Il Privacy Officer come fulcro della digitalizzazione della Pubblica Amministrazione-Dott. Luigi Recupero

Privacy 0 Comment
Privacy Officer

Il percorso di digitalizzazione della PA necessita innanzitutto di scelte riorganizzative prima che di nuovi investimenti tecnologici. Le regole privacy, se ben interpretate possono essere il giusto grimaldello per avviare tale nuovo percorso.

Il Privacy Officer come fulcro della digitalizzazione della Pubblica Amministrazione

Privacy Officer

Il percorso di digitalizzazione della Pubblica Amministrazione ha subito negli ultimi due anni una forte accelerazione dovuta in particolar modo all’approvazione e pubblicazione dei diversi provvedimenti inquadrabili come “regole tecniche” attuative delle prescrizioni del Codice dell’Amministrazione Digitale (D.Lgs 82/2005).

Tale percorso presenta ovviamente notevoli implicazioni di natura tecnologica sia per quanto concerne gli aspetti software che per quanto attiene all’hardware, ma è evidente a tutti gli addetti ai lavori che allo stato attuale gli aspetti di maggiore delicatezza che sarà necessario trattare al fine di completare il più velocemente possibile l’attuale fase di transizione saranno quelli di natura riorganizzativa ed amministrativa. Tale considerazione si basa sull’esperienza decennale maturata all’interno della Pubblica Amministrazione per attività di consulenza inerenti il protocollo informatico, il Manuale di Gestione del Protocollo dei flussi documentali e degli archivi, la tutela della riservatezza, la continuità operativa ed il disaster recovery, la trasparenza amministrativa, la mappatura dei procedimenti amministrativi, etc., tutte materie che pur essendo fortemente intersecate tra di loro vengono ad oggi trattate a compartimenti stagni attraverso un modus operandi che contribuisce a mantenere la Pubblica Amministrazione “in mezzo al guado”, costretta a compiere azioni tese alla digitalizzazione ma ancora incapace di costruire un nuovo progetto riorganizzativo che sia in grado di coniugare in un’unica idea la nuova Pubblica Amministrazione digitale che volenti o nolenti si stà edificando.
Rendersi conto che gli ostacoli che impediscono ad oggi di trarre i benefici necessari dal percorso di digitalizzazione sono principalmente di natura organizzativa e non tecnologica, che gli investimenti fatti dalle pubbliche amministrazioni negli ultimi anni in hardware e software devono oggi essere semplicemente sfruttati a pieno e non implementati nel breve termine, che gli ulteriori investimenti urgenti sono ormai quelli inerenti la riorganizzazione amministrativa, rappresenterebbe sicuramente il primo passo nella giusta direzione.

Il secondo passo dovrebbe essere quello di individuare da dove incominciare con questo percorso di riorganizzazione e quale schema base utilizzare; in tale ottica, dopo anni di esperienza sul campo, ritengo che la normativa privacy e gli adeguamenti ad essa connessi, potrebbero essere il punto di partenza ottimale.
Fini ad oggi nella gran parte delle pubbliche amministrazioni la privacy è stata affrontata come un percorso di adeguamento normativo meramente formale, a se stante rispetto ai profili di gestione documentale e di implementazione tecnologica, non si e riusciti quasi mai a cogliere il ruolo fondamentale di “collante” che la tutela della riservatezza, se ben interpretata e gestita, potrebbe svolgere tra le diverse norme afferenti al settore della digitalizzazione al fine di ridisegnare l’organizzazione della Pubblica Amministrazione.
Il concetto attorno al quale tutto dovrebbe ruotare è quello di “trattamento” di dati personali, definito come “ qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.

Contattaci per approfondire l’argomento

In una pubblica amministrazione il presupposto giuridico del trattamento è dato dal procedimento amministrativo che rappresenta lo strumento attraverso il quale l’ente agisce; quindi potremmo dire che la regola base (che pur presentando diverse eccezioni ravvisabili nella concretezza dell’attività pratica non vede scemare il proprio valore) è la seguente: la Pubblica Amministrazione tratta dati personali in conseguenza dello svolgimento dei procedimenti amministrativi ad essa afferenti, o per meglio dire il trattamento dei dati discende dal procedimento amministrativo. Una volta precisato questo punto cardine del nostro ragionamento dobbiamo constatare che il mezzo principale (anche se non l’unico) tramite il quale si sviluppa il procedimento (e quindi il trattamento o i trattamenti ad esso collegato/i) è il “documento”. I documenti ormai vengono sempre prodotti con strumenti informatici ed attraverso l’utilizzo di banche dati, in alcuni casi tali mezzi portano alla redazione di “documenti informatici” (aventi valore giuridico in digitale), in altri casi invece la formalizzazione del documento rimane “analogica” (quindi cartacea), in altri casi ancora può essere che il documento sia costituito da un record di un database.
A fronte della descrizione sinteticamente operata in queste poche righe risulta evidente come il “nocciolo duro” dell’attività della Pubblica Amministrazione (ciò che la Pubblica Amministrazione “fa”) è rappresentata dal seguente “quadrilemma aureo”: Procedimenti/Trattamenti/Documenti/Database (P.T.D.D.).
Riorganizzare la Pubblica Amministrazione al fine di renderla digitale vuol dire creare le connessioni che danno vita al quadrillemma P.T.D.D. e rimodellare sulla base di questo l’organigramma, il funzionigramma e gli strumenti tecnologici che l’ente utilizza. Ad oggi tale sistema nelle pubbliche amministrazioni non esiste, non sono state studiate ed applicate le connessioni tra i diversi elementi tanto che se noi oggi leggessimo l’elenco dei procedimenti amministrativi di un ente e l’elenco dei trattamenti di dati gestiti da quello stesso ente ci sembrerebbe di analizzare due realtà organizzative distinte oltre, tra l’altro, a non trovare connessioni tra il “Regolamento per il trattamento dei dati sensibili e giudiziari” di quella pubblica amministrazione ed i trattamenti dalla stessa dichiarati. Allo stesso modo non saremmo in grado di operare gli opportuni collegamenti tra gli strumenti archivistici relativi alla gestione del documento (titolario di classificazione, piano di fascicolazione e massimario di scarto), i trattamenti di dati ed i procedimenti amministrativi. Ed infine, se leggessimo l’elencazione dei software utilizzati dall’ente non saremmo in grado di risalire a quali documenti, trattamenti e procedimenti si gestiscano con quei sistemi.

Tutto ciò avviene perché i regolamenti approvati ai sensi della Legge 241/1990, quando sono presenti, risalgono alla seconda metà degli anni 90, perché la documentazione privacy, quando è presente, spesse volte è stata realizzata da soggetti con competenze esclusivamente informatiche che non hanno le conoscenze amministrative necessarie per contestualizzare la tutela della riservatezza nella macchina amministrativa ( la quale ha complessità e peculiarità proprie), perché gli strumenti archivistici per qualcuno si applicano (quando si applicano) al documento analogico ma vengono meno quando entriamo nel “magico mondo del digitale”.
A fronte di quanto affermato fin qui sono convinto che una amministrazione coscienziosa e lungimirante, che capisse di doversi riorganizzare e non volesse sprecare tempo e denaro, potrebbe iniziare questa attività da una ridefinizione completa dei trattamenti di dati personali effettuati al fine di andare a collegare questi ultimi all’elenco dei procedimenti svolti dall’ente i quali verrebbero anch’essi contemporaneamente ridefiniti; a questo punto sarebbe possibile individuare tutti i documenti afferenti a quel procedimento e il loro supporto (analogico o digitale) e quindi anche quelli contenenti dati personali al fine di impostarne la corretta classificazione ma anche di decidere quali procedimenti e quindi quali documenti digitalizzare ed attraverso quali strumenti giuridici, hardware e software.
La concentrazione della Pubblica Amministrazione sul quadrilemma P.T.D.D. consentirebbe quindi di preparare il back office della Pubblica Amministrazione ad un ponderato processo di digitalizzazione che permettesse agli enti di ottimizzare ed utilizzare gli investimenti tecnologici già effettuati, ed evitare inutili e dannose fughe in avanti ma digitalizzando finalmente a ragion veduta mediante procedure che dessero le massime garanzie agli utenti in termini di sicurezza ed efficienza, ma anche una garanzia alla Pubblica Amministrazione di compiere operazioni che fosse in grado di gestire tecnicamente e che non comportassero rischi sulla validità giuridica delle operazioni effettuate.
Le competenze necessarie per coordinare un percorso di questo genere non possono che essere trasversali e proprio per questo stentano oggi a riscontrarsi all’interno della Pubblica Amministrazione. In ragione di ciò ritengo che un ruolo fondamentale in tale contesto potrà essere svolto dal Privacy Officer, se verrà mantenuta la previsione attualmente inserita nello schema di Regolamento Europeo inerente il trattamento dei dati personali che prevede l’individuazione di questa figura per tutte le Pubbliche Amministrazione.

Tale considerazione nasce dalla constatazione che le altre figure ad oggi richieste dalle normative afferenti al percorso riorganizzativo ivi descritto prevedono che i diversi ruoli vengano assunti da soggetti interni alla Pubblica Amministrazione i quali possono delegare solo in parte alcune delle proprie funzioni all’eterno ma non possono esternalizzare l’intera funzione, è il caso del Responsabile della Gestione Documentale e del Responsabile della Conservazione. A fronte di ciò in molti casi gli enti, non avendo personale con competenze specifiche in questo settore, attribuiscono questi incarichi a dirigenti e funzionari specializzati in altri campi i quali a mezzo servizio fanno ciò che possono per occuparsi al meglio di queste materie ma senza avere ne il tempo necessario ne il quadro d’insieme per poter incidere in profondità nella realtà dell’ente. Il Privacy Officer invece, potendo essere un soggetto esterno, se fosse dotato delle necessarie competenze trasversali potrebbe essere il punto di riferimento di questo percorso riorganizzativo in grado di produrre non solo migliori e più efficaci servizi ma anche un elevato livello di risparmio economico per la Pubblica Amministrazione.

Dott. Luigi Recupero

Vuoi approfondire l'argomento? Scrivici e ti chiamiamo noi

Il tuo nome (richiesto)

La tua email (richiesto)

Il tuo telefono (richiesto)

Oggetto

Il tuo messaggio

Luigi Recupero