Il 25 maggio prossimo entrerà in vigore il nuovo generale sulla protezione dei dati (General Data Protection Regulation, o GDPR) e martedì scorso si è tenuto a Bologna un evento organizzato da Lepida per informare gli enti soci sugli adempimenti normativi da portare a termine e sui servizi di supporto offerti dalla società in-house della Regione Emilia Romagna.
L’incontro del 27 marzo, infatti, era “volto a fornire agli Enti Soci di LepidaSpA un quadro del Regolamento UE 2016/679 GDPR sia in termini di adempimenti normativi che in termini in servizi di supporto messi a disposizione da LepidaSpA”.
All’evento hanno partecipato, tra gli altri, Andrea Orlando, Capo gabinetto della Presidenza della Giunta regionale dell’Emilia Romagna, il direttore generale di Lepida, Gianluca Mazzini, il coordinatore del Gruppo di Lavoro Intercomunità Sicurezza dell’Informazione delle COMTem della CNER, Alessandro Cantelli, e Kussai shahin, Direttore Software & Piattaforme di LepidaSpA.
Ne è venuta fuori una specie di tavola rotonda sul tema del GDPR.
Diversi gli elementi sul tavolo: “Il tema è sentito da molti, abbiamo creato una comunità tematica dedicata e dobbiamo affrontare una grande sfida sui big data, che hanno sviluppato un’interazione fortissima con tutto ciò che riguarda la protezione dei dati”, ha spiegato Mazzini nel suo intervento di apertura.
Un tema nuovo che mette assieme tecnologia e normativa e che costringe “by design” a far lavorare assieme, al tavolo di progettazione, chi si occupa di innovazione tecnologica e chi di regolazione.
Il 25 maggio prossimo entrerà in vigore il GDPR e il prossimo 24 maggio a Bologna, alla presenza del Garante Privacy, ci sarà un evento di vigilia per fare il punto della situazione con tutti i data protection officer.
La nomina dei responsabili della protezione dei dati, i Dpo, è uno dei primi passi da compiere. Dpo inteso non come responsabile assoluto, ma come “officer”, cioè più un coordinatore e persona che gestisce gli interventi.
Numerose inoltre le novità in termini di procedimenti amministrativi. Il 21 marzo c’è stato un decreto che è ancora da valutare nel dettaglio, che abrogherebbe il 196 e comporterebbe un cambiamento nella modulistica oggi utilizzata.
A cui si aggiungono tutta una serie di azioni nuove da compiere per il Responsabile, che se non portate a termine sono passibili di sanzioni.
Prima magari tali azioni erano discrezionali.
Si lavora alacremente per l’attuazione del GDPR e allo stesso tempo ci si trova di fronte uno scenario normativo che potrebbe modificarsi, dando delle ulteriori indicazioni sul da farsi nei prossimi due mesi.
Le comunità tematiche sono state illustrate da Andrea Orlando, Capo Gabinetto Presidenza Giunta regionale Emilia-Romagna, e la trasformazione digitale è la principale leva del cambiamento individuata dall’amministrazione regionale: “Fondamentale non escludere nessuno. Il coinvolgimento parte dalla condivisione degli obiettivi e degli strumenti”.
A tal fine, sono state create le comunità tematiche del digitale, strumento messo a disposizione della Regione per far emergere le criticità e trovare soluzioni condivise da tutti.
Riguardo il GDPR, “sappiamo che l’impatto sarà forte sul territorio, da un punto di vista tecnico, operativo e operazionale, e dall’anno scorso c’è attivo un gruppo di lavoro trasversale tutto dedicato al tema”.
Sono stati fatti degli studi specifici per capire che tipo di lavoro c’era da fare e che tipo di risorse c’erano da mettere in campo. Due i casi pilota portati avanti, Comune di Bologna e l’Unione del distretto ceramico, per capire quali fossero i tipi di servizi da offrire e come svilupparli.
Lepida, dopo la fusione con CUP 2000, ha un ruolo molto rilevante nell’attuazione del GDPR, ha affermato Mazzini: fornisce ai soci il supporto necessario per affrontare il nuovo Regolamento e la realizzazione di un applicativo e di un servizio è pensata sia dal punto di vista tecnologico, sia della sicurezza.
Lepida fornirà ai suoi soci il supporto normativo necessario per affrontare i cambiamenti indotti dall’attuazione dal GDPRr, “con la ricognizione costante dei bisogni e le esigenze dei soci, anche attraverso il lavoro delle comunità tematiche”.
In più, “Lepida svolgerà un’azione di coordinamento tra risorse interne e di mercato, sempre all’interno della cornice generale delle azioni da svolgere in relazione al Gdpr approvate nel piano triennale 2018-2020”.
Obiettivo di Lepida è avere sempre in mano la responsabilità dei processi. È così che si rassicurano i soci e gli stakeholders.
Come strategia, la Regione Emilia Romagna ha già nominato un proprio DPO, Alessandro Zucchini, ed è fondamentale andare verso una standardizzazione delle soluzioni, “perchè più sono standardizzate meno costano, meno problemi abbiamo nell’applicarle e meno problemi abbiamo con i fornitori”.
La standardizzazione dei processi di permette di omogenizzare i processi e di fare formazione unica e congiunta degli stessi: “non può essere il singolo a fare autoformazione, siamo davanti a un meccanismo che richiede formazione congiunta, con processi decisi assieme (cosa devi fare, cosa rischi e come ti devi comportare)”.
L’integrazione con i prodotti di mercato è centrale: “abbiamo un processo di identificazione nei processi e nei progetti cosa è già congruo e come si fa in fretta a farlo funzionare, per esempio nella filiera dell’autenticazione” – infatti con la DGR 420/2018, la Regione Emilia-Romagna ha confermato il mandato a lepidaspa di richiedere all’Agenzia per l’Italia Digitale (AgID) l’accreditamento come Identity Provider (IDP) SPID dandole l’incarico di individuare le modalità tecniche per convertire, ove possibile, le credenziali rilasciate dal sistema FedERa in credenziali SPID – “O come per lo sportello dei pagamenti, o nelle attività di PagoPA, dove siamo soggetto conosciuto a livello nazionale come punto di collegamento e strumento di semplificazione”.
Il ruolo di Lepida nello scenario GDPR di compone di due elementi principali: il set up di servizio e la gestione annuale. Potrebbe fare il Dpo per alcuni enti, per quelli che lo richiederanno. Ulteriori funzioni da svolgere sono: analisi e valutazione, individuazione di non conformità, piano d’azione per conformità, pareri e supporto, sviluppo di un registro dei trattamenti da mettere a disposizione di tutti i soci da realizzare prima del 25 maggio.
È fondamentale trovare un’ottima divisione dei compiti tra ente e Lepida. L’incontro di oggi è dedicato proprio a questo. E dall’analisi economica dei costi sappiamo quanto spenderemo per aderire al nuovo Regolamento.
Soci diversi hanno esigenze diverse, piccoli e medi comuni hanno difficoltò a muoversi da soli e hanno bisogno di supporto. Ad esempio, un’azienda sanitaria ha a che fare con migliaia di procedimenti e trattamenti, mentre i Comuni con alcune centinaia. Ogni azienda sanitaria ha il suo Dpo, mentre per più Comuni insieme ce ne sarà uno solo. I Comuni hanno tanti dati personali da trattare e pochi sensibili, mentre per le aziende sanitarie è vero il contrario.
Ovviamente, essendo Lepida una in-house, compito finale è trovare sempre un prezzo inferiore rispetto a quello di mercato: “Questa analisi ci permette di coprire i costi e andare in equilibrio, consentendoci di essere molto meno costosi rispetto ad altre ipotesi presentate”.
