Dall’entrata in vigore del nuovo Regolamento Europeo sulla privacy, il GDPR per intenderci, si può tracciare un primo bilancio su effetti e adozione nell’ambito delle Pubbliche amministrazioni. Una panoramica dello stato dell’arte e gli ostacoli da superare.
GDPR, più ingiunzioni per la PA
Qualche riflessione la possiamo fare analizzando alcuni dati pubblicati recentemente riguardanti il 2019: circa la metà delle ingiunzioni del Garante della Privacy sono state comminate a carico delle PA – la maggior parte sono disposizioni verso scuole ed enti locali – il resto è scattato a carico di aziende private.
Quali sono le ragioni che hanno determinato questa situazione? Perché scuole ed enti locali, in particolare i piccoli Comuni, stanno avendo difficoltà nell’adozione del GDPR?
Senza dubbio la ragione principale di questi dati è il cambio di prospettiva nella gestione della privacy rispetto alla vecchia normativa nazionale (196/2003 ante 101/2018). Possiamo aggiungere poi i problemi organizzativi cronici nelle Pubbliche amministrazioni e non da ultimo i pochi fondi a disposizioni per le piccole realtà, siano esse scuole o enti locali. Ma andiamo con ordine.
Gdpr, difficoltà per i piccoli Comuni
Col GDPR il “Titolare del Trattamento” ha più discrezionalità, ma, al tempo stesso, maggiore responsabilità su tutto quello che concerne la protezione dati, ad esempio ha il preciso dovere di giustificare le ragioni che hanno indotto le scelte fatte nella gestione della privacy.
Tutto questo con la (in)consapevolezza di un deciso inasprimento delle sanzioni previste in caso di inadempienza.
L’adeguamento, quindi, implica uno sforzo organizzativo non indifferente che passa attraverso un indispensabile cambio di mentalità delle figure chiave individuate dal Regolamento Europeo e di tutti gli addetti alla gestione dei dati personali operanti in queste realtà.
Questo cambio di approccio è mirato alla protezione dei dati personali e va di pari passo con l’obbligo di trasparenza delle Pubbliche Amministrazioni, rimodulato dal D.Leg. 34/2019 (Codice della trasparenza delle Pubbliche Amministrazioni) che dispone circa gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte dei soggetti pubblici.
C’è quindi, da una parte, uno sforzo per garantire la privacy dei cittadini e, allo stesso tempo, l’obbligo alla trasparenza che impone di pubblicare anche le informazioni personali (per esempio curriculum, compensi, atti di nomina, assunzione di cariche, etc.).
Tra queste due esigenze apparentemente contrastanti prevale sicuramente l’obbligo della trasparenza ma nel rispetto dei principi fondamentali in materia di protezione dei dati personali: in tutti i casi diventa fondamentale procedere sempre “cum grano salis” valutando con attenzione le diverse situazioni.
Il peso degli investimenti in IT
Al contempo è doveroso sottolineare la necessità di mettere in atto misure tecniche, in particolare relative alla parte IT, mirate a garantire un livello di sicurezza per i dati. Questo significa fare investimenti per realizzare e aggiornare le infrastrutture informatiche con lo scopo di proteggere opportunamente i dati a fronte del rischio rilevato. Diventa fondamentale un’attenta valutazione d’impatto che consideri i rischi legati ad ogni trattamento e i costi per mitigarli.
Appare evidente, da quanto esposto, la complessità dell’attuazione del nuovo regolamento soprattutto per le realtà di piccole dimensioni.
Un Comune, ad esempio, per sua stessa natura, deve garantire gli stessi servizi indipendentemente dalla sua dimensione, sia esso un piccolo centro abitato sia esso una metropoli: i dati da trattare sono gli stessi, così come il codice di trasparenza (stesso discorso vale per le scuole).
PA, il blocco del turnover
Calandosi sempre più nel contesto della PA è doveroso notare che l’età media troppo avanzata dei dipendenti è una delle barriere principali ai cambiamenti e, quindi, agli adeguamenti di cui stiamo parlando. A questo si aggiunge la cronica mancanza di personale dovuto principalmente all’impossibilità di sostituire chi va in pensione con nuovi assunti che potrebbero portare nuova linfa vitale e nuovo entusiasmo.
Da questo si può capire il disagio per chi deve gestire, come titolare o come Responsabile della Protezione dei Dati (DPO), l’adeguamento in queste realtà.
Piccoli Comuni e GDPR: le soluzioni
Questo problema si potrebbe affrontare prendendo in considerazione una soluzione che preveda una “rete” di Comuni (o di scuole), una specie di consorzio che possa sfruttare al massimo le risorse a disposizione calibrando gli sforzi per l’adeguamento.
Il Regolamento Europeo viene incontro a queste problematiche nell’art. 37, in particolare nel comma 3:
“Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”.
Un solo DPO per un consorzio di Comuni o scuole porterebbe un indubbio vantaggio, non solo economico (dovuto alla piccola economia di scala) ma soprattutto permetterebbe di approcciare l’adeguamento al GDPR in una forma più strutturata, per esempio formando un team di risorse provenienti dalle diverse entità del consorzio, formate e specializzate nei diversi settore della privacy.
Ciò garantirebbe un know how diffuso e disponibile da condividere con tutti gli altri impiegati. Inoltre il DPO avrebbe a disposizione un “Team Privacy” composto da risorse provenienti da più realtà, con diverse competenze e potrebbe, quindi, organizzare in modo ottimizzato le attività di adeguamento.
Per fornire un servizio a tutto tondo, questo team potrebbe affrontare anche il discorso relativo alla trasparenza a cui abbiamo accennato, fornendo le linee guida per un’attività di verifica e di anonimizzazione che deve essere svolta a posteriori rispetto alla scrittura degli atti e comunque preliminare alla sua pubblicazione.
Questo aspetto ci consente di aprire una riflessione sul concetto di privacy by-default dell’atto amministrativo che si può interpretare come la necessità di ripensare la struttura formale (la “formattazione”) degli atti per minimizzare i dati personali, in modo da ridurre l’attività di anonimizzazione da fare prima della pubblicazione.
Enti locali: “riuso” di best practice
Un notevole impulso a questo cambiamento culturale potrebbe essere lo sviluppo e l’utilizzo di esperienze e di best practice, casi di successo di qualche amministrazione, che consentano di sfruttare il lavoro fatto per esempio sulla “formattazione” dei documenti o sulla gestione delle pratiche sia dal punto di vista della legittimità sia dal punto di vista dell’applicazione dei codici di condotta previsti dal Gdpr. Ciò diverrebbe un ottimo strumento di regolamentazione e standardizzazione per gli atti della Pubblica Amministrazione.
In tutti i casi c’è ancora tanto da lavorare da parte di tutti gli attori coinvolti in queste attività. Quindi ribocchiamoci le maniche e diamoci da fare!
