Istituzioni, PA, protezione dati e privacy

Il GDPR, in qualità di Regolamento Generale sulla protezione dei dati, è entrato in vigore a maggio del 2018. A tutt’oggi, nonostante il tempo trascorso, vi sono ancora molte imprese ma anche PA che non hanno ancora ripensato ai propri processi organizzativi includendo queste fondamentali norme. È evidente che tale operazione risulta molto complessa e richiede un programma strutturato. Tuttavia la non completa conformità al GDPR può comportare problemi che vanno a ripercuotersi poi, come nel caso delle PA, sul cittadino. Non meno importante è la percezione delle persone verso il GDPR stesso che viene spesso identificato come “burocrazia” o “privacy” tralasciandone altri imprescindibili fondamenti.

Per comprendere meglio la situazione in cui versano PA e Istituzioni abbiamo avuto il piacere di fare una chiacchierata con il Colonnello Giuseppe Alverone - DPO dell’Arma dei Carabinieri, il quale ci ha raccontato come la Benemerita ha predisposto e attuato le misure previste dalla complessa normativa in materia di protezione dei dati personali e quali accorgimenti sono stati adottati per garantire la relativa compliance. Il Colonnello Alverone inoltre ha espresso il suo personale pensiero riguardo al significato del GDPR, offrendo un particolare punto di vista mirato a diffondere una percezione differente nelle persone.

Colonnello Alverone, può raccontarci quale modello ha adottato l’Arma dei Carabinieri per la protezione dei dati personali?

Prima di rispondere è necessario fare una premessa per far comprendere per quali motivi i Carabinieri hanno adottato un Modello Organizzativo Privacy.

L’Arma dei Carabinieri, così come Polizia di Stato e Guardia di Finanza, è chiamata a governare una grande complessità poiché in materia di protezione dei dati personali deve applicare 2 distinti “corpus normativi” . Infatti, in qualità di Titolare del Trattamento, l’Arma deve innanzitutto applicare la Direttiva UE 680 del 2016, - la cosiddetta LED (Law Enforcement Directive), che è stata recepita nell’ordinamento nazionale con il Decreto Legislativo 51/2018 - per eseguire la propria attività istituzionale, cioè per i trattamenti finalizzati alla prevenzione, all’accertamento, indagini e perseguimento dei reati o anche per l’esecuzione di sanzioni penali. In relazione all’attuazione di questo corpus normativo, l’Arma ha come bacino potenziale di riferimento 60 milioni di italiani, che si sommano a tutti i cittadini stranieri che sono presenti sul territorio nazionale. Parallelamente, l’Arma deve anche applicare il GDPR in relazione al trattamento dei dati personali che esegue per gestire il rapporto di lavoro con il proprio personale dipendente (stiamo parlando di circa 110.000 persone), ma anche per coordinare correttamente i concorsi per l’arruolamento e infine per la gestione del sito web istituzionale.

In questo scenario così sfidante, per poter governare tanta complessità, l’Arma ha adottato delle specifiche misure tecnico-organizzative che sono state strutturate all’interno di un Sistema di Gestione Privacy documentato in uno specifico Modello Organizzativo Privacy.

Questo modello organizzativo è stato adottato per allineare tutta l’attività istituzionale ai principi della protezione dei dati personali ma anche per avere la piena governance di tutti i processi organizzativi in cui vengono trattati i dati personali. Ciò perché l’Arma ha ben compreso che la protezione dei dati non è un mero adempimento burocratico ma una straordinaria leva di efficienza organizzativa, oltre che un efficace strumento di governance.

Con il Modello Organizzativo sono stati definiti i perimetri dei ruoli e delle responsabilità per tutti i soggetti chiamati a trattare i dati all’interno dell’Istituzione. Sono state, inoltre, predisposte le procedure per la gestione delle richieste di esercizio dei diritti privacy e per la gestione dei data breach (la violazione dei dati personali). Queste procedure prevedono come process owner (cioè l’unità organizzativa responsabile della procedura) l’Ufficio Relazioni con il Pubblico del Comando Generale che è l’interfaccia naturale fra l’Istituzione e tutti gli utenti. Andando un poco più nel dettaglio, ogni procedura descrive, in modo preciso, le regole da seguire per svolgere determinate operazioni, la sequenza delle attività previste (cioè le operazioni e le decisioni che vanno prese) nonché gli eventi che innescano una certa attività o una certa decisione.

In che modo è stato adottato il modello organizzativo?

Nell’ambito dell’adozione di questo modello organizzativo, è stata avviata una mappatura e un rimodellamento di tutti i processi organizzativi che vengono sviluppati per trattare i dati personali. Questa attività ha determinato un risultato molto significativo. Attualmente per ciascun trattamento eseguito nell’ambito dell’Arma vi sono: la relativa specifica informativa, l’annotazione sul Registro del Trattamento dei Dati e un documento che dimostri la compliance delle attività ai principi di protezione dei dati personali. Quest’ultimo documento, deve essere predisposto dalla funzione competente, ad esempio dall’Ufficio HR, dalle Operazioni oppure dall’area logistica e deve essere validato dal DPO, dal CISO (Chief Information Security Officer) e dal Manager Privacy dell’Arma.

A proposito del Manager Privacy, vorrei precisare che questa figura, prevista dallo Standard Nazionale UNI 11697/2017, è stata istituita proprio con il Modello Organizzativo Privacy. Tale ruolo è stato attribuito a un Generale di Corpo d’Armata, cioè un Dirigente Generale, con il compito di assistere il Comandante Generale nelle attività di coordinamento di tutti i soggetti convolti nel trattamento di dati personali all’interno dell’Arma. Il Manager Privacy è chiamato anche garantire il rispetto delle norme e il mantenimento di un adeguato livello di misure organizzative di sicurezza e di protezione dati.

Riguardo alle proprie figure di riferimento, in che modo l’Arma dei Carabinieri ha predisposto il percorso di formazione e aggiornamento sulle norme di Privacy e Data Protection?

Il modello organizzativo contiene anche una parte fondamentale che prevede la formazione del personale. All’interno del modello è stato dato un impulso rilevante alla scrupolosa e periodica formazione, al fine di diffondere la conoscenza ma soprattutto la consapevolezza di ciascun appartenente all’Arma, circa la responsabilità amministrativa, civile e penale di ognuno, correlata ai rischi inerenti ai trattamenti di dati personali nonché l’importanza del rispetto dei principi dettati dalla Normativa come reale strumento di tutela dei diritti fondamentali delle persone fisiche.  

Posso affermare che l’Arma ha effettuato una precisa “scelta di campo” decidendo di ancorare tutti i processi formazione agli Standard e alle Best Practices. Faccio un esempio pratico: si è concluso da poco il corso di formazione quale Valutatore Privacy secondo lo Standard Nazionale UNI 11697 2017, al quale hanno partecipato tutti gli Ufficiali Dirigenti dell’Arma che si occupano di risorse umane e operazioni e che svolgono il ruolo di Privacy di designato su tutto il territorio nazionale. Attraverso questa esperienza formativa, ora tutto il middle management, cioè tutto il personale dell’Arma inserito nei quadri intermedi, ha le competenze effettive per rilevare se un processo organizzativo sia conforme o meno alla Normativa Privacy. Costituiscono una sorta di “qualificatissimi sensori” in grado di mantenere in sicurezza tutta l’Istituzione.

Per quanto riguarda la metodologia, tutto il sistema di gestione privacy dell’Arma è stato progettato e gestito secondo il ciclo di Deming (o ciclo di PDCA, acronimo di Plan–Do–Check–Act) che prevede un continuo riesame ed un correlato riadattamento dei processi ai principi di Protezione dei Dati, in modo da tenere sempre sotto stretto controllo i livelli di sicurezza e di compliance all’interno dell’Istituzione.

Come affermato nella prima domanda, la maggior parte delle volte l’applicazione del GDPR è percepita come mero adempimento burocratico. Cosa possiamo dire per fornire un punto di vista differente e per far comprendere la reale importanza di questo corpus normativo?

Faccio una considerazione pratica e immediata: l’articolo 1 del GDPR è posto per “proteggere le persone fisiche e i loro dati personali”. Ancora, nel secondo paragrafo è stabilito che il GDPR protegge i diritti e le libertà fondamentali. Nel leggere queste 2 righe, ci si può rendere conto che il sistema della protezione dei dati va ben oltre il semplice diritto della “privacy”. Il problema forse sta proprio nel fatto che tutto questo particolare “corpus normativo” viene ancora generalmente qualificato con il termine “privacy” che semanticamente definisce solo una piccolissima parte di questo ecosistema: cioè il diritto fondamentale alla riservatezza, a non subire interferenze nella propria vita privata. Si è visto che, invece, protegge molto di più: cioè tutti i diritti fondamentali come la libertà di pensiero, la libertà di movimento, il diritto a non subire discriminazioni… In pratica difende la dignità umana e pertanto rappresenta uno strumento davvero molto prezioso. La percezione del GDPR continua però ad essere distorta o parziale, forse anche perché lo stesso GDPR continua ad essere definito come “normativa sulla privacy”. A questo proposito vorrei riprendere una formula utilizzata dal Prof. Stefano Rodotà che è stato il primo Presidente dell’Autorità Garante per la Protezione dei Dati Personali. Egli, in modo molto suggestivo, ha identificato i dati personali come “frammenti di vita”. Forse, se noi identificassimo il GDPR come insieme di “norme per la protezione dei frammenti di vita delle persone”, probabilmente l’idea della Data Protection dell’immaginario delle persone cambierebbe radicalmente.

Il Colonnello Giuseppe Alverone interverrà in qualità di relatore in occasione di Cyber & Privacy forum , evento organizzato da Ethos Media Group che si svolgerà a Verona il 29 Novembre 2023. Per maggiori informazioni visitate la pagina dedicata. La partecipazione all’evento è gratuita previa registrazione a questo link