Il bilanciamento fra trasparenza e privacy

Le recenti modifiche normative che hanno interessato l’ambito della privacy sia in relazione alla nuova regolamentazione europea, descritta di seguito, sia in ambito trasparenza (apertura totale delle amministrazioni nei confronti del cittadino a seguito dell’introduzione dell’istituto dell’accesso civico generalizzato), richiedono la necessità di presidiare in maniera più intensiva i possibili rischi - di compliance, informatici, operativi e dunque a presidio di possibili episodi di malagestio - in materia di privacy, cui l’Istituto è potenzialmente esposto.

In particolare si ricorda brevemente l’emanazione dei due atti regolamentari europei³⁹ cui gli Stati membri dovranno adeguarsi entro il 2018:

• regolamento europeo in materia di protezione dei dati personali (Ue) 2016/679

• direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini (Ue) 2016/680.

Il regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali, sempre più avvertite dai cittadini dei Paesi dell’Unione europea. Introduce, in tale direzione, nuove regole in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).

L’allineamento tra le disposizioni contenute nel regolamento 2016/679 e la normativa italiana, comporta la necessità per l’Istituto di proseguire nella propria attività di risk

39 Pubblicati in Gazzetta ufficiale dell'Unione europea del 4 maggio 2016. Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in Gu.ue e sarà definitivamente applicabile in via diretta in tutti i Paesi Ue a partire dal 25 maggio 2018, quando dovrà essere garantito l’allineamento fra la normativa nazionale e le disposizioni del regolamento. La direttiva, invece, è vigente dal 5 maggio 2016, e da qual momento gli Stati membri avranno due anni di tempo per recepire le sue disposizioni nel diritto nazionale.

management in ambito privacy e intensificare in tal senso il presidio dei rischi al fine di individuare le azioni necessarie al corretto adeguamento alla nuova normativa.

Del resto, come sintetizzato dal Garante per la protezione dei dati personali, il

“Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Ad esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone […]. Viene inoltre introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti”.

I diritti riconosciuti ai cittadini nei confronti dell’amministrazione di poter accedere a dati, documenti e informazioni, di poter fornire contributi alle sue scelte gestionali o conoscere la rendicontazione delle attività dalla stessa svolta, nel concreto molte volte si scontrano con altrettanti e contrapposti diritti di pari rango riconosciuti agli stessi cittadini in materia di tutela dei dati personali.

Tale contrasto richiede pertanto una non facile attività di contemperamento tra diverse istanze che l’Istituto sta gestendo attraverso anche l’ausilio di uno specifico sistema (ARCO Privacy).

Al riguardo si descrivono le azioni che l’Istituto ha implementato a presidio di una concreta applicazione della normativa sulla privacy.

Da un punto di vista di analisi normativa e presidio dei rischi di mancata conformità, la materia è stata trattata in due specifiche Legal inventory:

• la Legal inventory “Trasparenza dei dati nella PA” contiene, oltre la normativa in materia di trasparenza, anche le disposizioni significative in termini di privacy derivanti dal d.lgs. n. 196/2003 e dalle Linee guida emanate dal Garante del trattamento dei dati personali, in materia di trattamento di dati personali, effettuato per finalità di pubblicità e trasparenza sul web, da soggetti pubblici e da altri enti obbligati. In tal modo la gestione degli obblighi di trasparenza è garantita in coordinamento costante con i vincoli di privacy imposti dalla specifica normativa. Tale coordinamento si rende necessario al fine di assicurare il perfetto equilibrio normativo tra accessibilità totale e diritto alla riservatezza e rientra tra le strategie dell’Istituto orientate al Data quality in ottica di efficientamento organizzativo;

• la Legal inventory “Privacy” contiene invece, in maniera più ampia, tutta la normativa sulla privacy più significativa per l’Istituto in termini di compliance, classificando gli obblighi e i relativi rischi potenziali in 10 temi di rilievo

(normativa generale e trattamento dati, accesso banche dati tra pubbliche amministrazioni, privacy e rapporto di lavoro, videosorveglianza e biometria, customer care, amministratori di sistema, obblighi verso il Garante, sicurezza dei dati, pubblicazione dati personali, informative amministrative e contabili).

Per quanto concerne le azioni volte al monitoraggio della sicurezza e della riservatezza delle informazioni, sono già state avviate nel 2016 azioni specifiche:

• i rischi connessi alla violazione della normativa in materia di sicurezza e privacy sono stati gradualmente inseriti tra i rischi trasversali, oggetto di monitoraggio continuo nell’ambito del progetto di risk management generale dell’Istituto;

• in ottica sistemica è stato inoltre condotto un programma di verifiche in materia di sicurezza e riservatezza dati personali sul territorio, finalizzate a rilevare sia lo stato di attuazione delle Linee guida esistenti sia le possibili azioni di adeguamento.

Per il 2017, tali attività di presidio della normativa, monitoraggio dell’esposizione al rischio e verifiche ispettive, saranno ulteriormente intensificate in ragione della necessità di monitorare in maniera più stringente i rischi di mancata conformità in relazione alle novità normative intervenute in materia di trasparenza e con la finalità ulteriore di valutare i processi, procedure, sistemi IT in vista dell’adeguamento cui è tenuto a conformarsi l’Inail, a seguito della pubblicazione della regolamentazione europea di nuova emanazione.

In tale ottica sono previste le seguenti attività:

• eventuale integrazione della Legal inventory “Privacy” alla luce del regolamento Ue 2016/679, al fine di individuare i nuovi rischi cui l’Istituto è potenzialmente esposto e permettere la progressiva messa in conformità prevista entro il 2018;

• individuazione dei processi impattati dai rischi al fine di rendere più analitica l’attività di risk assessment attraverso la definizione delle aree di rischio;

• prosecuzione delle attività di risk assessment a livello centrale e territoriale al fine di valutare il grado di esposizione ai rischi, la presenza e l’efficacia dei controlli e definire le priorità di intervento;

• attività di analisi di impatto della nuova normativa (trasparenza e Regolamento Ue 2016/679) su processi, procedure e sistemi IT al fine di individuare le eventuali azioni di mitigazione necessarie ai fini dell’adeguamento;

• prosecuzione attività di audit finalizzata alla verifica effettiva delle procedure e dei sistemi e volta all’individuazione di adeguamenti e revisioni per il raggiungimento della conformità;

• progettazione di programmi formativi finalizzati alla condivisione della conoscenza della nuova normativa e all’acquisizione di competenze in merito.

Le attività menzionate sono volte alla definizione di una governance della privacy dell’Istituto che, in maniera strutturata, sia basata sulla determinazione di policy per il

trattamento dei dati, l’attribuzione delle responsabilità nel trattamento dei dati, la definizione dei flussi di comunicazione, la gestione del ciclo di vita del dato in ottica di Data quality e in linea con il Piano strategico IT dell’Istituto.