NEWS

Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

La tematica del whistleblowing sta rientrando nell’agenda delle organizzazioni pubbliche e private, delle società di consulenza e servizi e, last but not least, degli Responsabili della Protezione dei Dati (DPO) e di tutti gli altri soggetti che a diverso titolo si occupano di privacy, attesa la imminente entrata in vigore del decreto legislativo di recepimento della direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione”.

L’indagine sui rischi che le organizzazioni si trovano ad affrontare nel mutevole e turbolento contesto planetario, periodicamente condotta sotto l’egida dell’ECIIA (European Confederation of Institutes of Internal Auditing) registra il permanere, in prima posizione, di quello “Cybersecurity and data security”, anche nelle previsioni a tre anni. Continua, fra quelli censiti, a restare nelle posizioni più basse quello attinente a “Health, safety and security” (SSL), presumibilmente per la maggiore strutturazione normativa, governabilità e assetto dei controlli che lo connota.

Il Presidente USA Biden, con l’ Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities firmato il 7 ottobre si è mosso lungo la road map dell’intesa raggiunta a marzo con la Commissione UE per il varo di un nuovo sistema che sostituisca il Privacy Shield, volto alla ripresa del trattamento / trasferimento oltreoceano dei dati personali.

La gestione del rischio privacy è una questione complessa e che si sviluppa lungo diverse dimensioni, secondo i requisiti posti dal GDPR e dalle normative nazionali. In questa sede si richiama l’attenzione su una questione attinente alla fine del ciclo di vita delle informazioni, apparentemente del tutto residuale ma che, se non se ne ha consapevolezza, può essere foriera di rischi anche grandi, dal data breach al decadimento delle difese ai sistemi informativi oltre che reputazionali.

Il giudice della Corte Suprema americana Damon Keith sosteneva che “la democrazia muore dietro le porte chiuse della Pubblica Amministrazione”. Oggi i cittadini di molti paesi, in Italia dal 2016, dispongono di uno strumento forte per controllare e vigilare sull’azione della Pubblica Amministrazione: il Freedom of information act (FOIA) - il cui primo esempio risalirebbe alla Svezia del 18° secolo - ovvero della normativa volta a garantire a chiunque il diritto di accesso alle informazioni della pubblica, variamente articolata nei vari paesi in relazione modalità di esercizio e “profondità” dello stesso.

A quattro anni dalla entrata in vigore del Regolamento UE 2016/679 (GDPR), un grande percorso è stato fatto con l’impegno di tutti gli attori dell’ecosistema privacy. I legislatori nazionali sono intervenuti con norme collaterali e/o applicative al GDPR, da ultimo in Italia con le innovazioni del Decreto “Capienze” ( D.L. 139 / 2021 convertito nella L. 205 /2021) per gli aspetti attinenti alla privacy nel comparto della pubblica amministrazione. e altre potranno e saranno emanate in linea con il carattere in progress della privacy anche in relazione all’innovazione tecnologica e delle forme di business.

Il Regolamento UE 2016/679 (GDPR) da tempo è entrato nella vita di chi vive in Europa (UE e SEE) e, sebbene alcuni facciano ancora difficoltà a comprenderne la portata di diritto di cittadinanza, tutti in genere vi poniamo più attenzione, sia nella veste di interessati, sia nella veste di attori nella gestione della privacy in organizzazioni del settore pubblico e privato. Quello che si intende qui iniziare ad approfondire è il ruolo che possono avere le organizzazioni sindacali con riguardo alla privacy.

Lo scorso giugno Federprivacy, da attento osservatorio qual’è dei fenomeni che - non solo in Italia - attengono alla privacy, ha dato notizia della intimazione della CNIL, l’Autorità francese per la protezione dei dati personali, ad un gruppo di 22 amministrazioni locali – pubblicandone anche l’elenco – che non avevano proceduto alla nomina del Responsabile della Protezione dei Dati (DPO), di provvedere ad assegnare tale incarico quattro mesi.

Applicando la regola delle 5 W del giornalismo anglosassone ecco di cosa intendiamo parlare: What: che accade se la gestione della privacy non è GDPR compliant? Who: se ad essere interessata è una entità pubblica? Where: se, in particolare, accade in Italia, When: dal 25 maggio 2018, Why: se si verifica un data breach o se il Garante accerta un mancato rispetto delle previsioni per trattamenti di dati personali non lesivi dei diritti degli interessati? La normativa europea e nazionale in tema di privacy disegnano per la P.A. un assetto più articolato e dotato di maggiore “elasticità” nel definire il campo di gioco per il trattamento dei dati personali.

L’AgID - Agenzia per l'Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana, favorendo l'innovazione e la crescita economica. Nella sua azione, fra l’altro, elabora indirizzi, regole tecniche e linee guida in materia di omogeneità dei linguaggi, delle procedure e degli standard per la piena interoperabilità e uniformità dei sistemi informatici della pubblica amministrazione.

Prev12Next
Pagina 1 di 2

Caffè Privacy: Cos'è un dato personale?

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy