24

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

I punti da cui partire

Mettere a fuoco le

priorità

e fare in fretta

Il nuovo Regolamento richiede alla PA la capacità di assicurare

e comprovare il rispetto dei principi di riservatezza previsti.

Occorre capire da dove partire puntando all’efficacia

La scadenza è alle porte. Alle Amministrazioni Pubbliche

occorre farsi trovare pronte e consapevoli. Il nuovo

Regolamento, che ha un approccio meno burocratico e più

sostanziale alla tutela del diritto alla riservatezza dei cittadini,

richiede a sindaci, direttori di Asl e agli amministratori

pubblici di assicurare, ed essere in grado di comprovare,

il rispetto dei principi applicabili al trattamento dei dati

personali.

Molte delle norme previste dal Codice della Privacy

rimarranno valide, ma è necessario tenere ben presente

che i nuovi adempimenti non saranno derogabili e

occorre adeguarsi al più presto, mettendo mano a diversi

aspetti. Soprassedendo per un momento sulle incognite

legate all’individuazione dei Digital Protection Officer o

Responsabili della Protezione Dati, che dovranno accertare

e accompagnare le attività in materia di trattamento dei dati

in tutte le Amministrazioni Pubbliche ma che, nella maggior

parte dei casi, non sono stati ancora individuati, esistono

misure che rivestono importanza critica, basate sul criterio di

responsabilità e analisi del rischio.

Esperti del settore, come l’Avvocato Ernesto Bellisario,

mettono in guardia le Amministrazioni, per esempio,

sull’analisi dei contratti secondo la logica del privacy by

default: le Amministrazioni dovranno garantire tutte

le misure tecnico/organizzative adatte a minimizzare i

rischi di uso improprio delle informazioni e di tutela

dei dati personali, sin dalla fase di progettazione dei

servizi e dei processi. Pertanto, dovranno fare attenzione

a contrattualizzare i requisiti di sicurezza come elemento

intrinseco della fase progettuale con i fornitori esterni per

software e servizi informatici. In realtà, come sottolinea Bellisario,

sarà opportuno andare a rivalutare, anche dal punto di vista della

sicurezza dell’informazione, tutti i contratti in essere. perché, in

effetti, tutti i servizi dopo la data del 25 maggio 2018 dovranno

fare esplicito riferimento al nuovo Regolamento.

Altra novità è quella che porterà le Amministrazioni alla

revisione delle informative e dei consensi. Nella gran parte

dei casi il trattamento dei dati da parte delle PA non richiede

un consenso esplicito in quanto risponde ad obblighi

normativi direttamente legati alle funzioni istituzionali

dell’Amministrazione. Tuttavia, sarà necessario provvedere ad

una revisione attenta delle informative rilasciate ai cittadini,

perché queste dovranno essere sintetiche ma pienamente

esplicative. L’informativa, insomma, non dovrà essere vista

come un mero adempimento burocratico.

È l’addio a quelle declaratorie incomprensibili e spesso non

revisionate dalle Amministrazioni.

Il GDPR, se applicato, si annuncia come un grande

programma di revisione e adattamento dei processi

informativi e di innovazione tecnologica, con tutta la serie

di cambiamenti richiesti, come la revisione dei processi,

la valutazione degli rischi, l’adeguamento dei servizi e

l’individuazione dei profili professionali per il quale il tempo

a disposizione sembra decisamente poco.

Privacy, un diritto per i cittadini d’Europa

DOSSIER