Privacy, comuni italiani ancora in alto mare

ROMA - Come è noto, il Regolamento UE 2016/679 è entrato definitivamente in vigore il 25 maggio 2018, e qualche mese più tardi anche il Codice sulla Privacy italiano è stato armonizzato al cosiddetto GDPR (General Data Protection Regulation) attraverso il Dlgs 101/2018. Ormai il quadro normativo in materia di protezione dei dati personali è definito da tempo, eppure uno studio condotto nel 2019 indica che in linea generale solo un'organizzazione su quattro si è adeguata, e si tratta perlopiù di grandi realtà e multinazionali, mentre le pmi, le microimprese, e soprattutto la pubblica amministrazione, stentano ancora a conformarsi al Regolamento europeo sulla privacy.

C'è chi sostiene che lavorare nella pubblica amministrazione italiana non sia mai stato così impegnativo come in questi ultimi anni, e che le risorse sono spesso limitate mente le sfide da affrontare sono davvero numerose e complesse. Questo è sicuramente vero. Tuttavia, non possiamo dire che non ci sia stato sufficiente tempo a disposizione per adeguarsi, poiché il GDPR è stato approvato il 15 dicembre del 2015, ma da allora molte pubbliche amministrazioni non hanno sfruttato appieno il lungo periodo di tempo concesso dal Legislatore, e sovente sono rimaste passive e distratte ad aspettare chissà quale improbabile proroga.

Basti pensare che dei quasi 20mila utenti del sito di Federprivacy che si tengono aggiornati settimanalmente sulle novità in materia, meno del 3% sono dipendenti della pubblica amministrazione, e come è stato spesso affermato il rispetto del GDPR richiede soprattutto un cambio culturale, che evidentemente si percepisce ancora a fatica negli enti pubblici.

Triste a dirsi, anche se con l'avvicinarsi della scadenza nel maggio del 2018 c'era stata una grande curiosità per il GDPR da parte di migliaia di funzionari della p.a. che avevano seguito i vari convegni organizzati dal Garante per la protezione dei dati personali e da altri enti come Federprivacy, a questo iniziale interesse non ha poi fatto seguito una generale e concreta volontà di adeguarsi al "nuovo" Regolamento europeo sulla privacy, ma il tutto si è rivelato solo un fuoco di paglia.

Un altro dato che desta non poche perplessità, è che trai circa 2.500 professionisti che hanno finora partecipato ai percorsi formativi promossi da Federprivacy, molti sono manager di aziende private, liberi professionisti come avvocati e ingegneri, ma in paragone a questi i pochissimi dipendenti della pubblica amministrazione che hanno seguito un corso di formazione in materia di un certo spessore sono una goccia nel secchio.

Il "termometro" della privacy nella pubblica amministrazione desta allarme anche nei siti web istituzionali, che spesso rappresentano la vetrina dell'operato dei loro titolari, e non sono visitati solo dai cittadini, ma forniscono più di una semplice impressione anche alle autorità che abitualmente li esaminano prima di avviare un procedimento od effettuare un'ispezione: ad inizio del 2019 un monitoraggio effettuato da una nota testata giornalistica ha rilevato che una lunga serie di portali istituzionali di ministeri, forze dell'ordine, Regioni, ed altri enti locali non erano ancora adeguati. Secondo tale indagine, molti di questi siti non avevano un'informativa privacy aggiornata al nuovo Regolamento Europeo, ma facevano riferimento ancora alle vecchie normative.

Ancora più preoccupanti ed estese sono state le risultanze di una ricerca svolta dal'Osservatorio di Federprivacy sui siti web di 3.000 comuni italiani tra ottobre del 2018 e marzo del 2019: tra le varie non conformità ed altre carenze riscontrate, questo studio ha evidenziato che 1.435 di essi (47%) erano etichettati come "non sicuri" dai principali browser, continuando ad utilizzare connessioni non sicure basate sul vecchio protocollo "http", spianando così la strada ad hacker e malintenzionati che volessero intercettare e carpire dati personali inviati o ricevuti tramite i form di contatto dei siti dei comuni, con l'esposizione a rischi di potenziali "data breach", violazioni che prevedono peraltro pesanti sanzioni fino a 10 milioni di euro per le pubbliche amministrazioni che non siano in grado di dimostrare di aver adottato tutte le misure di sicurezza tecniche ed organizzative necessarie per essere conformi al GDPR.

Inoltre, 1.079 siti di comuni (36%) non rendevano disponibili i dati di contatto del Responsabile della Protezione dei dati (c.d. data protection officer), figura obbligatoria per tutte le pubbliche amministrazioni, impedendo di fatto ai cittadini di sapere come esercitare i diritti che sono loro riconosciuti dal GDPR.

Sui tremila siti ispezionati, ben 1.021 di questi (34%) sono stati trovati privi di una qualsiasi informativa sul trattamento dei dati personali, mentre praticamente quasi tutti gli altri (1.949), benché rendessero disponibile una qualche sorta di informativa, nel 65% dei casi facevano ancora riferimento alla vecchia normativa senza neanche accennare minimamente al Regolamento Europeo e ai diritti per l'interessato che questo ha introdotto.

Alcuna consolazione vi è stata neppure sul tema dei cookies, in quanto 1.362 siti di comuni italiani su tremila risultavano difformi da quanto previsto dallo specifico provvedimento del Garante nel 45% dei casi, omettendo di esporre il relativo banner quando richiesto, o viceversa pubblicandolo "ad abundantiam" in modo strampalato nonostante non vi rientrassero nell'obbligo.

Lo scenario della privacy nella pubblica amministrazione italiana è quindi quantomeno preoccupante, a maggior ragione del fatto che sono messi seriamente a rischio i dati personali dei cittadini, che hanno tutto il diritto di essere tutelati in quella che non è una mera burocrazia imposta da una legge, ma un caposaldo della Carta dei diritti fondamentali dell'Unione europea, che il GDPR ha solo rafforzato.

Visto che ogni data e ogni scadenza è ormai passata, compresa quella del cosiddetto "periodo di grazia" che era stato previsto nel Dlgs 101/2018, non è più pensabile di poter continuare a rimandare un problema di così vasta portata, ed è urgente più che mai correre ai ripari.

Con tutte le difficoltà che pur si possono incontrare quando si opera nella pubblica amministrazione, perseverare in un atteggiamento indolente come quello di lasciare che i propri siti web istituzionali vadano sempre più alla deriva, oppure iniziando progetti di attività di compliance senza però mai portarli a termine, nominando sì il responsabile della protezione dei dati ma poi abbandonarlo a se stesso senza alcun budget di spesa e senza possibilità di aggiornarsi professionalmente, o demandare il problema ad un consulente di basso profilo che produce solo faldoni di documenti pensando di risolvere così la questione della protezione dei dati personali, sarebbe un comportamento da irresponsabili che andrebbe a danno dell'intera collettività.

(articolo di Nicola Bernardi, presidente di Federprivacy).