dati personali

Data Governance della PA: il ruolo dei DPO negli interventi del PNRR

Per essere in grado di bilanciare correttamente le esigenze di protezione dei dati personali con l’efficienza della Pubblica Amministrazione digitale, tutti i DPO degli enti pubblici dovranno essere in grado di declinare correttamente il proprio ruolo, che è cruciale. Come fare

Pubblicato il 07 Apr 2023

Stefano Gazzella

Responsabile Comitato Scientifico, Privacy Officer Associazione Italiana Influencer

Data,Protection,Is,A,Concept,In,Cybersecurity,And,Privacy,Technologies.

Le misure del PNRR per perseguire gli obiettivi di digitalizzazione della Pubblica Amministrazione richiedono particolare attenzione ai processi di Data Governance per bilanciare efficienza degli interventi e protezione dei dati personali.

Nell’attuazione di questi percorsi di trasformazione e ridefinizione, il ruolo dei DPO che operano nel settore pubblico rappresenta un fattore critico di successo.

Data governance, ecco perché il machine learning è una priorità per la PA

Il percorso italiano di digitalizzazione della Pubblica Amministrazione

L’agenda politica dei governi che si sono avvicendati alla guida del nostro Paese ha da sempre inserito fra i propri obiettivi quello della digitalizzazione della Pubblica Amministrazione. O almeno: possiamo dire che tale obiettivo abbia resistito quanto meno negli ultimi vent’anni. A riprova di ciò è sufficiente ricordare che la legge delega per il Codice dell’amministrazione digitale risale al 2003[1] con l’ambizioso intento di riorganizzare in un testo unico tutte le norme riguardanti l’informatizzazione della Pubblica Amministrazione. Ben diversa però è la sua attuazione, che tutt’ora si presenta incompiuta e vuol essere perseguita grazie al nuovo strumento (e i fondi) del PNRR.

I percorsi intrapresi a riguardo non sono però sempre stati lineari né immuni da critiche. Citando Ennio Flaiano: in Italia la linea più breve tra due punti è l’arabesco. E così è stato anche per l’Italia digitale e da digitalizzare.

Alcuni commentatori hanno infatti criticato l’approccio di graduale cessione di sovranità tecnologica nei confronti dei grandi fornitori d’oltreoceano che oggi si vorrebbero invece escludere o limitare in seguito al venir meno della legittimazione al trasferimento conferita dal Privacy Shield. O anche rinegoziare attraverso il Trans-Atlantic Data Privacy Framework per la ricerca di nuovi punti di accordo ed equilibrio che non possono però prescindere dalla situazione di fatto. Tale approccio, beninteso, non ha riguardato solamente l’Italia ma è stato condiviso da molti altri Paesi europei che solo negli ultimi anni lamentano di soffrire uno stato di dipendenza tecnologica dai giganti del web.

Tornando alle alterne fortune dei tentativi di digitalizzare la Pubblica Amministrazione, la sensazione a riguardo è sempre stata quella di grandi dichiarazioni di principio e ottime intenzioni mai tradotte in una riorganizzazione dei processi bensì nell’adozione o sviluppo di uno o più strumenti tecnologici. E dunque o non c’è stata volontà o possibilità di intentare una riforma organica, favorendo interventi parcellizzati e settoriali.

L’emergenza Covid ha improvvisamente forzato l’intero sistema-Paese in uno stato di accelerata ed inattesa trasformazione digitale, non immune da deragliamenti in corso d’azione e al termine. Basti pensare alle alterne fortune negli ambiti dello smart working, della sicurezza cyber o dei diritti di cittadinanza digitale.

Diventa inevitabile considerare anche il ruolo sempre più centrale assunto dai dati personali, spesse volte trascurato nella dimensione delle tutele e garanzie a protezione della persona. Si è infatti assistito fin troppo spesso ad un approccio o eccessivamente formalistico o nella fin troppo semplice compressione delle garanzie e tutele in nome di un interesse pubblico apoditticamente preminente.

La centralità del tema della Data Governance

Considerato che la digitalizzazione è un obiettivo che investe trasversalmente il settore pubblico sia nei rapporti con il cittadino che tra gli enti stessi, diventa fondamentale una (ri)definizione delle strategie di Data Governance. Infatti, tanto le funzioni già note dei portali degli enti pubblici che si intende evolvere quanto i più avveniristici progetti di Smart Cities richiedono un livello di complessità e di integrazione dei sistemi tale per cui occorre porre particolare attenzione all’aspetto di gestione dei dati personali.

Per essere in grado di migliorare l’accessibilità ai servizi digitali da parte del cittadino non ci si può infatti limitare solamente alle regole tecniche di interoperabilità, bensì si deve ragionare anche in ottica di interfaccia e design UX, ad esempio. È bene però ricordare che l’efficientamento non è l’unico criterio di cui dover tenere conto, in quanto altrimenti i servizi realizzati andrebbero a produrre dei rischi sproporzionati proprio in capo agli stessi cittadini che intenderebbero favorire. Rischi che possono riguardare tanto l’aspetto di tutela di diritti e libertà fondamentali (cui emblematicamente provvede il GDPR e la normativa in materia di protezione dei dati personali) così come a quelli più strettamente collegati alla sicurezza delle infrastrutture (cui provvede la direttiva NIS e la strategia nazionale di sicurezza cibernetica).

Fare la PA digitale col PNRR: come sta andando, nodi irrisolti

Privacy e security by design nei processi

Soprattutto in un ambito così ampio come quello pubblico e connotato da rischi intrinsecamente elevati, bisogna infatti saper tenere conto dei differenti contesti d’azione per la modellazione di sistemi organizzativi coerenti ed efficaci. Tanto per l’ipotesi di processi di Data Governance del tutto nuovi, quanto nella ridefinizione o evoluzione di processi già esistenti.

Ogni progetto di digitalizzazione realizzato per la Pubblica Amministrazione deve pertanto tenere conto tanto dei criteri di legalità che di sicurezza, e questo diventa possibile solo con una corretta mappatura dei processi, l’individuazione dei ruoli e responsabilità tanto degli attori che partecipano al processo di trasformazione digitale quanto a quelli che si formeranno eventualmente a valle dello stesso. Non solo: bisognerà anche individuare tutti gli stakeholder esterni, così da essere in grado di definire progressivamente gli obblighi e tutele specifiche da integrare e rendicontare già all’interno del progetto e in ogni fase di attuazione.

L’adozione di regole condivise tanto nella tutela dei diritti dei cittadini quanto nella condivisione e sicurezza dei dati non deve essere limitata ai soli adempimenti richiesti dalla norma, ma coinvolgere se del caso il Garante Privacy (ad esempio mediante consultazione preventiva) ed essere in linea con le buone prassi e gli standard di settore applicabili.

Il modo di ragionare nel percorso fin dai suoi fondamenti deve sempre seguire logiche di privacy e security by design, andando a coinvolgere innanzitutto quanti hanno già delle responsabilità in tali ambiti all’interno del comparto pubblico, sia a livello di management che operativo e consulenziale.

Il ruolo dei DPO

Per essere in grado di bilanciare correttamente le esigenze di protezione dei dati personali con l’efficienza della Pubblica Amministrazione digitale, tutti i DPO degli enti pubblici dovranno essere in grado di declinare correttamente il proprio ruolo. Innanzitutto devono agire in modo tale da essere adeguatamente coinvolti nei progetti di digitalizzazione, stimando anche un budget sufficiente da richiedere affinché il proprio ufficio possa occuparsi delle esigenze emergenti senza trascurare la continuità d’azione della funzione.

Dopodiché è necessario indicare le esigenze di svolgere una valutazione d’impatto sulla protezione dei dati promuovendone in ogni caso lo svolgimento e sorvegliandolo attentamente. Tale adempimento è infatti il principale strumento per l’analisi e la rendicontazione dei presidi adottati per l’efficace tutela degli interessati, soprattutto per trattamenti di rischio elevato per diritti e libertà delle persone fisiche. E nel contesto di riferimento si incontrano molto facilmente i criteri[2] per cui è obbligatorio lo svolgimento, quali ad esempio possono essere: attività di trattamento su larga scala, squilibrio di potere nei confronti degli interessati, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative.

Se l’attività di informazione e consulenza è di primaria importanza alla pari della sorveglianza, è opportuno però ricordare che nello svolgimento della stessa i DPO dovranno operare evitando di incorrere in conflitto d’interessi selezionando o influenzando alcuni mezzi o finalità del trattamento. Soprattutto nella ridefinizione dei processi il rischio è un eccesso di partecipazione nella predisposizione dei modelli organizzativi, per superare il quale è buona prassi che il DPO agisca fornendo una second opinion. Sempre nell’ambito di consulenza e informazione può essere utile che i professionisti – inclusi DPO – delle diverse pubbliche amministrazioni coinvolte sia in orizzontale che in verticale scambino fra di loro informazioni e pareri, agendo in sinergia e contribuendo così alla formazione ed attuazione di criteri comuni di data governance e data protection.

Infine, tanto nel caso in cui il Garante Privacy vada a richiedere dei chiarimenti, fornisca indicazioni o rilasci un parere in seguito ad una richiesta di consultazione preventiva, la funzione di punto di contatto del DPO è fondamentale affinché si possa realizzare una piena cooperazione con l’autorità di controllo e l’implementazione di tutte le misure indicate o suggerite dalla stessa.

Conclusioni

L’ambizione degli interventi del PNRR per i processi di Data Governance della Pubblica Amministrazione senza un adeguato coinvolgimento dei DPO non rischia solamente di rimanere irrealizzata, ma anche di venire attuata in modo incerto. E se l’incertezza riguarda la legalità ne consegue innanzitutto la violazione dei diritti dei cittadini anche, ma non limitatamente, alla protezione dei loro dati personali.

Un corretto processo di selezione non solo evita di incorrere in una culpa in eligendo, ma rappresenta un presidio efficace di tutela degli interessati coinvolti nonché di corretta attuazione del percorso di trasformazione digitale intrapreso. D’altro canto, anche i professionisti che intendono agire con tale funzione dovranno essere in grado di garantire le proprie qualità professionali, la conoscenza specialistica di normativa e prassi in materia di protezione dei dati assicurando e mantenendo la propria capacità di assolvere i propri compiti[3].

Note

  1. Precisamente: art. 10 L. 29 luglio 2003, n. 229.
  2. Secondo WP 248 rev.01, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato ai fini del regolamento (UE) 2016/679”.
  3. Come richiesto dall’art. 37.5 GDPR.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Formazione e Innovazione

    Apprendimento dell'inglese: il tech al servizio delle aziende

    25 Gen 2024

    di Loredana Cozzaglio

    Condividi

  • scenari

    IA, privacy a rischio? Come tutelarla, le strategie UE e USA

    23 Gen 2024

    di Filippo Benone, Anna Cataleta e Aurelia Losavio

    Condividi

Prossimo

Apprendimento dell'inglese: il tech al servizio delle aziende

Articolo 1 di 3