L’ADEGUAMENTO AL G.D.P.R. COME PROGETTO DI MIGLIORAMENTO DEI PROCESSI DELLA PUBBLICA AMMINISTRAZIONE

Il 26 maggio 2018 è entrato in vigore il Regolamento Generale sulla Protezione dei Dati Personali (Reg. UE 2016/679) che andrà a sostituire le precedenti direttive sulla protezione dei dati (Direttiva 95/46/CE) ed ad abrogare quelle norme del codice per la protezione dei dati personali (D.Lgs. 166/2003) incompatibili con il nuovo regolamento.
Questo nuovo obbligo può essere l’occasione della Pubblica Amministrazione per ripensare in termini nuovi alle modalità di trattamento dei propri dati verso i propri fruitori di servizi interni/esterni.
Infatti le finalità del nuovo regolamento non sono tanto quelle di “proteggere” il cittadino europeo dai possibili furti, o dall’uso improprio, dei propri dati da parte dai gestori di servizi, con particolare riferimento a quelli trattati attraverso piattaforme di e-procurement, ma soprattutto di limitare il trattamento dei dati ai scopi per cui questo si rende necessario semplificando le modalità di gestione con particolare riferimento alla ridondanza e correttezza delle informazioni per evitare disservizi all’utente. Un esempio è un errore nella gestione della trasmissione dei dati dell’anagrafe al PRA che può creare problemi nel caso del passaggio di proprietà di un autoveicolo oppure la perdita di dati che richiede all’ente di doverli richiedere per erogare la prestazione.
Per approcciare il problema è opportuno descrivere , ma a volte anche ripensare, la corretta gestione del trattamento; ciò attraverso il registro del trattamento dei dati con il quale descrivere per ogni singolo trattamento:
• Unità Organizzativa interessata;
• Finalità;
• Software, Database e Manutenzione;
• Eventuali contitolari;
• Categorie interessati;
• Categorie di dati personali trattati;
• Categorie di destinatari a cui i dati sono o possono essere comunicati;
• Denominazione di eventuali responsabili esterni;
• Possibile trasferimento dei dati in paesi extracomunitari e se del caso le misure di sicurezza garantite;
• Periodo di conservazione dei dati;
• Descrizione delle misure di sicurezza adottate;
• Tipologia del trattamento;
• Fonte dei dati;
• Modalità per il consenso degli interessati al trattamento;
• Valutazione di impatto sulla protezione dei dati personali.
Per una migliore individuazione dei singoli trattamenti il consiglio è quello di utilizzare i processi descritti dalla procedure della qualità aziendale in quanto quasi tutti trattano dati e che devono essere analizzati anche in termini di misure di protezione per evitare rischi da furti, perdite ed errori e garantire anche la possibilità, su richiesta dell’interessato, alla cancellazione completa e senza tracce (diritto all’oblio).
Si apre quindi una opportunità per la PA di introdurre la Certificazione ISO 9000 versione 2015 alla gestione dei propri processi o quantomeno a descrivere secondo tali standard e metodologia i diversi servizi erogati.
Una non corretta individuazione e descrizione dei trattamenti genera confusione tra finalità, modalità e strumenti del trattamento conducendo ad una errata valutazione degli impatti e quindi dei rischi.
Come si può comprendere l’insieme delle azioni che vengono richieste dal nuovo Regolamento salvo gli aspetti più formali quali la trasmissione al Garante Nazionale per la Protezione dei Dati della:
• nomina del titolare del trattamento;
• nomina del Data Protection Officer (DPO);
può essere approcciato come un piano (piano di azione) in cui le metodologie e standard del Project Management possono ritornare utili per il coinvolgimento delle risorse e figure interne ed esterne alla PA , degli utenti e più in generale di tutti gli stakeholder da interessare anche attraverso le diverse modalità: informazione, consenso e segnalazioni: in quest’ultimo caso caso secondo la procedura di data break appositamente codificata.
Tale piano seguirà le attività previste dal Regolamento in quanto adempimenti necessari da porre in essere dalla PA in quanto obbligo di legge:

 

 

Il flusso delle attività descritto è relativo al caso , più frequente per la PA, di adeguamento del proprio sistema informativo alla sicurezza prescritta dal Regolamento.

 

 

 

Una applicazione pratica della metodologia indicata è stata sviluppata dal sottoscritto nel piano di adeguamento dei trattamenti dei dati in APES alle prescrizioni del GDPR.

Dott. Giorgio FEDERICI
Project Manager Professionale
Certificato n. 130 AICQ – SINCEV