Quando si parla di GDPR e di Data Protection in particolare, un doveroso cenno deve essere dedicato alla situazione della Pubblica Amministrazione. Spesso, infatti, parliamo dell’applicazione del Regolamento Europeo da parte delle aziende private. Cosa dire, invece, della situazione della PA? Per chiarire meglio un interrogativo di importanza capitale, nelle prossime righe abbiamo cercato di capire qualcosa di più in merito.
PA e GDPR: ecco cosa sapere
Come ben si sa – e come viene rammentato anche in uno dei post del blog di Privacylab – l’applicazione del GDPR è obbligatoria dal 2018. Per essere precisi, è bene rammentare che, già prima del 26 maggio dell’anno sopra ricordato, ossia nel 2017, l’Autorità Garante aveva fornito agli enti della Pubblica Amministrazione delle linee guida, mettendo in primo piano alcune priorità. Quali di preciso? Innanzitutto la nomina di un DPO (Data Protection Officer).
Da non dimenticare è anche la creazione di un registro per le attività di trattamento, per non parlare dell’istituzione di una politica di gestione dei data breach per il titolare del trattamento dei dati. Nonostante il quadro appena descritto, in molti casi si registra, da parte della Pubblica Amministrazione, un’applicazione formale del Regolamento Europeo, con delle evidenti deficienze per quanto riguarda invece la sostanza.
Sono in tanti a chiedersi cosa si possa fare per ovviare a questa problematica. Gli esperti di Data Protection sottolineano innanzitutto la necessità di efficientare i processi di mappatura dei processi.
Se si guarda alla globalità dei dati e delle procedure in seno alla Pubblica Amministrazione, esistono dei punti di partenza di grande utilità. Giusto per citarne uno, chiamiamo in causa tutto quello che ruota attorno ai sistemi di anticorruzione. Un doveroso cenno deve essere dedicato anche ai dati per l’ottenimento delle certificazioni di qualità ISO 9001. In generale, quello che gli esperti chiedono voce sempre più alta è l’istituzione di una vera e propria cabina di regia per quanto riguarda la gestione dell’applicazione del Regolamento Europeo da parte degli enti della Pubblica Amministrazione. Che caratteristiche deve avere questa Data Governance? Scopriamo nelle prossime righe!
Data Protection ed enti della Pubblica Amministrazione: le caratteristiche della Data Governance
Quando si parla della Data Governance nell’ambito della Pubblica Amministrazione, è doveroso chiamare in causa una vera e propria struttura. Da cosa è formata? Innanzitutto dal DPO che, come ben si sa, è obbligatorio nel pubblico. Lo stesso vale quando si ha a che fare con le realtà private che si occupano di erogare servizi pubblici. Da chiamare in causa è anche l’RTD, una figura di cui si parla poco anche se è obbligatoria per la Pubblica Amministrazione. Di cosa si tratta di preciso? Del Responsabile per la Transizione Digitale. Quando lo si nomina, è necessario rammentare che il rischio della sua assenza è un danno erariale.
Proseguendo con l’elenco delle sue caratteristiche, facciamo presente che deve essere una figura interna e che non può in alcun modo ricorrere a un prestanome. Nelle situazioni in cui un ente della PA non ha proceduto alla nomina, il ruolo in questione può essere svolto dal sindaco (che, nel caso di centri abitati piccoli, può essere il riferimento per più Comuni). Un altro elemento strutturale della Data Governance è l’RPCT, ossia il Responsabile per la Prevenzione della Corruzione e la Trasparenza.
Conclusioni
Affinché si vada oltre all’applicazione formale del Regolamento, è cruciale che tra i soggetti ricordati nei paragrafi precedenti ci sia un dialogo. Questo processo è basilare ai fini delle valutazioni del rischio delle varie attività che gestiscono. In tutto questo, non va mai dimenticata la centralità dell’interesse del cittadino, che non deve mai pagare le conseguenze delle eventuali violazioni dei dati.