La PA alla prova del Regolamento UE per la protezione dei dati personali.
C’è da rilevare il ritardo con il quale le PA hanno preso in considerazione il regolamento:
oggi ci si accorge che il regolamento è applicabile dal 2016 e che dal 2016 al 24 maggio c’era una fase cosiddetta di adeguamento per attuare il regolamento con tempi interessanti e funzionali per assorbire i principi del regolamento che richiedono un nuovo tipo di amministrazione pubblica. E per questo i tempi di adeguamento sono ristretti ma tuttavia è necessario avviare il processo di innovazione amministrativa non solo per applicare il regolamento ma soprattutto per ammodernare la PA.
Il regolamento 679/2016 può essere applicato solo in una amministrazione pubblica rivisitata. La PA alla prova del regolamento significa la PA alla prova di un nuovo modello di PA.
Le mie considerazioni partono da questa premessa.
Dobbiamo sottolineare che l’approccio al problema rischia di seguire la logica dell’adempimento che è esattamente la logica che non supporta il regolamento in quanto i principi del regolamento delineano un approccio integrato, strutturale, sistemico, che interessa aspetti organizzativi, funzionali, documentali, informativi, comportamentali, tecnici.
Mi limito a citare i principi per rendersi conto della totale diversità di approccio rispetto alla situazione amministrativa attuale:
- totale responsabilizzazione e autonomia del titolare del trattamento nell’affrontare il problema della sicurezza dei dati personali (art. 24);
- protezione dei dati fin dalla progettazione per impostazione predefinita (art. 25);
- tutto ciò che si fa per il trattamento e la protezione dei dati deve essere registrato (art. 30)
- valutazione d’impatto sulla protezione dei dati (art. 35)
- analisi sistematica dei rischi nel trattamento.
Questi principi non permettono un approccio ed una soluzione di tipo prettamente formalistico che poi si risolverebbe (come avvenuto nei 20 anni trascorsi, dalla legge 675/96 in poi) in un approccio scarsamente operativo e concreto sul piano reale (cioè i dati non sarebbero protetti se non per adempimento in quanto ci si è attenuti a indicazioni o schemi formali o liste di cose da fare).
Si rischia una finzione di protezione dei dati.
Il regolamento detta norme per una protezione su “misura”
Il regolamento richiede un intervento per la protezione dei dati su misura di ciascuna amministrazione e quindi fuori da una logica di approccio standard generalizzato che va bene per tutto purché le carte siano a posto. Il regolamento UE incide ed inciderà molto fortemente sul contesto organizzativo ed amministrativo delle PA: lo mette radicalmente in discussione e richiede quindi in fase di “adeguamento” una revisione dell’assetto organizzativo degli enti senza la quale non è possibile attuare completamento il regolamento.
Ma come si presenta il contesto delle PA?
In termini generali (e con l’eccezione di poche amministrazioni rispetto a 30.000 enti pubblici con 3.500.000 di pubblici dipendenti) il contesto non si presenta molto bene:
- Da 28 anni le amministrazioni applicano la legge 241/90 solo sotto il profilo degli adempimenti formali ma certamente le nostre amministrazioni non sono state riorganizzate e semplificate: ciò non aiuta per es. un’analisi sui trattamenti e sui rischi nel trattamento perché le amministrazioni non conoscono la propria organizzazione e i procedimenti (cioè non conoscono la infrastruttura documentale che supporta i processi amministrativi)
- Da 13 anni le amministrazioni non applicano il CAD e quindi non hanno avviato (se non in modo frammentario) processi di digitalizzazioni e di amministrazioni nativamente digitali che operano in rete; un’amministrazione nativamente digitale permette di essere trasparente, tracciabile, con processi e dati/documenti ben definiti; ciò contribuirebbe all’applicazione del regolamento in quanto il contesto sarebbe razionalizzato e trasparente.
- Da sempre i modelli di organizzazione delle PA caratterizzano amministrazioni di tipo gerarchico, formalistiche, con procedure e procedimenti ridondanti, lunghi, costose, che non hanno al centro delle proprie politiche i cittadini e le imprese; ciò sicuramente è in contrasto con i principi del regolamento che non si riferiscono ad amministrazioni di tipo formalistico;
- Il diritto di accesso, di trasparenza, di informazione sono diritti “recenti”, sui quali si dibatte spesso per limitarli: la credenza per amministrazioni aperte, accessibili, semplificate, sostenibili e funzionali è molto fragile; il regolamento poggia invece proprio su amministrazioni di tipo innovativo;
- I patrimoni informativi pubblici non sono correttamente progettati, realizzati, manutenuti, aggiornati, digitalizzati, ecc. e ciò non permette di applicare i principi che sono alla base del regolamento.
- Le azioni deliberative, i controlli di gestioni, le valutazioni delle performance amministrative, le decisioni pubbliche sono prese tendenzialmente sulla base di dati, di documenti, di informazioni non di qualità: sulla base di dati non aggiornati, non corretti, non completi e quindi rischiamo di operare sulla base di atti decisionali illegittimi per inconsistenza dei dati.
- Non c’è una cultura del dato pubblico e non abbiamo una cultura del valore economico dei patrimoni dei dati pubblici e dei dati personali trattati dalle PA.I dati personali trattati dalle PA non solo devono essere regolati da norme sulla privacy e sulla protezione degli stessi dati ma i dati personali nelle PA costituiscono un patrimonio fondamentale, necessario per programmare, dirigere, controllare e qualificare l’azione amministrativa ei servizi ai cittadini e alle imprese. I dati personali sono parte del patrimonio dei dati delle PA e sono necessari per amministrare.
Il contesto non aiuta le PA ad applicare il regolamento UE ma è necessario applicare il regolamento per dare un contributo all’ammodernamento delle PA.
La fase di adeguamento
La fase di adeguamento quindi è particolarmente significativa proprio in ragione delle osservazioni che abbiamo fatto sul contesto e quindi è necessario (sia pure tardivamente) avviare una fase di assessment organizzativo proprio per meglio conoscere la tipologia dei dati, i rischi nel trattamento, per definire una policy di protezione dei dati personali.
Le amministrazioni che hanno avviato un processo di semplificazione (purtroppo poche) oggi si trovano in una condizione migliore per applicare il regolamento proprio perché possono meglio intervenire sui rischi e per approntare le misure di sicurezza che sono organizzative e tecniche.
Nella fase di adeguamento (sono pochi tre mesi) si possono creare le condizioni per una visione moderna delle PA e per nuovi modelli di organizzazione e gestione innovativa.
In questo nuovo scenario possiamo trattare i dati personali non solo in quanto dati personali e da trattare secondo principi di riservatezza ma anche i dati personali come patrimonio di dati a valenza nazionale. Un Paese che tratta bene i dati personali e li protegge è un Paese moderno che riconosce ai dati pubblici in generale e ai dati personali trattati dalle PA (il patrimonio dei dati pubblici) una funzione primaria fondamentale per la crescita del Paese stesso.
Cosa fare nella fase di adeguamento
Nella fase di adeguamento sarà quindi necessario verificare cosa è stato fatto fino ad oggi dalle PA per la protezione dei dati personali e da questa situazione avviare un nuovo processo di trattamento, di valorizzazione, di protezione dei dati personali sulla base dei principi stabiliti dal regolamento. La fase di adeguamento è particolarmente importante e le analisi e le verifiche in questa fase dovranno quindi riguardare l’assetto attuale in tema di privacy ed in particolare alcuni aspetti:
- le norme sul trattamento così come sono state applicate al caso specifico
- i compiti attribuiti ai diversi soggetti dell’ente responsabili del trattamento e della sicurezza
- come si presenta il sito web dell’ente rispetto ai trattamenti e rispetto al ruolo che gli viene assegnato dal CAD, dal dlgs 33/2013
- la formazione e l’utilizzo della modulistica, se in linea con la normativa privacy
- l’organizzazione dei procedimenti e l’organizzazione del lavoro rispetto al trattamento dei dati
- l misure di sicurezza nel trattamento e la sicurezza informatica in particolare
- come sono trattati i dati sensibili
- formazione dei dipendenti in materia di privacy e sicurezza
- formazione dei cittadini in materia di privacy.
I principi del regolamento non possono essere rispettati ed utilizzati se non in un contesto riorganizzato e digitalizzato.
Al di fuori di questo contesto l’applicazione del Regolamento non solo sarà difficile ma non sarà utile.
Il Data Protection Officer
La nomina dei Data Protection Officer non può che essere fatta anche in riferimento al contesto organizzativo delle PA e alle dinamiche di cambiamento: la nomina non può ridursi a mero adempimento amministrativo anche perchè il profilo del DPO è un profilo alto, particolarmente qualificato e competente.
Nè può essere fatta nella logica dello scarico delle responsabilità dei dirigenti e degli apicali amministrativi sul DPO: le funzioni del DPO accentuano ancora di più il ruolo e le responsabilità dei dirigenti e degli apicali proprio rispetto ai settori di competenza (i dirigenti sono responsabili del trattamento dei dati personali e della protezione dei dati personali in quanto sono responsabili dell’organizzazione, delle risorse, dei procedimenti del proprio settore di competenza e quindi sono responsabili dei dati personali trattati nel proprio settore).
Formazione
In questa fase di adeguamento (sia pure in ritardo) un ruolo particolare può essere svolto dalla formazione sui principi del regolamento (e quindi sulla cultura della protezione dei dati personali in un contesto rinnovato). Una formazione non solo per un DPO all’altezza del regolamento ma soprattutto per la ridefinizione dei ruoli della dirigenza e/o degli apicali nel trattamento dei dati personali e nella protezione degli stessi dati.
La formazione nella fase di adeguamento permette di cogliere l’occasione per prendere in esame tutta la struttura organizzativa.
Ma la formazione dovrebbe interessare i cittadini: fare crescere la cultura della privacy e della protezione dei dati personali.
In conclusione
Alla prova del regolamento oggi la PA (ciascuna PA) ha una ulteriore occasione per avviare un cambiamento nei termini di ammodernamento e di digitalizzazione. Il regolamento non può essere applicato nei termini di puro adempimento (il rischio in tal senso è molto alto) ma in termini di razionalizzazione del contesto amministrativo. Il regolamento stesso aiuta ad operare con un approccio moderno.
In questo nuovo contesto la prova dell’amministrazione pubblica sul Regolamento potrebbe risultare positiva. È quello che ci auguriamo.