venerdì, 29 marzo 2024

Articoli

Government & Public services: IT, PA e Privacy by design

24/01/2018

di Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it

La Pubblica Amministrazione, al pari di ogni altro titolare di un trattamento di dati personali, è tenuta ad adottare idonee misure logiche di sicurezza a protezione dei propri sistemi informatici. Pertanto anche le banche dati della Pubblica Amministrazione sono state oggetto di provvedimenti da parte dell’Autorità Garante, finalizzati ad aumentare lo standard delle misure di sicurezza. Tra questi, è il caso di ricordare il Provvedimento 2 luglio 2015 «Misure di sicurezza e modalità di scambio dei dati personali tra Amministrazioni pubbliche» (G.U. n. 179, serie generale, del 4 agosto 2015) [doc. web n. 4129029], con il quale il Garante ha dettato tutta una serie di misure di sicurezza alle quali le P.A. devono attenersi.

Vista l’attinenza con l’istituto della data brech notification del nuovo regolamento europeo 679/2016 (1), merita ricordare che il Garante ha prescritto che le Amministrazioni dello Stato - compresi gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti pubblici non economici - debbano comunicare allo stesso Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli incidenti informatici (i c.d. “data breach”) che possono avere un impatto significativo sui dati personali contenuti nelle banche dati. Le comunicazioni devono essere redatte secondo il modello messo a disposizione dalla stessa Autorità Garante ed inviato via mail all’indirizzo «databreach.pa@pec.gpdp.it»(2). Alla luce del nuovo regolamento Ue 679/2016, che troverà piena applicazione a partire dal 25 maggio 2018, anche la Pubblica Amministrazione dovrà perseguire l’obiettivo di implementare un Sistema di Gestione Privacy capace di proteggere i dati, riducendone al minimo l’utilizzazione. Sotto questo profilo, il regolamento introduce i principi della data protection by design and by default.

BY DESIGN E BY DEFAULT

Con l’espressione data protection by design, disciplinata dal paragrafo 1 dell’articolo 25 del RGPD 679/2016, si intende l’obbligo in capo al titolare, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura e delle finalità del trattamento, di mettere in atto misure tecniche e organizzative adeguate, per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati. In altri termini, la data protection by design significa il rispetto dei principi di data protection attraverso la loro protezione fin dalla fase di progettazione di un trattamento di dati personali. La finalità della data protection by design è quella di rendere i trattamenti compliance alla disciplina sulla protezione dei dati personali, mentre la finalità della data protection by default attiene alla protezione del trattamento automatizzato da accessi non consentiti e per finalità diverse, attraverso la configurazione di impostazioni che di “default” consentono il rispetto della disciplina sulla protezione dei dati personali. Entrambi questi concetti sono destinati a giocare un ruolo fondamentale in termini di responsabilità giuridica anche per la P.A., in quanto nel Regolamento (art. 24) il Titolare (controller) è tenuto ad assumere tutte le misure, tecniche e organizzative, necessarie per consentire di “dimostrare” che i trattamenti da lui posti in essere sono conformi alla normativa. (3)

Note:

(1) Si tratta di un istituto tra i più innovativi introdotto dagli articoli 33 e 34 del RGPD 679/2016. Esso consiste nell’effettuare una notificazione all’Autorità Garante da parte del Titolare del trattamento non appena viene a conoscenza di una violazione dei dati personali. La notificazione va effettuata, senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Non si tratta di una novità assoluta in quanto l’istituto è stato introdotto dalla Direttiva 2009/136/CE, che, modificando l’articolo 4 della Direttiva 2002/58/CE ha previsto che in caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione all’autorità nazionale competente. Quando la violazione di dati personali rischia di pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, il fornitore comunica l’avvenuta violazione anche all’abbonato o ad altra persona interessata. La novità sta ora nel fatto che il Regolamento amplia l’istituto ad ogni tipo di trattamento.

(2) Per maggiori approfondimenti si rinvia a “Privacy – Protezione e trattamento dei dati” a cura di M. Soffientini, IPSOA 2016, pag.569.

(3) Si veda “Privacy e il diritto europeo alla protezione dei dati personali” di F. Pizzetti, Giappichelli 2016, pag. 283.



Tutti gli articoli