Data Governance della PA: il ruolo dei DPO negli interventi del PNRR

Per essere in grado di bilanciare correttamente le esigenze di protezione dei dati personali con l’efficienza della Pubblica Amministrazione digitale, tutti i DPO degli enti pubblici dovranno essere in grado di declinare correttamente il proprio ruolo, che è cruciale. Come fare

Le misure del PNRR per perseguire gli obiettivi di digitalizzazione della Pubblica Amministrazione richiedono particolare attenzione ai processi di Data Governance per bilanciare efficienza degli interventi e protezione dei dati personali.

Nell’attuazione di questi percorsi di trasformazione e ridefinizione, il ruolo dei DPO che operano nel settore pubblico rappresenta un fattore critico di successo.

Data governance, ecco perché il machine learning è una priorità per la PA

Indice degli argomenti

Il percorso italiano di digitalizzazione della Pubblica Amministrazione

L’agenda politica dei governi che si sono avvicendati alla guida del nostro Paese ha da sempre inserito fra i propri obiettivi quello della digitalizzazione della Pubblica Amministrazione. O almeno: possiamo dire che tale obiettivo abbia resistito quanto meno negli ultimi vent’anni. A riprova di ciò è sufficiente ricordare che la legge delega per il Codice dell’amministrazione digitale risale al 2003^[1] con l’ambizioso intento di riorganizzare in un testo unico tutte le norme riguardanti l’informatizzazione della Pubblica Amministrazione. Ben diversa però è la sua attuazione, che tutt’ora si presenta incompiuta e vuol essere perseguita grazie al nuovo strumento (e i fondi) del PNRR.

I percorsi intrapresi a riguardo non sono però sempre stati lineari né immuni da critiche. Citando Ennio Flaiano: in Italia la linea più breve tra due punti è l’arabesco. E così è stato anche per l’Italia digitale e da digitalizzare.

Alcuni commentatori hanno infatti criticato l’approccio di graduale cessione di sovranità tecnologica nei confronti dei grandi fornitori d’oltreoceano che oggi si vorrebbero invece escludere o limitare in seguito al venir meno della legittimazione al trasferimento conferita dal Privacy Shield. O anche rinegoziare attraverso il Trans-Atlantic Data Privacy Framework per la ricerca di nuovi punti di accordo ed equilibrio che non possono però prescindere dalla situazione di fatto. Tale approccio, beninteso, non ha riguardato solamente l’Italia ma è stato condiviso da molti altri Paesi europei che solo negli ultimi anni lamentano di soffrire uno stato di dipendenza tecnologica dai giganti del web.

Tornando alle alterne fortune dei tentativi di digitalizzare la Pubblica Amministrazione, la sensazione a riguardo è sempre stata quella di grandi dichiarazioni di principio e ottime intenzioni mai tradotte in una riorganizzazione dei processi bensì nell’adozione o sviluppo di uno o più strumenti tecnologici. E dunque o non c’è stata volontà o possibilità di intentare una riforma organica, favorendo interventi parcellizzati e settoriali.

L’emergenza Covid ha improvvisamente forzato l’intero sistema-Paese in uno stato di accelerata ed inattesa trasformazione digitale, non immune da deragliamenti in corso d’azione e al termine. Basti pensare alle alterne fortune negli ambiti dello smart working, della sicurezza cyber o dei diritti di cittadinanza digitale.

Diventa inevitabile considerare anche il ruolo sempre più centrale assunto dai dati personali, spesse volte trascurato nella dimensione delle tutele e garanzie a protezione della persona. Si è infatti assistito fin troppo spesso ad un approccio o eccessivamente formalistico o nella fin troppo semplice compressione delle garanzie e tutele in nome di un interesse pubblico apoditticamente preminente.

La centralità del tema della Data Governance

Considerato che la digitalizzazione è un obiettivo che investe trasversalmente il settore pubblico sia nei rapporti con il cittadino che tra gli enti stessi, diventa fondamentale una (ri)definizione delle strategie di Data Governance. Infatti, tanto le funzioni già note dei portali degli enti pubblici che si intende evolvere quanto i più avveniristici progetti di Smart Cities richiedono un livello di complessità e di integrazione dei sistemi tale per cui occorre porre particolare attenzione all’aspetto di gestione dei dati personali.

Per essere in grado di migliorare l’accessibilità ai servizi digitali da parte del cittadino non ci si può infatti limitare solamente alle regole tecniche di interoperabilità, bensì si deve ragionare anche in ottica di interfaccia e design UX, ad esempio. È bene però ricordare che l’efficientamento non è l’unico criterio di cui dover tenere conto, in quanto altrimenti i servizi realizzati andrebbero a produrre dei rischi sproporzionati proprio in capo agli stessi cittadini che intenderebbero favorire. Rischi che possono riguardare tanto l’aspetto di tutela di diritti e libertà fondamentali (cui emblematicamente provvede il GDPR e la normativa in materia di protezione dei dati personali) così come a quelli più strettamente collegati alla sicurezza delle infrastrutture (cui provvede la direttiva NIS e la strategia nazionale di sicurezza cibernetica).

Fare la PA digitale col PNRR: come sta andando, nodi irrisolti

Privacy e security by design nei processi

Soprattutto in un ambito così ampio come quello pubblico e connotato da rischi intrinsecamente elevati, bisogna infatti saper tenere conto dei differenti contesti d’azione per la modellazione di sistemi organizzativi coerenti ed efficaci. Tanto per l’ipotesi di processi di Data Governance del tutto nuovi, quanto nella ridefinizione o evoluzione di processi già esistenti.

Ogni progetto di digitalizzazione realizzato per la Pubblica Amministrazione deve pertanto tenere conto tanto dei criteri di legalità che di sicurezza, e questo diventa possibile solo con una corretta mappatura dei processi, l’individuazione dei ruoli e responsabilità tanto degli attori che partecipano al processo di trasformazione digitale quanto a quelli che si formeranno eventualmente a valle dello stesso. Non solo: bisognerà anche individuare tutti gli stakeholder esterni, così da essere in grado di definire progressivamente gli obblighi e tutele specifiche da integrare e rendicontare già all’interno del progetto e in ogni fase di attuazione.

L’adozione di regole condivise tanto nella tutela dei diritti dei cittadini quanto nella condivisione e sicurezza dei dati non deve essere limitata ai soli adempimenti richiesti dalla norma, ma coinvolgere se del caso il Garante Privacy (ad esempio mediante consultazione preventiva) ed essere in linea con le buone prassi e gli standard di settore applicabili.

Il modo di ragionare nel percorso fin dai suoi fondamenti deve sempre seguire logiche di privacy e security by design, andando a coinvolgere innanzitutto quanti hanno già delle responsabilità in tali ambiti all’interno del comparto pubblico, sia a livello di management che operativo e consulenziale.

Il ruolo dei DPO

Per essere in grado di bilanciare correttamente le esigenze di protezione dei dati personali con l’efficienza della Pubblica Amministrazione digitale, tutti i DPO degli enti pubblici dovranno essere in grado di declinare correttamente il proprio ruolo. Innanzitutto devono agire in modo tale da essere adeguatamente coinvolti nei progetti di digitalizzazione, stimando anche un budget sufficiente da richiedere affinché il proprio ufficio possa occuparsi delle esigenze emergenti senza trascurare la continuità d’azione della funzione.

Dopodiché è necessario indicare le esigenze di svolgere una valutazione d’impatto sulla protezione dei dati promuovendone in ogni caso lo svolgimento e sorvegliandolo attentamente. Tale adempimento è infatti il principale strumento per l’analisi e la rendicontazione dei presidi adottati per l’efficace tutela degli interessati, soprattutto per trattamenti di rischio elevato per diritti e libertà delle persone fisiche. E nel contesto di riferimento si incontrano molto facilmente i criteri^[2] per cui è obbligatorio lo svolgimento, quali ad esempio possono essere: attività di trattamento su larga scala, squilibrio di potere nei confronti degli interessati, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative.

Se l’attività di informazione e consulenza è di primaria importanza alla pari della sorveglianza, è opportuno però ricordare che nello svolgimento della stessa i DPO dovranno operare evitando di incorrere in conflitto d’interessi selezionando o influenzando alcuni mezzi o finalità del trattamento. Soprattutto nella ridefinizione dei processi il rischio è un eccesso di partecipazione nella predisposizione dei modelli organizzativi, per superare il quale è buona prassi che il DPO agisca fornendo una second opinion. Sempre nell’ambito di consulenza e informazione può essere utile che i professionisti – inclusi DPO – delle diverse pubbliche amministrazioni coinvolte sia in orizzontale che in verticale scambino fra di loro informazioni e pareri, agendo in sinergia e contribuendo così alla formazione ed attuazione di criteri comuni di data governance e data protection.

Infine, tanto nel caso in cui il Garante Privacy vada a richiedere dei chiarimenti, fornisca indicazioni o rilasci un parere in seguito ad una richiesta di consultazione preventiva, la funzione di punto di contatto del DPO è fondamentale affinché si possa realizzare una piena cooperazione con l’autorità di controllo e l’implementazione di tutte le misure indicate o suggerite dalla stessa.

Conclusioni

L’ambizione degli interventi del PNRR per i processi di Data Governance della Pubblica Amministrazione senza un adeguato coinvolgimento dei DPO non rischia solamente di rimanere irrealizzata, ma anche di venire attuata in modo incerto. E se l’incertezza riguarda la legalità ne consegue innanzitutto la violazione dei diritti dei cittadini anche, ma non limitatamente, alla protezione dei loro dati personali.

Un corretto processo di selezione non solo evita di incorrere in una culpa in eligendo, ma rappresenta un presidio efficace di tutela degli interessati coinvolti nonché di corretta attuazione del percorso di trasformazione digitale intrapreso. D’altro canto, anche i professionisti che intendono agire con tale funzione dovranno essere in grado di garantire le proprie qualità professionali, la conoscenza specialistica di normativa e prassi in materia di protezione dei dati assicurando e mantenendo la propria capacità di assolvere i propri compiti^[3].

Note

Precisamente: art. 10 L. 29 luglio 2003, n. 229. ↑
Secondo WP 248 rev.01, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato ai fini del regolamento (UE) 2016/679”. ↑
Come richiesto dall’art. 37.5 GDPR. ↑