La cybersecurity negli enti locali si trova ancora in mezzo al guado. Da un lato la spinta alla digitalizzazione e l’introduzione del GDPR orientano verso modelli inediti di organizzazione dei processi. Dall’altro le competenze digitali ancora insufficienti e il blocco del turnover determinano una risposta inadeguata alla svolta. E uno dei fronti più esposti da questo scenario è la tutela dei miliardi di dati custoditi dalla PA. Ecco un’analisi dell’orizzonte italiano e le soluzioni per superare gli scogli.
Gli enti locali sono in grado di proteggere i nostri dati personali? La domanda un po’ provocatoria mira a far emergere le criticità sistemiche dell’organizzazione degli Enti locali in materia di protezione dei dati e la conseguente vulnerabilità degli stessi ai Data breach.
A quasi un anno dall’entrata in vigore del GDPR, infatti, i tentativi dei Comuni di costruire un complesso tecnico e organizzativo capace di prevenire o rispondere in maniera efficace ad una violazione, sembra trovare un’applicazione più teorica che pratica.
Solo un cambio di mentalità, quindi, nei decisori politici e amministrativi potrà contribuire alla realizzazione di un sistema che mira a proteggere le persone attraverso la tutela dei loro dati. La vulnerabilità degli enti locali, infatti, è un prodotto di molteplici fattori complessi. Così, senza alcuna pretesa di esaustività, credo convenga ricordarne una parte.
Il valore delle informazioni della PA
All’interno degli archivi di qualsiasi Comune, anche di quelli di piccole dimensioni, sono presenti una quantità di informazioni spropositate. Dai dati relativi all’ubicazione e alla composizione dei nuclei familiari, a quelli sui redditi patrimoniali e catastali; da quelli sugli stati di salute a quelli sull’orientamento sessuale. Un campionario pressoché completo capace di arrecare nei confronti degli interessati in caso di violazione, pregiudizi e danni dal valore incalcolabile. Non è assolutamente un caso se, ad esempio, secondo l’ultimo rapporto annuale dell’intelligence italiana, gran parte dei cyberattacchi ad esito positivo e ad alto impatto avvenuti nel 2018, sono stati rivolti contro la Pubblica amministrazione, e in particolar modo, che gli Enti locali siano stati oggetto di particolare attenzione da parte dei cybercriminali (il 39% degli attacchi è avvenuto ai danni degli enti locali).
Mole di dati trattati e modalità del trattamento
Un Data Breach, poi, non è soltanto un attacco informatico ma piuttosto una violazione, che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione, accesso, copia o consultazione non autorizzate di dati personali trasmessi, conservati o comunque trattati. Ciò può avvenire, quindi, oltre che per opera di un hacker, anche per un comportamento innocente o per un accesso abusivo; o in caso di un incidente (es. incendio, allagamento, etc.) di una perdita di un supporto informatico (smartphone, notebook, chiavetta USB, etc.) o di sottrazione di documenti con dati personali (furto, etc.).
Dinamiche che ancora una volta assumono particolare rilevanza all’interno degli enti locali soprattutto a causa della mole delle attività di trattamento svolte nonché delle modalità delle stesse.
Archivi digitali e cartacei, servizi rivolti ai cittadini gestiti in maniera diretta o affidati a fornitori di servizi esterni; moltiplicazione delle informazioni, variazione delle informazioni, cambi normativi, passaggi tra uffici, comunicazioni obbligatorie, trasferimenti di dati, tipologie di accesso, sono soltanto un piccolo esempio delle numerose attività che impegnano funzionari, posizioni organizzative, responsabili di procedimento e dirigenti che moltiplicano in maniera esponenziale le possibilità di errore materiale o di intromissione nei sistemi.
Invecchiamento e scarsa formazione all’utilizzo degli strumenti informatici
Il blocco del turnover per anni ha impedito il ricambio generazionale dei dipendenti pubblici. I vincoli di bilancio e l’introduzione di nuovi adempimenti a parità di personale, hanno, invece, limitato le possibilità per gli operatori di beneficiare di una formazione realmente efficace e al passo coi tempi.
Il personale in servizio, quindi, oberato di lavoro e demotivato dalla scarsa efficacia pratica dei sistemi di valutazione delle performance, ha subito un naturale processo di invecchiamento al quale è corrisposta una certa resistenza dei singoli soggetti ad aprirsi ai processi di informatizzazione della propria funzione.
Così, quelli che avrebbero dovuto costituire la prima linea difensiva dell’Ente agli attacchi esterni, hanno rappresentato, al contrario, una delle debolezze principali sia per la fallibilità intrinseca nella natura umana sia per l’inefficacia delle misure predisposte. Non è insomma un caso che gli attacchi di social engineering (e in particolare il phishing) continuano a colpire con una certa frequenza la PA.
Mancanza di visione strategica della governance
Definire i processi, alleggerirli e sburocratizzare la pubblica amministrazione (oltre che dotarla di personale competente e qualificato), dovrebbe essere un obiettivo strategico (di lungo termine) piuttosto che politico (di breve termine). A tutti i livelli dell’apparato burocratico, infatti, comincia ad avvertirsi una certa idiosincrasia verso l’ennesima riforma della PA perpetrata sotto il vessillo della “semplificazione” che, in realtà finisce per produrre un aumento del numero di adempimenti, di responsabilità e dei controlli piuttosto che snellire i processi, renderli più efficienti e resistenti agli errori.
Obblighi di trasparenza e accesso alle informazioni della PA
Il bilanciamento tra i due principi fondamentali di trasparenza e protezione dei dati personali generano nelle applicazioni pratiche numerosi dubbi. Gli operatori che materialmente si trovano a dover decidere in tema di accesso agli atti o di pubblicazione delle informazioni, infatti, si trovano spesso ad affrontare scelte difficili e discrezionali cui possono derivare violazioni e diffusioni illegittime dei dati. Si spera che in futuro, complici una giurisprudenza consolidata e una serie di direttive e linee guida più definite da parte delle autorità si possa raggiungere una certa stabilità nonché una coerenza che tuttora non sembra esserci.
Scarsa interazione e/o collaborazione con il DPO
Strettamente correlato con il punto precedente è il tema della collaborazione sinergica tra gli attori della protezione dei dati e il DPO, nonché fra quest’ultimo e il responsabile per la trasparenza.
Avere come riferimento per la protezione dei dati personali di un’organizzazione un professionista “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati […]”, anziché costituire elemento di valore per l’Ente, sembra tradursi in una noiosa seccatura. Nonostante le disposizioni di legge, non tutti accettano di realizzare una sinergia effettiva e continuativa con lo stesso. In alcuni casi sembra che l’obbligatorietà della sua designazione ne abbia in qualche modo svuotato il valore o che ci si dimentichi dell’esistenza di una figura deputata ad assicurare il rispetto delle disposizioni del Regolamento all’interno del Comune. E così, non sono rari i casi in cui il Responsabile per la protezione dei dati si trova ad operare in un clima di emergenza piuttosto che di pianificazione strategica vanificando i principi di privacy-by-default e privacy-by-design.
A quasi un anno dall’entrata in vigore del GDPR, gli Enti locali (soprattutto quelli di piccole dimensioni), quindi, sono mediamente piuttosto distanti dal costruire un sistema capace di proteggere i nostri dati. La strada per raggiungere la conformità sembra essere ancora lunga ed è strettamente connessa alla capacità di ogni singolo ente di realizzare sinergie effettive tra tutti gli attori della protezione dei dati.
Così, se all’interno di ogni organizzazione è importante che le funzioni apicali coinvolgano il Responsabile per la protezione dei dati in tutti gli aspetti rilevanti e si assumano l’onere di sensibilizzare il personale in maniera adeguata, diventa esiziale ed indifferibile (ri)pensare, rinnovare e rendere più efficaci i programmi di formazione continua in ambito cybersecurity.
Definire i rapporti con i responsabili del trattamento dati
E se da una parte potrà venir loro incontro per favorire il turn over l’ormai famosa “quota 100”, nondimeno dovranno essere identificate a monte le caratteristiche essenziali di coloro che sostituiranno le persone da collocare a riposo: personale competente, nativo digitale, scelto con criteri meritocratici.
All’esterno dell’organizzazione, è invece altrettanto necessario definire in maniera scrupolosa i rapporti con i responsabili ex art 28 di cui ci si avvale come titolari del trattamento. In assenza, infatti, di un’adeguata collaborazione, tutto il processo perde di coerenza rendendo più difficile prevenire o offrire una risposta efficiente in caso di data breach.
Lo sforzo della dirigenza, poi, se il suo scopo non è di costruire un vacuo complesso formale di adempimenti, non deve limitarsi alla predisposizione preliminare del sistema, ma proseguire nel cosiddetto follow-up. La rivoluzione copernicana che accompagna il tessuto normativo del Regolamento (UE) 679/2016 sta, infatti, nel concetto di responsabilizzazione del titolare che impone in capo ad esso di ponderare le scelte e riuscire a comprovarle nel concreto piuttosto che seguire pedissequamente delle regole.
La maturità del sistema, quindi, risulta distante, ma non irraggiungibile. Tutto dipende dallo sforzo di accountability del titolare e quindi dalla volontà dello stesso di promuovere e sostenere nel tempo la logica dei principi di promossi dal GDPR facendo particolare attenzione alle risposte eventuali in caso di errori.
Non dobbiamo dimenticare, infatti, che per esporre un’intera organizzazione, è sufficiente che una sola persona apra una mail o una PEC.
