L’art. 12 del Codice dell’amministrazione digitale (in seguito CAD) richiede a tutte le pubbliche amministrazioni di organizzare autonomamente la propria attività utilizzando le tecnologie dell’informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per l’effettivo riconoscimento dei diritti dei cittadini e delle imprese.
Gestione documentale, perché il digitale è la chiave per un futuro senza cartelle
Tali obiettivi devono avere come fine ultimo la centralità dei diritti di cittadinanza digitale e con questo spirito va interpretato il successivo articolo 15, il quale precisa che gli obiettivi delineati dall’art. 12 devono essere perseguiti attraverso una riorganizzazione strutturale e gestionale delle pubbliche amministrazioni, che avviene anche attraverso il migliore e più esteso utilizzo delle tecnologie dell’informazione e della comunicazione nell’ambito di una coordinata strategia che garantisca il coerente sviluppo del processo di digitalizzazione.
Come definire le strategie di custodia del dato
Per un ente pubblico (ma anche privato, in verità) oggi è indispensabile sviluppare strategie organizzative per gestire e custodire i propri dati.
Garantire la qualità, l’accessibilità, l’interoperabilità, l’integrità, l’immodificabilità, quindi l’autenticità al proprio patrimonio informativo è fondamentale: raggiungere un modello corretto di compliance sui propri dati (personali e non) deve entrare così nelle strategie di qualsiasi ente pubblico (o privato). Vanno, infatti, governati e custoditi i propri dati rilevanti, attraverso accurate analisi del rischio che assicurino adeguate misure di sicurezza a protezione di ogni asset informativo.
Le registrazioni affidabili costituiscono, del resto, i documenti del nostro presente digitale ed essi possono essere garantiti solo da un corredo di metadati che abbia una logica archivistica. E per un qualsiasi ente gli stessi data breach -ormai entrati prepotentemente nella cronaca dell’ultimo periodo- non possono essere valutati solo come personal data breach, così come i DPO (Data Protection Officer) devono trovare un ruolo che sia di presidio complessivo del patrimonio informativo pubblico o privato.
Ci troviamo in una dimensione di completa digitalità, quindi di esistenza “datocentrica” e inevitabilmente sfumano i codici ontologici che ci permettono di separare concettualmente in modo netto il dato personale da quello non personale, il documento dall’informazione, la firma dall’identità. In altre parole, siamo noi stessi assurti a “valore di riferibilità” in relazione ai dati rilevanti, personali e non, che ci riguardano.
In questa logica evolutiva, l’importante è continuare a mettere al centro di dati e informazioni, soprattutto in ambito pubblico, i diritti e le libertà fondamentali di noi cittadini. E, al centro di questo processo di necessaria digitalizzazione, finalizzata a garantire i diritti fondamentali di cittadini e imprese, ci deve essere la corretta costituzione dell’archivio attraverso un robusto sistema di gestione documentale, a sua volta reso affidabile nel tempo da un sistema di conservazione, come previsto dalle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici.
L’accountability nei sistemi di gestione documentale
Nella necessaria tutela degli archivi digitali pubblici si intersecano normative diverse con obiettivi coincidenti. In particolare, i principi di esattezza, affidabilità, integrità, immodificabilità, autenticità, trasparenza e accessibilità riecheggiano nelle normative del già citato CAD[1] (su gestione e conservazione dei documenti digitali), del Regolamento UE 679/2016 (GDPR)[2] (in materia di protezione dei dati personali e loro libera circolazione) e del D. Lgs. 33/2013[3] (su open data, trasparenza e pubblicità legale online).
Per finalizzare tali principi occorre predisporre processi, metodologie e regole per un records management che sia finalizzato a mantenere custodito nel tempo il contesto di dati (anche strutturati), informazioni e documenti (anche e soprattutto nativi) digitali rilevanti per l’ente pubblico. E per raggiungere questi obiettivi non occorre partire dalla scelta tecnologica (scelta che deve essere invece l’esito di una valutazione ponderata e responsabile), ma è indispensabile operare delle costanti verifiche sulla compliance legale, informatica e archivistica di ogni procedimento amministrativo, attraverso un’organizzazione di competenze, ruoli e responsabilità interdisciplinari. L’analisi di compliance nei sistemi di gestione documentale della PA va sviluppata, quindi, in un unico processo controllato e bilanciato in base al contesto di riferimento con una particolare attenzione verso i ruoli interni ed esterni, quindi verso deleghe e contratti di affidamento. Questa è di fatto l’accountability dei modelli di gestione elettronica dei documenti informatici.
La compliance GDPR, quindi è un processo a tappe, di trasparente mappatura, prima di tutto, e che comporta una visione a 360° tra discipline diverse affidate a team multidisciplinari in grado di presidiare materie così complesse e affascinanti.
I principali attori della rivoluzione digitale: i DPO
Gi attori principali di questo processo sono, accanto ai Responsabili della trasparenza, i DPO. Si fa riferimento non solo ai più conosciuti Data Protection Officer (o Responsabili della protezione dei dati personali), ma anche ai Digital Preservation Officer (o Responsabili della gestione e conservazione dei documenti informatici). Sono entrambe figure obbligatorie per la PA, ma soprattutto vanno considerate come strategiche e indispensabili per garantire quella compliance che le normative di settore pretendono nell’attuazione delle politiche di digitalizzazione documentale. Sono figure che vanno culturalmente preparate al cambiamento di modelli e processi, dovendo esprimere anche doti manageriali per esercitare i compiti molto delicati che la normativa a loro attribuisce.
Ovvio che tra Responsabili della protezione dei dati personali e Responsabili della gestione e conservazione di documenti informatici ci siano parallelismi, ma anche importanti differenze. In ogni caso, non possiamo non osservare che – come già in precedenza sottolineato -qualsiasi trattamento di dati personali debba garantire, secondo l’art. 5 del GDPR, i principi fondamentali di esattezza, integrità, riservatezza e limitazione della conservazione, oltre che ovviamente di correttezza e trasparenza. Tali principi sono anche di derivazione archivistica e devono essere alla base di qualsiasi sistema di formazione, gestione e conservazione di documenti informatici. E gli stessi principi di integrità, sicurezza, immodificabilità, autenticità animano sia la normativa sulla trasparenza amministrativa (prevista nel D. Lgs. 33/2013) e sia la normativa sulla digitalizzazione documentale (contenuta nel CAD). Non c’è, quindi, trasparenza senza un’efficace e corretta digitalizzazione, ma allo stesso tempo non c’è digitalizzazione senza protezione dei dati.
Del resto, siamo ormai “datificati” e, proprio per questo, quei dati che hanno un rilievo giuridico vanno garantiti nella loro integrità e leggibilità, vanno correlati tra loro e resi accessibili nel tempo, quindi vanno documentati, fascicolati e archiviati. Per tale motivo, i DPO (intesi sia come digital preservation officer e sia come data protection officer) sono figure strategiche e, secondo il CAD e le Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici, devono tra loro parlarsi e devono essere abituate ad agire in team a presidio di database e sistemi di gestione documentale.
In particolare, il responsabile della conservazione definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia. La stessa autonomia e indipendenza da assicurare al DPO, il quale deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, in modo da considerare debitamente i rischi inerenti a tutti i trattamenti dei dati personali posti in essere, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità.
Vediamo, quindi, quali sono gli aspetti che i DPO devono controllare con attenzione nel perseguire la compliance tra le diverse normative che devono garantire i processi di digitalizzazione
La coerenza tra DPO
Come più volte sottolineato, i DPO devono “parlarsi tra loro” in veri team interdisciplinari. Questo vale sia per i DPO della PA, ma anche nei rapporti con i DPO dei fornitori di servizi informatici. I Responsabili della gestione e conservazione della PA devono pertanto essere abituati a confrontarsi con i Responsabili della trasparenza e i Responsabili della protezione dei dati personali del proprio ente di appartenenza, ma anche con i Responsabili della protezione dei dati e Responsabili del servizio di conservazione dei fornitori di sistemi documentali.
La coerenza documentale
I vari documenti che la normativa prevede (e che corredano l’accountability dei processi di digitalizzazione) devono a loro volta “parlarsi tra loro”. Un buon manuale della gestione documentale si integra, non solo con il manuale del sistema di conservazione, ma deve anche essere allineato con il registro dei trattamenti, con il piano di sicurezza informatica e con quello della trasparenza (da intendersi come parte del piano anticorruzione). Tali documenti devono essere frutto di una coordinata mappatura e analisi del rischio portate avanti da team interdisciplinari, come la normativa del resto prevede.
È proprio il coordinamento trasparente nei ruoli a dare reale attuazione al principio di trasparenza che si può garantire all’esterno, solo se viene preceduta da una mappatura di ruoli, funzioni e responsabilità operata al proprio interno.
È, quindi, la coerente mappatura di flussi, ruoli e responsabilità che consente di raggiungere una efficace trasparenza.
La coerenza nelle soluzioni software
Da tale mappatura coerente e trasparente si può ricavare una verifica puntuale dei fornitori di soluzioni, i quali – oltre che essere individuati nel loro probabile ruolo di responsabili del trattamento ex art. 28 del GDPR[4] – devono garantire il rispetto dei fondamentali principi della privacy by design e della privacy by default, come individuati nell’art. 25 del GDPR[5]. In particolare, secondo il considerando 78 del GDPR, “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.
La coerente trasparenza in termini di accessibilità
Non si può non ricordare che il principio di trasparenza si concretizza anche attraverso la capacità dei sistemi informatici (siti web e applicazioni mobili) di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari. Questa fondamentale esigenza di tutela si è da tempo trasfusa in Italia nella Legge 4/2004 che contiene proprio le disposizioni per favorire e semplificare l’accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici[6].
L’archivio coerente pretende una formazione coerente
Per concludere, l’archivio digitale tutela la fede pubblica, quindi è presidio indispensabile per dare attuazione ai principi di esattezza, trasparenza e autenticità che sono trasversali a diverse discipline che caratterizzano l’agere amministrativo. Per sviluppare un archivio digitale la scelta tecnologica è frutto di una scelta ponderata e articolata, portata avanti da team interdisciplinari, le cui competenze vanno sviluppate in coerenza con quanto prevede l’art. 12 del CAD e, cioè, devono essere animate da conoscenze giuridico-informatiche, manageriali-archivistiche, oltre che tecnologiche.
In poche parole, la tecnologia rimane uno strumento indispensabile per evolvere verso la trasparenza amministrativa e gestire correttamente i dati dei cittadini, ma da scegliere in coerenza con le proprie esigenze. Per poterlo fare c’è bisogno di una adeguata conoscenza, non solo tecnologica.
Note
Di questi temi discuterò durante la Conferenza internazionale Privacy Symposium a Venezia nel dibattito su “Privacy and the New PA: How to Combine Innovation and Data Protection in the Smart Public Services”.
- Secondo l’art. 20 del CAD “l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità”. Inoltre, l’art. 44 1-ter prevede che “in tutti i casi in cui la legge prescrive obblighi di conservazione, anche a carico di soggetti privati, il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida. ↑
- Secondo l’art. 5 del GDPR “i dati personali sono:a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (…) («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; (…) («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). ↑
- Secondo l’art. 6 del D. Lgs. 33/2013 “le pubbliche amministrazioni garantiscono la qualità delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l’integrità, il costante aggiornamento, la completezza, la tempestività, la semplicità di consultazione, la comprensibilità, l’omogeneità, la facile accessibilità, nonché’ la conformità ai documenti originali in possesso dell’amministrazione, l’indicazione della loro provenienza e la riutilizzabilità secondo quanto previsto dall’articolo 7”. ↑
- Si ricorda che secondo l’art. 28 par. 1 “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. ↑
- Secondo l’art. 25 del GDPR, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”. Inoltre, prosegue l’art. 25, “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”. ↑
- L’accessibility si trova oggi garantita a livello europeo dalla direttiva(UE) 2016/2102 (relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici). ↑