Con il nuovo testo del Regolamento Europeo (Regolamento UE 2016/679) in materia di protezione dei dati personali, più noto come GDPR (General Data Protection Regulation), in vigore dal 24/05/2016, è entrato nel nostro ordinamento il “principio di accountability”
(obbligo di rendicontazione); le pubbliche amministrazioni titolari del trattamento dei dati devono dimostrare:
– di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e, che
queste siano costantemente riviste e aggiornate;
– che i trattamenti sono conformi con i principi e le disposizioni del regolamento europeo,
compresa l’efficacia delle misure.
Il regolamento, tra le altre cose, prevede che l’adesione ai codici di condotta o a un meccanismo di certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento (altri elementi di forte innovazione rispetto alla normativa precedente) e l’assegnazione della nomina di DPO (Data Protection Officer) ovvero il Responsabile del Trattamento dei dati, al quale è deputato il compito di considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Al fine di poter dimostrare la conformità alle disposizioni del regolamento, viene previsto l’obbligo del titolare o del responsabile di tenuta di registro delle attività di trattamento effettuate sotto la propria responsabilità con relativa descrizione delle misure di sicurezza.
Il regolamento specifica che il registro (in formato anche elettronico) deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative e che su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante
del titolare del trattamento o del responsabile del trattamento sono tenuti a mettere il registro a disposizione dell’autorità di controllo.
Si osservi che il sopra citato adempimento, obbligatorio per le pubbliche amministrazioni, è molto più rigoroso e puntuale del precedente obbligo di adozione del Documento programmatico per la sicurezza (DPS), adempimento abrogato dal Decreto Monti.
In riferimento al profilo della sicurezza del trattamento, il regolamento prevede che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
A far data dal 25 maggio 2018 questo Regolamento è direttamente applicabile in tutti gli Stati membri dell’UE, ciò significa che i vari Garanti della Privacy possono verificare lo stato di attuazione del Regolamento ed eventualmente comminare sanzioni (ricordiamo che è entrato in vigore il dal 24/05/2016, quindi sono trascorsi due anni).
Da qui, leggendo molto rapidamente la sintesi del quadro sanzionatorio previsto dal predetto Regolamento, si evince che si parte dalla semplice diffida amministrativa fino ad arrivare, nelle fattispecie più gravi, a 20 mln di euro (ridotti a 10 mln nelle recenti linee guida).
A fronte di quanto scritto devo sottolineare, mio malgrado, l’immobilismo della Società Informatica della Regione Molise riguardo a tale adempimento in considerazione del fatto che la maggior parte dei dati della Regione sono depositati presso il CED della Molise Dati S.p.A.
Mentre altre aziende si muovono, stimolando e coinvolgendo le pubbliche amministrazioni con convegni ed eventi formativi ed informativi, la Società in house della Regione resta al palo, non per incapacità tecnica quanto per l’inefficienza, l’inefficacia e la inappropriatezza del vertice amministrativo che non è in grado, dopo tre anni, di indicare all’azienda la giusta rotta da seguire per uscire dallo stallo.
Negli ultimi cinque abbiamo assistito inermi alla irrazionale gestione dell’informatizzazione regionale subendo, piuttosto che esserne i promotori, le disastrose scelte ma anche le non scelte, dell’amministrazione regionale.
I pochi progetti assegnati alla gestione della Molise Dati S.p.A. sono stati piccoli interventi finalizzati a tamponare la precaria situazione finanziaria. Questi, infatti, rappresentano le briciole della gestione dell’Agenda Digitale regionale che poteva e doveva essere affidata completamente alla società in house in stretta collaborazione con tutti gli uffici regionali.
E invece non solo non si è propositivi verso la Regione ma si è anche incapaci di organizzare l’attività stessa della società.
La UGL Molise stufa delle mancate risposte ai ripetuti appelli, verbali e scritti, indirizzati agli amministratori della società chiede, alla nuova amministrazione regionale, di valutare con attenzione la possibilità concreta dell’applicabilità dello “spoils system” alla Molise Dati S.p.A. laddove, come buon senso vorrebbe, non arrivassero prima le dimissioni del consiglio di amministrazione.
Michele Di Bartolomeo
Dirigente RSA UGL Terziario Molise Dati S.P.A.
