rende meno attenti nella tutela di quelle informazioni che

mettiamo in rete. L’idea che la rete sia un enorme piazza

pari all’intero pianeta e che quelle informazioni rimangano

nella disponibilità della rete e quindi di tutti per un tempo

infinito, non limita le attività tipiche via web. Questo avviene

anche in soggetti che ben conoscono i rischi che si celano

nella rete. Ma si continua a postare immagini di se stessi

o quelle dei propri figli. Insomma si continua a pubblicare

sui propri account social informazioni personali, riservate,

arrivando in alcuni casi a forme, che noi riteniamo estreme,

di chi posta immagini della propria vita intima, immagini di

atti sessuali consumati con la propria partner, chi attraverso

la rete fornisce informazioni che causano effetti devastanti

e così via. Tutto accade in questo utilizzo bulimico della

rete, della socialità digitale. E questa è solo una parte del

problema. Poi esiste un altro versante della questione, con

particolare riferimento alla Pubblica Amministrazione e

alla sua gigantesca raccolta di informazioni che viene fatta a

tutti i livelli territoriali e amministrativi: governo, istituzioni

preposti alla gestione dei servizi pubblici. Questi raccolgono

le informazioni generali che successivamente divengono

fattori di sorveglianza globale quando hanno la finalità della

sicurezza. Per cui tra le migliaia di telecamere poste in uffici,

strade, piazze, centri storici, in ogni accesso ai pubblici locali,

ecc… e la raccolta dei dati relativi ai nostri obblighi fiscali fino

alle nostre condizioni previdenziali, insomma l’universo delle

prestazioni della PA, passa attraverso l’immissione digitale di

informazioni sempre più estese della nostra vita. Si tratta di un

necessario adempimento allo scopo di modernizzare e rendere

più efficienti i servizi offerti dalla PA. Ma questo obbiettivo

esige che chi raccoglie queste informazioni le deve trattare con

la consapevolezza di avere nel proprio server non informazioni

oscure e incomprensibili ma tutta la nostra vita. Quindi deve

avere forte la responsabilità nel difendere e proteggere tali dati

e renderli inaccessibili a tutti coloro che non hanno alcun

titolo per accedervi.

Dal prossimo 25 maggio entra il scena in tutta l’Unione

Europea il GDPR (General Data Protection Regulation)

Cosa cambierà?

Come abbiamo detto da oltre vent’anni la nostra Pubblica

Amministrazione è impegnata normativamente alla tutela

delle informazioni. Ma dal 25 di maggio, con l’introduzione

della normativa europea tali dispositivi di legge saranno

ancora più stringenti anche se, è bene ricordarlo, i capisaldi

per la protezione dei dati è in gran parte già definita dal

nostro codice e dalla applicazione direttiva preesistente. Non

tutte le Pubbliche Amministrazioni sono state al passo con

quegli obblighi: ve ne sono alcune che hanno manifestato

grande capacità di sistemi di misure logiche organizzative

adeguate a questa necessità e ve ne sono altre che lo sono

state di meno. Naturalmente il rischio per le persone, è

differenziato a seconda del dato che l’amministrazione tratta.

Clamoroso, ma non è l’unico, è il dato sulla salute. Ciò

che è contenuto nel nostro fascicolo sanitario elettronico

è talmente delicato che una alterazione delle informazioni

contenute potrebbe essere anche letale per la nostra persona.

Se lei affida al fascicolo sanitario elettronico il suo gruppo

sanguigno e per una qualsiasi ragione quel dato anche solo

per errore venisse modificato, se lei dovesse aver bisogno di

una trasfusione la sua vita sarebbe a rischio. Non stiamo

parlando di un rischio astratto, ma di un rischio reale che

riguarda la vita fisica. E il passaggio tra fisico a digitale è

strettissimo e questo vale per tanti altri settori.

Il tema che si pone è quello di creare una cultura della

protezione dei dati, e promuovere la conoscenza delle

norme previste dall’Europa. Norme che ribaltano lo schema

del vecchio ordinamento che prevedeva che ai titolari

del trattamento dei dati venisse affidato il compito di

garantire le misure minime di sicurezza, riservando poi a

casi speciali le prescrizioni del garante che aggiungevano

misure di tutela maggiori. Il principio fondativo del nuovo

Regolamento è quello della contability, cioè il titolare del

trattamento, l’amministratore del Comune, dell’Asl, il

ministro, il presidente dell’Inps o di qualunque altro ufficio

pubblico, deve garantire misure adeguate al rischio che

quel trattamento dei dati comporta per la libertà e diritti

delle persone. Non solo va garantito, ma deve essere in

qualunque momento dimostrare che è stato fatto tutto quello

che era necessario. Questa nuova disposizione normativa

prevede, in caso di inadempienze, anche un sistema di

accertamenti, di misure, di obblighi che possono portare a

provvedimenti sanzionatori molto severi. Dal 25 maggio il

sistema sanzionatorio vale per tutti. Noi confidiamo che il

legislatore nazionale, che su questo ha una riserva di legge,

voglia confermare quanto già oggi esiste: anche il soggetto

pubblico è tenuto a pagare sanzioni come i privati e queste

vanno fino a un massimo del 4 per cento del fatturato o

a 20 milioni di euro. Quindi la sfida oggi è nella rapida

trasformazione digitale della Pubblica Amministrazione

ma parallelamente nel prevedere un enorme investimento

nella protezione dei dati. Si tratta di un investimento

culturale, economico e di risorse umane. L’investimento

in protezione dei dati si rivelerà non più un costo, perché

la sicurezza dei dati trattati ha un grande valore non

solo democratico e civile ma anche un valore economico.

Quindi chiunque abbia questa responsabilità deve sapere

che sta maneggiando un bene molto prezioso e che se non

fa il suo dovere deve risponderne. Il nuovo regolamento

prevede l’obbligo di segnalazione,

Data Bridge Notification

,

di una intervenuta violazione. Questo obbligo nell’attuale

disciplina era riservato esclusivamente agli operatori

delle telecomunicazioni, mentre dal prossimo maggio

riguarderà chiunque. Noi abbiamo un po’ anticipato già

questi obblighi per la Pubblica Amministrazione in Italia.

Con il nuovo regolamento chiunque abbia notizia di una

intervenuta violazione dei dati all’interno della propria

attività ha l’obbligo di informare il Garante e di rendere

edotti anche gli utenti cittadini che quei dati hanno affidato

all’ Amministrazione. Scatteranno poi verifiche e controlli

ma a differenza di quelli che oggi già facciamo non saranno

più a posteriori, ma preventivi come prevede lo spirito del

17

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO