|
Le annotazioni di questo diario breve sulla protezione dei dati personali
riguardano il trattamento dei dati personali in modalità digitale nell’ambito
delle organizzazioni pubbliche nel periodo 1996-2017 (dalla legge 675/96,
passando per il Codice sulla protezione dei dati personali, fino al regolamento
UE 2016/679).
La protezione dei dati personali è espressione di un processo culturale
tipico della società dell’informazione che tocca temi particolari quali: il
valore dei dati, dell’informazione, dei documenti informatici; la sicurezza
informatica, l’accesso telematico, il riuso degli stessi dati, i processi di
semplificazione e digitalizzazione.
Il settore pubblico in Italia è caratterizzato da alcuni interventi
normativi particolarmente rilevanti, che a partire dal 1990 hanno segnato un
processo di riforma e di involuzione che vive ancora oggi di queste dinamiche
contrapposte:
- la legge 241/90, nata con la finalità di semplificare i rapporti tra
cittadini e burocrazia, dopo 27 anni non ha innescato veri e diffusi processi di
semplificazione, con una amministrazione pubblica legata da prassi procedurali e
procedimentali di tipo formalistico e con modelli organizzativi ormai superati e
dannosi (anche in termini di danni erariali) in un contesto come quello della
società dell’informazione;
- le leggi di semplificazione che dal 1997 hanno innescato un processo di
"apparente" semplificazione normativa, "sostituito" da un
sistema di regolamentazione che ha finito con l’ottenere il risultato di
"deresponsabilizzare" il sistema pubblico, di non semplificarlo ma
anzi di "complicarlo";
- il dpr 445/2000 ha introdotto il principio delle autodichiarazioni e
autocertificazioni scarsamente utilizzate, se non nella logica delle
dichiarazioni supportate da "tonnellate" di certificati, attestati,
dichiarazioni integrative tali da rendere la macchina burocratica un grande ed
inutile archivio di carta o misto (analogico e digitale);
- la legge 183/2011, art. 15 ha stabilito il principio della "decertificazione
totale", ma ancora una volta le amministrazioni si guardano bene dall’applicarla;
- il Codice dell’Amministrazione digitale (dlgs 82/2005, da ultimo
modificato con il dlgs 179/2016) ha innescato un processo di digitalizzazione
più legato alla "dematerializzazione" (dalla carta al documento
digitale scannerizzato) e non al principio dei documenti "nativamente
digitali"; la riforma della P.A., la legge quadro124/2015, art. 1, lettera
m), avrebbe permesso una semplificazione normativa del CAD e ciò non è
avvenuto. I processi di digitalizzazione sono scollegati dai processi di
semplificazione e quindi non fanno registrare un fenomeno di cambiamento verso
burocrazie digitali moderne che operano in rete.
- I processi di accesso telematico ai dati/documenti
(Dlgs 33/2013 e successive modifiche) non
hanno dato vita a veri processi di trasparenza.
Questo contesto burocratico certamente non ha contribuito alla applicazione
funzionale ed efficace sia della legge 675/96 sia del Codice della protezione
dei dati personali (Dlgs 196/2003).
Ma il contesto istituzionale ed organizzativo del settore pubblico dal 1993
ad oggi ha visto l'avvicendamento di diversi soggetti che si sono occupati di
rendere concreto e funzionale il processo di digitalizzazione delle PA,
facendolo uscire dalla logica dei processi di automazione e delle sole
tecnologie ICT. L'avvicendamento ha visto all'opera AIPA, CNIPA, DIGITPA, AGID e
tutti questi soggetti si sono occupati anche di sicurezza informatica, senza
contribuire (per varie ragioni che sarebbe troppo lungo considerare in questo
breve diario) allo sviluppo di una cultura della sicurezza informatica e
sicurezza dei dati in particolare.
In verità anche il passaggio all'amministrazione digitale ancora è molto
lontano!
La stagione dei Codici
Il Codice in materia di protezione dei dati personali viene emanato
con Dlgs 196/2003. Dal 2003 possiamo registrare l'avvio di una stagione
normativa dedicata a dare struttura sistemica ed unitaria ad una serie di
settori particolari dell'ordinamento italiano con l'approvazione di codici:
a) il codice delle comunicazioni (259/2003)
b) il codice dei beni culturali (42/2004)
c) il codice sulla proprietà industriale (30/2005)
d) il codice dell'amministrazione digitale (82/2005)
e) il codice del consumo (206/2005)
f) il codice dell'ambiente (152/2006).
Il Codice della protezione dei dati personali è certamente un insieme
strutturato di principi generali e di norme che danno un inquadramento giuridico
particolarmente significativo alla materia del trattamento e della protezione
dei dati personali. La sua ripartizione logica, la sua articolazione per settori
dei trattamenti, la chiarezza di scrittura ne fanno una opera giuridica (oltre
che normativa) particolarmente importante, in quanto attraverso il Codice si è
dato l'avvio al processo di una formazione della cultura della privacy che si è
radicata in questi 14 anni.
Il merito all'Autorità Garante (nelle diverse
composizioni negli anni) di avere contribuito a questo processo culturale con
tutti gli strumenti normativi a sua disposizione. Oggi possiamo sostenere che
il Codice ci permetterà anche di passare all'applicazione del regolamento UE
2016/679 con più facilità proprio per le solide basi poste dal Codice e dal
Garante.
Non possiamo tuttavia affermare che nel settore pubblico la cultura
della protezione dei dati personali abbia avuto un radicamento particolare perché la logica dell'adempimento è ancora molto forte. Sarà necessario
meglio indirizzare il settore pubblico verso la grande opportunità
dell'attuazione del regolamento UE 2016/679 proprio per superare la logica
dell'adempimento, che non ha contribuito né alla valorizzazione del patrimonio
dei dati personali in quanto "patrimonio" (il patrimonio dei dati
personali a fini amministrativi generali, di servizio, ecc.) né alla
formazione di una cultura della sicurezza informatica degli stessi dati.
La sicurezza dei dati, delle infrastrutture e delle reti
La sicurezza dei dati è tema avviato con la legge 675/1996 (Tutela delle
persone e di altri soggetti rispetto al trattamento dei dati personali) e
con il DPR 318/99 (Regolamento recante norme per l'individuazione delle
misure di sicurezza minime per il trattamento dei dati personali a norma
dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675). Per la
prima volta nel nostro ordinamento si affronta il problema della sicurezza dei
dati e della sicurezza informatica dei dati.
Ma la sicurezza dei dati, in genere
ed in particolare nel settore pubblico, resta ancorata alla logica
dell'adempimento, all'obbligo di adottare il documento programmatico della
sicurezza (art. 6). L'obbligo viene eliminato con il DL 5/2012, ma erano
"forse" tutti distratti in quanto si sono persi gli articoli del
Codice relativi alla responsabilità nel trattamento dei dati personali e quindi
alla necessità di adottare misure minime ed adeguate in tema di sicurezza.
L'obbligo del DPS viene meno come "obbligo" e ritorna vincente
l'adempimento (resta ovviamente la responsabilità del trattamento, la
necessità di adottare le misure di sicurezze, ma poi in fin dei conti vige
l'indirizzo... fate come vi pare!).
Nel settore pubblico, venuto meno il
DPS (che tutti non hanno voluto per non avere vincoli) poi ci si è accorti che
era difficile operare per la sicurezza dei dati e per la sicurezza informatica
perché, senza "indirizzi", le P.A. nella loro autonomia non sono
state in grado di assicurare l'applicazione concreta di misure di sicurezza sul
trattamento dei dati personali.
Peraltro, altre norme ponevano il problema della
sicurezza dei dati (e quindi anche dei dati personali): il Codice
dell'Amministrazione Digitale, quando tratta del valore legale dei documenti
informatici (art. 20 e 21; art. 51); le regole tecniche in materia di firme
elettroniche, di documenti informatici, di gestione documentale digitale, di
conservazione, ecc.
Allora, la tenuta in sicurezza dei dati personali significa
la tenuta in sicurezza del 90% dei dati della P.A. e quindi non ci possono
essere piani di sicurezza "verticali" (per dati personali, per il
manuale del protocollo informatico, per la conservazione, per le reti, ecc.). Il
sistema documentale digitale pubblico è da considerare quindi unitario e
il piano di sicurezza deve necessariamente affrontare il tema della sicurezza
informatica come "sicurezza di sistema" (relativo a tutta la filiera
del sistema documentale, a partire dai siti fino alla conservazione, alla
pubblicazione e comunicazione ai sensi del Dlgs 33/2013).
La sicurezza informatica dei dati personali oggi ha il compito di trainare
tutto il processo di sicurezza del patrimonio informativo pubblico italiano.
Fuori di questa logica si resta nella frammentazione più spinta con rischi
notevoli di vario tipo. Senza la sicurezza informatica dei dati personali si
rischia di restare in balia di sistemi di dati circolari e circolanti (social
network ecc.) che poi fanno dei dati personali tutto quanto anche contro il
volere dei soggetti ai quali i dati "appartengono".
La sicurezza
informatica nel settore pubblico è allo stato nascente; recente appunto è la
pubblicazione della circolare AGID 1/2017 sulle misure minime di sicurezza ICT per la PA
(direttiva del Presidente del consiglio dei ministri del 2015). E sono
passati (dal DPR 318/99) 18 anni quasi invano per il settore pubblico in tema di
sicurezza dei dati personali e non solo!
Come affronteremo l'applicazione del
regolamento UE 2016/679?
* Direttore del Dipartimento di Scienze giuridiche ed economiche e della
Scuola Nazionale di Amministrazione Digitale, Università degli studi di Roma Unitelma Sapienza
|
Home
sulle novità di
InterLex
- Donato A.
Limone
