Come definire le strategie di custodia del Dato

Per un ente pubblico, ma anche i privati non sono da meno, oggi è indispensabile sviluppare strategie per gestire e custodire i propri dati, attraverso analisi del rischio che assicurino adeguate misure di sicurezza a protezione di ogni asset informativo.

Questo non solo in un’ottica di una migliore gestione dei propri dati, ma anche per essere conferme al Codice dell’Amministrazione Digitale (CAD). Il CAD, infatti, all’articolo 12 richiede a tutte le pubbliche amministrazioni di organizzare autonomamente la propria attività utilizzando le tecnologie dell’informazione e della comunicazione per la realizzazione degli obbiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per l’effettivo riconoscimento dei diritti dei cittadini e delle imprese.

Il fine ultimo di tali obbiettivi deve essere la centralità dei diritti di cittadinanza digitale, che devono essere perseguiti grazie alla riorganizzazione strutturale e gestionale delle pubbliche amministrazioni, attraverso il migliore e più esteso utilizzo delle tecnologie.

Al centro del necessario processo di digitalizzazione ci deve essere la corretta costituzione dell’archivio documentale attraverso un robusto sistema di gestione, reso affidabile nel tempo da un sistema di conservazione, come previsto dalle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici.

Per raggiungere gli obbiettivi sopracitati, non occorre partire dalla scelta tecnologica (che deve essere, invece, il risultato di una valutazione responsabile), ma è indispensabile operare delle costanti verifiche sulla compliance legale, informatica e archivistica di ogni procedimento amministrativo.

I principali attori della rivoluzione digitale: i DPO

Gli attori principali di questo processo, accanto ai Responsabili della trasparenza, sono i DPO. DPO non solo come Data Protection Officer, ma anche come Digital Preservation Officer, ovvero i Responsabili della gestione e conservazione dei documenti informatici. Sono entrambe figure obbligatorie per le PA, ma vanno soprattutto considerate come indispensabili per garantire compliance alle normative di settore.

Del resto, siamo ormai “datificati” e, proprio per questo, quei dati che hanno un rilievo giuridico vanno garantiti nella loro integrità e leggibilità, vanno correlati tra loro e resi accessibili nel tempo, quindi vanno documentati, fascicolati e archiviati. Per tale motivo, i DPO (intesi sia come digital preservation officer e sia come data protection officer) sono figure strategiche e, secondo il CAD e le Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici, devono tra loro parlarsi e devono essere abituate ad agire in team a presidio di database e sistemi di gestione documentale.

E’ necessario garantire autonomia e indipendenza al Data Protection Officer, il quale deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, in modo da considerare debitamente i rischi inerenti a tutti i trattamenti dei dati personali , tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità.
Come più volte sottolineato, poi, i DPO devono “parlarsi tra loro” in veri team interdisciplinari. Questo vale sia per i DPO della PA, ma anche nei rapporti con i DPO dei fornitori di servizi informatici.

Coerenza documentale

Da tale mappatura coerente e trasparente si può ricavare una verifica puntuale dei fornitori di soluzioni, i quali devono garantire il rispetto dei fondamentali principi della privacy by design e della privacy by default, come individuati nell’art. 25 del GDPR.
E’ fondamentale che nell’utilizzo di applicazioni, servizi e prodotti basati sul trattamento dei dati personali, si tenga conto di soluzioni che rispettino la normativa.

Principio di trasparenza

Non si può non ricordare che il principio di trasparenza si concretizza anche attraverso la capacità dei sistemi informatici (siti web e applicazioni mobili) di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.