Quali sono le sfide per l’Ente pubblico nella materia della privacy?

Per gli enti pubblici le sfide in materia di privacy e trattamento dei dati sono molteplici. Di seguito analizziamo le principali, fornendo qualche spunto di riflessione e infine proponendo delle soluzioni mirate per ogni problematica che ci possiamo trovare ad affrontare. 

Prima sfida – l’adeguamento dell’ente sotto il profilo documentale

Moltissimi enti ancora non hanno terminato il lavoro, mentre purtroppo parecchi nemmeno l’hanno ancora iniziato. Diversi sono i motivi alla base di questa inadempienza, ma principalmente troviamo ragioni di carenza di dotazione organica, di budget e di consapevolezza.

Malauguratamente, capita che anche quegli Enti che già si sono dotati di una documentazione di adeguamento rispetto al principio della c.d. accountability (la responsabilizzazione del titolare), si trovino spesso nella situazione di dover verificare il lavoro svolto. 

Ciò avviene anche alla luce della maturazione di alcuni concetti che, in una prima fase, erano più nebulosi o comunque generavano incertezze nei consulenti: si pensi che ancora in molte strutture sanitarie si vede richiedere il consenso al trattamento dei dati dei pazienti per finalità di diagnosi, terapia e cura, nonostante il preciso dettato dell’art. 9, par. 2 lett. h) GDPR.

Seconda sfida – l’analisi dei rischi

In moltissimi Enti pubblici questo fondamentale adempimento non è stato svolto per ragioni di tempo o di budget, con palese violazione del principio di cui all’art. 24 del GDPR, ossia quello dell’accountability, sopra nominato. 

In base a tale principio, infatti, il titolare del trattamento (ossia l’Ente) dovrebbe adottare tutte le misure adeguate per garantire - ed essere in grado di dimostrare - che il trattamento dei dati posto in essere è conforme al GDPR. 

Per poter procedere, però, il titolare deve necessariamente tenere conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento dei dati, nonché dei rischi ad esso connessi, dovendo perciò operare una vera e propria valutazione - o assessment - dei rischi.

Terza sfida – il budget per gli incarichi al DPO esterno, il responsabile della protezione dati

Purtroppo il suo intervento troppo spesso si risolve con un audit periodico non personalizzato, ma standard, che di fatto non corrisponde alla fondamentale attività di consulenza al personale che gli è imposta dall’art. 39 del GDPR. 

Sarebbe invece preferibile assicurarsi la nomina di un DPO con cui poter avere costantemente un contatto diretto e che, essendo adeguatamente formato e aggiornato in materia di GDPR, possa effettivamente dare quelle indicazioni e suggerire quelle procedure che ci si sarebbe aspettati da una consulenza "su misura" per il nostro ente, ossia "by design".

Quarta sfida – il sistema informatico

Per quanto riguarda questa criticità, possiamo delineare due problemi principali: da una parte proprio la struttura informatica dell’ente, dall’altra la scarsa formazione del personale nell’uso degli stessi strumenti informatici. 

Sotto il primo profilo, in molti casi si riscontra una elevatissima obsolescenza dell’hardware dell’Ente (pensiamo a quanti PC hanno ancora installato il sistema operativo Microsoft Windows 7, ormai privo di supporto per la sicurezza dal mese di gennaio 2020, con elevatissimi rischi).

A ciò si accompagnano spesso misure insufficienti a garantire l’operatività del sistema in caso di guasti o infezioni informatiche: le procedure di backup spesso non sono perfettamente funzionanti, mentre il c.d. disaster recovery è pressoché sconosciuto, al pari dei piani di manutenzione e sostituzione dei dispositivi informatici. 

Sotto il secondo profilo, troppo spesso il personale, impreparato poiché assunto quando l’informatica era ancora poco utilizzata negli Enti pubblici, si trova ora ad utilizzare giornalmente strumenti informatici evoluti nel tentativo di rispettare il principio di dematerializzazione. 

Operando in questo modo i rischi sono elevatissimi, soprattutto per la tragica carenza di consapevolezza circa il corretto uso degli strumenti informatici. 

Tra gli adempimenti più importanti richiesti all’Ente, vi è sicuramente la formazione delle persone autorizzate, ossia del proprio personale.

Quinta sfida – la formazione

Troppo spesso ci si concentra su documenti e carte da compilare senza comprendere il reale scopo per cui siamo tenuti a farlo. Troppe volte si riscontra una totale inconsapevolezza delle procedure e dei dati che sono oggetto della normativa GDPR. 

Purtroppo capita che il personale stesso dell'ente pubblico non sia informato adeguatamente sui passaggi operativi da seguire per evitare di entrare in contrasto con il regolamento europeo per la protezione dei dati. Per poter stabilire un framework operativo valido, conforme e applicabile, oltre ad affidarsi ai giusti consulenti in materia, è di fondamentale importanza garantire a tutti i soggetti coinvolti una buona formazione, che dia spunti immediatamente e concretamente applicabili nella propria realtà. 

Una formazione standard molto probabilmente non ci farà ottenere grossi risultati, ma ci riempirà la testa di nozioni difficilmente comprensibili da tutti e non permetterà a nessuno di comprendere il proprio ruolo nella gestione dei dati e dalla privacy.

Solo grazie a un percorso formativo progettato per gli enti pubblici e maggiormente pratico, infatti, è possibile diffondere la cultura della consapevolezza, in modo da evitare errori che potrebbero cagionare l’irrogazione di sanzioni elevatissime a carico dell’Ente datore di lavoro. 

Teniamo sempre presente che si possono inoltre configurare danni serissimi per i soggetti dei quali vengono trattati i dati, ossia gli interessati: gli utenti, i fornitori e il personale dell’Ente.

Per poter meglio affrontare queste sfide, che ricordiamo essere solo le principali, e rispondere a tutte le esigenze che ne conseguono, Integys propone una serie di soluzioni studiate e costruite su misura per l’ente pubblico tra cui:

-Servizio di analisi dell'infrastruttura IT e di tutta la documentazione che implica un trattamento dei dati

-Servizio di analisi delle problematiche riscontrate nell'infrastruttura IT e dei rischi connessi alla privacy 

-Servizi di DPO con competenze specifiche in ambito pubblico

-Messa in sicurezza della struttura informatica dell'ente pubblico

-Formazione su misura per dirigenti e responsabili di settore

Siamo consapevoli che il contesto attuale ponga per gli enti pubblici innumerevoli questioni potenzialmente problematiche in tema di GDPR e Privacy, basti pensare all'utilizzo sempre più frequente dei social media, con cui la Pubblica amministrazione si è ritrovata, in piena pandemia, improvvisamente costretta ad avere a che fare, ma siamo altresì certi che con la giusta preparazione, i corretti strumenti e una buona consulenza si possano gestire tutti i problemi. 

Per questo siamo fin da subito a disposizione, per offrire una consulenza gratuita mirata a chiarire ogni eventuale dubbio e con lo scopo di aiutare a superare ogni sfida che il GDPR può comportare per l'ente pubblico. 

Cliccando qui sotto l'articolo è possibile selezionare una data e un orario in cui poter essere ricontattati senza impegno dai nostri consulenti.