Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

Protezione dei dati personali nelle burocrazie pubbliche digitali: diario breve di un processo culturale "ancora" tutto da formare

- Donato A. Limone* - 8 maggio 2017

Le annotazioni di questo diario breve sulla protezione dei dati personali riguardano il trattamento dei dati personali in modalità digitale nell’ambito delle organizzazioni pubbliche nel periodo 1996-2017 (dalla legge 675/96, passando per il Codice sulla protezione dei dati personali, fino al regolamento UE 2016/679).
La protezione dei dati personali è espressione di un processo culturale tipico della società dell’informazione che tocca temi particolari quali: il valore dei dati, dell’informazione, dei documenti informatici; la sicurezza informatica, l’accesso telematico, il riuso degli stessi dati, i processi di semplificazione e digitalizzazione.
Il settore pubblico in Italia è caratterizzato da alcuni interventi normativi particolarmente rilevanti, che a partire dal 1990 hanno segnato un processo di riforma e di involuzione che vive ancora oggi di queste dinamiche contrapposte:

- la legge 241/90, nata con la finalità di semplificare i rapporti tra cittadini e burocrazia, dopo 27 anni non ha innescato veri e diffusi processi di semplificazione, con una amministrazione pubblica legata da prassi procedurali e procedimentali di tipo formalistico e con modelli organizzativi ormai superati e dannosi (anche in termini di danni erariali) in un contesto come quello della società dell’informazione;
- le leggi di semplificazione che dal 1997 hanno innescato un processo di "apparente" semplificazione normativa, "sostituito" da un sistema di regolamentazione che ha finito con l’ottenere il risultato di "deresponsabilizzare" il sistema pubblico, di non semplificarlo ma anzi di "complicarlo";
- il dpr 445/2000 ha introdotto il principio delle autodichiarazioni e autocertificazioni scarsamente utilizzate, se non nella logica delle dichiarazioni supportate da "tonnellate" di certificati, attestati, dichiarazioni integrative tali da rendere la macchina burocratica un grande ed inutile archivio di carta o misto (analogico e digitale);
- la legge 183/2011, art. 15 ha stabilito il principio della "decertificazione totale", ma ancora una volta le amministrazioni si guardano bene dall’applicarla;
- il Codice dell’Amministrazione digitale (dlgs 82/2005, da ultimo modificato con il dlgs 179/2016) ha innescato un processo di digitalizzazione più legato alla "dematerializzazione" (dalla carta al documento digitale scannerizzato) e non al principio dei documenti "nativamente digitali"; la riforma della P.A., la legge quadro124/2015, art. 1, lettera m), avrebbe permesso una semplificazione normativa del CAD e ciò non è avvenuto. I processi di digitalizzazione sono scollegati dai processi di semplificazione e quindi non fanno registrare un fenomeno di cambiamento verso burocrazie digitali moderne che operano in rete.
- I processi di accesso telematico ai dati/documenti (Dlgs 33/2013 e successive modifiche) non hanno dato vita a veri processi di trasparenza.

Questo contesto burocratico certamente non ha contribuito alla applicazione funzionale ed efficace sia della legge 675/96 sia del Codice della protezione dei dati personali (Dlgs 196/2003).
Ma il contesto istituzionale ed organizzativo del settore pubblico dal 1993 ad oggi ha visto l'avvicendamento di diversi soggetti che si sono occupati di rendere concreto e funzionale il processo di digitalizzazione delle PA, facendolo uscire dalla logica dei processi di automazione e delle sole tecnologie ICT. L'avvicendamento ha visto all'opera AIPA, CNIPA, DIGITPA, AGID e tutti questi soggetti si sono occupati anche di sicurezza informatica, senza contribuire (per varie ragioni che sarebbe troppo lungo considerare in questo breve diario) allo sviluppo di una cultura della sicurezza informatica e sicurezza dei dati in particolare.
In verità anche il passaggio all'amministrazione digitale ancora è molto lontano!

La stagione dei Codici

Il Codice in materia di protezione dei dati personali viene emanato con Dlgs 196/2003. Dal 2003 possiamo registrare l'avvio di una stagione normativa dedicata a dare struttura sistemica ed unitaria ad una serie di settori particolari dell'ordinamento italiano con l'approvazione di codici:
a) il codice delle comunicazioni (259/2003)
b) il codice dei beni culturali (42/2004)
c) il codice sulla proprietà industriale (30/2005)
d) il codice dell'amministrazione digitale (82/2005)
e) il codice del consumo (206/2005)
f) il codice dell'ambiente (152/2006).

Il Codice della protezione dei dati personali è certamente un insieme strutturato di principi generali e di norme che danno un inquadramento giuridico particolarmente significativo alla materia del trattamento e della protezione dei dati personali. La sua ripartizione logica, la sua articolazione per settori dei trattamenti, la chiarezza di scrittura ne fanno una opera giuridica (oltre che normativa) particolarmente importante, in quanto attraverso il Codice si è dato l'avvio al processo di una formazione della cultura della privacy che si è radicata in questi 14 anni.
Il merito all'Autorità Garante (nelle diverse composizioni negli anni) di avere contribuito a questo processo culturale con tutti gli strumenti normativi a sua disposizione. Oggi possiamo sostenere che il Codice ci permetterà anche di passare all'applicazione del regolamento UE 2016/679 con più facilità proprio per le solide basi poste dal Codice e dal Garante.
Non possiamo tuttavia affermare che nel settore pubblico la cultura della protezione dei dati personali abbia avuto un radicamento particolare perché la logica dell'adempimento è ancora molto forte. Sarà necessario meglio indirizzare il settore pubblico verso la grande opportunità dell'attuazione del regolamento UE 2016/679 proprio per superare la logica dell'adempimento, che non ha contribuito né alla valorizzazione del patrimonio dei dati personali in quanto "patrimonio" (il patrimonio dei dati personali a fini amministrativi generali, di servizio, ecc.) né alla formazione di una cultura della sicurezza informatica degli stessi dati.

La sicurezza dei dati, delle infrastrutture e delle reti

La sicurezza dei dati è tema avviato con la legge 675/1996 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) e con il DPR 318/99 (Regolamento recante norme per l'individuazione delle misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675). Per la prima volta nel nostro ordinamento si affronta il problema della sicurezza dei dati e della sicurezza informatica dei dati.
Ma la sicurezza dei dati, in genere ed in particolare nel settore pubblico, resta ancorata alla logica dell'adempimento, all'obbligo di adottare il documento programmatico della sicurezza (art. 6). L'obbligo viene eliminato con il DL 5/2012, ma erano "forse" tutti distratti in quanto si sono persi gli articoli del Codice relativi alla responsabilità nel trattamento dei dati personali e quindi alla necessità di adottare misure minime ed adeguate in tema di sicurezza. L'obbligo del DPS viene meno come "obbligo" e ritorna vincente l'adempimento (resta ovviamente la responsabilità del trattamento, la necessità di adottare le misure di sicurezze, ma poi in fin dei conti vige l'indirizzo... fate come vi pare!).
Nel settore pubblico, venuto meno il DPS (che tutti non hanno voluto per non avere vincoli) poi ci si è accorti che era difficile operare per la sicurezza dei dati e per la sicurezza informatica perché, senza "indirizzi", le P.A. nella loro autonomia non sono state in grado di assicurare l'applicazione concreta di misure di sicurezza sul trattamento dei dati personali.
Peraltro, altre norme ponevano il problema della sicurezza dei dati (e quindi anche dei dati personali): il Codice dell'Amministrazione Digitale, quando tratta del valore legale dei documenti informatici (art. 20 e 21; art. 51); le regole tecniche in materia di firme elettroniche, di documenti informatici, di gestione documentale digitale, di conservazione, ecc.
Allora, la tenuta in sicurezza dei dati personali significa la tenuta in sicurezza del 90% dei dati della P.A. e quindi non ci possono essere piani di sicurezza "verticali" (per dati personali, per il manuale del protocollo informatico, per la conservazione, per le reti, ecc.). Il sistema documentale digitale pubblico è da considerare quindi unitario e il piano di sicurezza deve necessariamente affrontare il tema della sicurezza informatica come "sicurezza di sistema" (relativo a tutta la filiera del sistema documentale, a partire dai siti fino alla conservazione, alla pubblicazione e comunicazione ai sensi del Dlgs 33/2013).

La sicurezza informatica dei dati personali oggi ha il compito di trainare tutto il processo di sicurezza del patrimonio informativo pubblico italiano. Fuori di questa logica si resta nella frammentazione più spinta con rischi notevoli di vario tipo. Senza la sicurezza informatica dei dati personali si rischia di restare in balia di sistemi di dati circolari e circolanti (social network ecc.) che poi fanno dei dati personali tutto quanto anche contro il volere dei soggetti ai quali i dati "appartengono".

La sicurezza informatica nel settore pubblico è allo stato nascente; recente appunto è la pubblicazione della circolare AGID 1/2017 sulle misure minime di sicurezza ICT per la PA (direttiva del Presidente del consiglio dei ministri del 2015). E sono passati (dal DPR 318/99) 18 anni quasi invano per il settore pubblico in tema di sicurezza dei dati personali e non solo!
Come affronteremo l'applicazione del regolamento UE 2016/679?

* Direttore del Dipartimento di Scienze giuridiche ed economiche e della Scuola Nazionale di Amministrazione Digitale, Università degli studi di Roma Unitelma Sapienza

Per intervenire nel Forum, clicca qui
Inizio pagina     Indice del Forum      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright