di reti di DPO, volte a favorire lo scambio di esperienze e informazioni e l’individuazione di best practice, anche in ambiti specifici (PA, sanità, TLC, banche…), e la costituzione di tavoli di confronto permanente su temi di interesse trasversale (IoT, Intelligenza Artificiale…), che siano anche spazi di sperimentazionein unpercorso virtuoso di reciproco arricchimento e vantaggiose sinergie;
• una formazione qualificata e periodica che coinvolga tutta la platea dei DPO (pubblici e privati) con eventi, incontri e percorsi formativi periodici e obbligatori, anche su diretta iniziativa del Garante, anche tramite una piattaforma digitale di formazione a distanza gratuita.

Cosa i DPO chiedono al Garante

Il lavoro, proseguito senza soluzione di continuità sino al 18 settembre 2023, ha visto anche la nascita del Network dei DPO della PA. Sono stati ora portati all’attenzione del Garante, in particolare, due temi prioritari e sono state indicate possibili e concrete linee di intervento:

1. Esigenza di indipendenza e assenza di conflitti di interesse: il DPO[1] deve agire in piena indipendenza dal Titolare senza confusione di ruoli e attribuzioni. Nell’organigramma aziendale deve essere collocato accanto al vertice con funzioni di diretto supporto, al pari dei Collegi dei revisori dei conti e degli OdV. La sua figura deve essere conosciuta e riconosciuta da tutta la struttura. Servono Codici deontologici/Codici di Condotta per DPO e Titolari che definiscano modalità di selezione (requisiti, criteri di valutazione non esclusivamente economici con verifica delle competenze, durata, una soglia minima dei compensi) e un elenco tassativo delle incompatibilità acclarate e potenziali; procedure e regole portate all’attenzione dell’intera struttura che inquadrino attribuzioni e relative modalità del tempestivo ed adeguato coinvolgimento del DPO.
2. Condizioni che non possono mancare per consentire al DPO di lavorare al meglio. Cosa i DPO chiedono al Garante: occorre una versione 2.0 del Documento di indirizzo sul RPD in ambito pubblico – 29 aprile 2021, n.186– che sia rivolta a tutti i settori (pubblici e privati) e soprattutto destinata anche ai Titolari. Vanno previsti: obblighi di formazione e informazione verso la struttura relativamente ai ruoli del Sistema Privacy aziendale, alle procedure in atto esottolineata l’esigenza di coinvolgimento del DPO in tutte le questioni riguardanti dati personali; occorre assicurare adeguate risorse ai DPO che deve poter contare all’occorrenza un team di supporto con competenze specifiche e differenziate (legale, tecnico, sicurezza…). Il DPO deve curare la sua accountability (Relazioni annuali al vertice) e essere proattivo nei confronti del titolare (in particolare non deve mancare di intervenire nella stesura del Piano di Formazione Aziendale sui temi della tutela dei dati personali).

Un particolare focus ha avuto ad oggetto i temi della formazione del DPO, dove emerge chiara l’esigenza di una sua “istituzionalizzazione”: occorre il coinvolgimento diretto del Garante, che sicuramente potrebbe essere supportato dalla rete dei Network dei DPO.

Il Tavolo PA digitale

Cloud, data sharing, sicurezza e smart cities: i temi centrali per la PA digitale

Il Tavolo PA digitale ha proseguito i lavori avviati a Pietrarsa che avevano portato all’individuazione, già a settembre 2022, di tre principali sfide:

• Il cloud e la gestione del data sharing in una pubblica amministrazione sempre più digitale. La creazione della Piattaforma Nazionale Dati richiederà alle pubbliche amministrazioni di garantire una serie di principi e di definire le modalità per il corretto conferimento dei dati, considerando le specificità proprie del soggetto pubblico.
• La sicurezza dei dati, anche alla luce degli obblighi del perimetro nazionale di sicurezza. Il tema della sicurezza dei dati andrà affrontato per garantire misure tecniche e organizzative fondamentali e porre in presidi organizzativi posti a tutela dei dati personali.
• Le smart cities, infine, richiederanno alla PA la capacità di gestire e valorizzare la mole di dati raccolti dai servizi smart che saranno attivati a livello locale e nazionale. In particolare, vi sarà la necessità di bilanciare il perseguimento degli obiettivi di sostenibilità sociale, economica, ambientale e quelli di tutela dei diritti e delle libertà dei cittadini nel trattamento dei loro dati personali, con particolare attenzione laddove il trattamento concernerà particolari categorie di dati personali.

Il lavoro è proseguito nel corso del 2023, anche nell’ambito di un Tavolo di lavoro organizzato in occasione di FORUM PA 2023, tenendo conto delle novità introdotte dal nuovo codice degli appalti pubblici che, per la prima volta con il nuovo articolo 19, ha inserito la data protection all’interno dei criteri di selezione delle offerte.

Cosa serve alla PA: regole omogenee e processi condivisi

Attraverso un serrato confronto sono stati individuati e sviluppati due degli aspetti ritenuti prioritari per la PA:

• Il bisogno di regole omogenee in relazione alla contrattazione con i fornitori esterni e, in particolare, con gli Over the Top (OTT). Tra le proposte dal tavolo, la redazione di un Codice di condotta del settore (ai sensi dell’art. 40 del GDPR), che si è ritenuto possa condurre i fornitori, soprattutto gli OTT, all’accettazione di clausole contrattuali standard, di solito rifiutate in favore dei propri Data Processing Agreement (DPA). Tali clausole contrattuali, da allegare al Codice di condotta, con l’obiettivo di favorire una diffusione più capillare dei principi di protezione dei dati e un più alto livello di compliance, in analogia a quanto avvenuto per i principi di sicurezza informatica con l’istituzione del percorso di certificazione per i fornitori di servizi cloud da parte di ACN.
• La necessità di sviluppare processi condivisi all’interno delle organizzazioni pubbliche per superare la logica a silos ancora diffusa e coinvolgere, by design, tutti i soggetti interessati nell’ambito delle valutazioni dei rischi (sempre più complesse) richieste dai progetti sempre più innovativi che la PA si trova ad affrontare (si pensi alle smart-cities o all’adozione dei sistemi di AI anche nel settore pubblico). Il tavolo ha proposto l’adozione di una matrice RACI, quale efficace strumento per definire e condividere ruoli e responsabilità di tutti i soggetti che necessariamente devono essere coinvolti nelle attività rilevanti e nei processi, in relazione alla tutela dei dati personali quali DPIA, TIA oltre che per le valutazioni di impatto sui diritti umani, sociali, etici che saranno richieste dai sistemi di AI.

[1] Tema all’attenzione anche dell’EDPB nei primi mesi del 2023 ha avviato una seconda azione di applicazione coordinata tra gli Stati membri si concentrerà sulla designazione e sulla posizione del responsabile della protezione dati con l’obiettivo di rendere coerente tra gli Stati membri l’applicazione del GDPR e assicurare la cooperazione tra le autorità di protezione dei dati su un tema ritenuto prioritario.