Quali sono le sfide per l’Ente pubblico nella materia della privacy?
A oltre due anni di distanza dall’introduzione del GDPR, vediamo insieme alcuni dei punti principali di frizione tra questa normativa europea e la realtà degli Enti pubblici, in particolare quelli locali di minori dimensioni.
Per gli enti pubblici le sfide in materia di privacy e trattamento dei dati sono molteplici. Di seguito analizziamo le principali, fornendo qualche spunto di riflessione e infine proponendo delle soluzioni mirate per ogni problematica che ci possiamo trovare ad affrontare.
Prima sfida – l’adeguamento dell’ente sotto il profilo documentale
Moltissimi enti ancora non hanno terminato il lavoro, mentre purtroppo parecchi nemmeno l’hanno ancora iniziato. Diversi sono i motivi alla base di questa inadempienza, ma principalmente troviamo ragioni di carenza di dotazione organica, di budget e di consapevolezza.
Malauguratamente, capita che anche quegli Enti che già si sono dotati di una documentazione di adeguamento rispetto al principio della c.d. accountability (la responsabilizzazione del titolare), si trovino spesso nella situazione di dover verificare il lavoro svolto.
Ciò avviene anche alla luce della maturazione di alcuni concetti che, in una prima fase, erano più nebulosi o comunque generavano incertezze nei consulenti: si pensi che ancora in molte strutture sanitarie si vede richiedere il consenso al trattamento dei dati dei pazienti per finalità di diagnosi, terapia e cura, nonostante il preciso dettato dell’art. 9, par. 2 lett. h) GDPR.
Seconda sfida – l’analisi dei rischi
In moltissimi Enti pubblici questo fondamentale adempimento non è stato svolto per ragioni di tempo o di budget, con palese violazione del principio di cui all’art. 24 del GDPR, ossia quello dell’accountability, sopra nominato.
In base a tale principio, infatti, il titolare del trattamento (ossia l’Ente) dovrebbe adottare tutte le misure adeguate per garantire - ed essere in grado di dimostrare - che il trattamento dei dati posto in essere è conforme al GDPR.
Per poter procedere, però, il titolare deve necessariamente tenere conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento dei dati, nonché dei rischi ad esso connessi, dovendo perciò operare una vera e propria valutazione - o assessment - dei rischi.
Terza sfida – il budget per gli incarichi al DPO esterno, il responsabile della protezione dati
Purtroppo il suo intervento troppo spesso si risolve con un audit periodico non personalizzato, ma standard, che di fatto non corrisponde alla fondamentale attività di consulenza al personale che gli è imposta dall’art. 39 del GDPR.
Sarebbe invece preferibile assicurarsi la nomina di un DPO con cui poter avere costantemente un contatto diretto e che, essendo adeguatamente formato e aggiornato in materia di GDPR, possa effettivamente dare quelle indicazioni e suggerire quelle procedure che ci si sarebbe aspettati da una consulenza "su misura" per il nostro ente, ossia "by design".
Quarta sfida – il sistema informatico
Per quanto riguarda questa criticità, possiamo delineare due problemi principali: da una parte proprio la struttura informatica dell’ente, dall’altra la scarsa formazione del personale nell’uso degli stessi strumenti informatici.
Sotto il primo profilo, in molti casi si riscontra una elevatissima obsolescenza dell’hardware dell’Ente (pensiamo a quanti PC hanno ancora installato il sistema operativo Microsoft Windows 7, ormai privo di supporto per la sicurezza dal mese di gennaio 2020, con elevatissimi rischi).
A ciò si accompagnano spesso misure insufficienti a garantire l’operatività del sistema in caso di guasti o infezioni informatiche: le procedure di backup spesso non sono perfettamente funzionanti, mentre il c.d. disaster recovery è pressoché sconosciuto, al pari dei piani di manutenzione e sostituzione dei dispositivi informatici.
Sotto il secondo profilo, troppo spesso il personale, impreparato poiché assunto quando l’informatica era ancora poco utilizzata negli Enti pubblici, si trova ora ad utilizzare giornalmente strumenti informatici evoluti nel tentativo di rispettare il principio di dematerializzazione.
Operando in questo modo i rischi sono elevatissimi, soprattutto per la tragica carenza di consapevolezza circa il corretto uso degli strumenti informatici.
Tra gli adempimenti più importanti richiesti all’Ente, vi è sicuramente la formazione delle persone autorizzate, ossia del proprio personale.