SANZIONI FINO A 20 MILIONI di €, LA NUOVA PRIVACY, GUIDA PER LE PP.AA.
Focus per le PP.AA.
Prepariamoci seriamente al GDPR , ovvero, partiamo da lontano ed impariamo a conoscere le norme fondamentali.
La sicurezza dei dati (di “carta” e di “bit”) è fondamentale per il controllo di una struttura, semplice o complessa che sia, per garantire la disponibilità, l’integrità e la riservatezza delle informazioni.
Parto dall’analisi di alcune ipotesi, che prima o poi troveremo trionfanti nelle slide di diversi esperti di PRIVACY, ritenendo sia necessario fare alcune considerazioni per meglio affrontare gli adempimenti direttamente od indirettamente legati al Regolamento 2016/679/UE .
Innanzitutto un chiarimento od una precisazione lessicale: il GDPR, al pari della norma contenuta nel D.Lgs 196/03, non è un testo intitolato alla a Privacy , chiunque ha appellato così il 196 e continua ad appellare in tal modo il GDPR ben poco ha capito del complesso contenuto normativo che mira a creare dei modelli organizzativi per la tutela e la resilienza delle informazioni; informative e consenso PRIVACY sono la parte residuale, non c’è divieto di circolazione delle informazioni ma regole sul trattamento delle stesse… ma attenzione, in fondo sono le stesse persone che hanno redatto DPSS stereotipati o peggio ciclostilati applicandovi la data certa.
Il secondo punto da sottolineare è dato dalla disponibilità dei dati dell’ipotesi: questo principio non può e non deve essere un elemento da gestire in maniera nativa nel DPSS, o DPSS 2.0 o nel registro dei trattamenti. Nell’evidenza della manualistica derivante dall’applicazione del GDPR (al pari del 196), il requisito della disponibilità deve essere DERIVATO dalle norme archivistiche della PA, dai manuali di gestione documentale e dalle regole di conservazione (a norma), questo per spostare il cardine della norma al giusto punto. Occorre preservare le informazioni presenti negli archivi, dunque, sarebbe davvero “poco utile” preservare informazioni da attacchi se queste già in modalità normali non sono bene conservate o addirittura mal archiviate o non archiviate o fascicolate affatto.
Uno dei problemi più gravi, eppure molto ricorrente, è delegare all’informatica la scienza, i criteri e le tecniche archivistiche, magari introducendo criteri e multicriteri di ricerca, tralasciando l’euristica fondamentale.
La sicurezza ha un’importanza fondamentale in quanto è necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema Informativo di un’organizzazione.
Con molto piacere allo scorso ForumPA ascoltavo l’avv. Andrea Lisi che sottolineava questa criticità, trovandomi ben d’accordo. Troppi informatici e pochi esperti di gestione documentale, il tutto citando il prof. Gianni Penzo Doria, trovano impiego e mercato nella PA, demandando agli investimenti informatici compiti propri dell’organizzazione interna.
Uno strumento che porterebbe ad un ordine prodromico alla corretta gestione dei dati è senza alcun dubbio il SGPA (Sistema di Gestione dei Procedimenti Amministrativi), grazie al quale finalmente nelle PA poco strutturate (quasi tutte) ci sarebbe organizzazione gestionale dei procedimenti, pur se, purtroppo, derivante da cause esogene e non organizzative interne.
In queste pagine vorrei rammentare la definizione di conservazione documentale contenuta nel DPCM 03/12/13:
“la conservazione di documenti e fascicoli informatici è l’attività ( indi un processo) volta a proteggere e mantenere nel tempo gli archivi e dati informatici “, il tempo di conservazione ci deriva invece dal CAD, in particolare dall’articolo 43 comma 3.”
“I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali”
Forse ora è arrivato il momento di utilizzare la terminologia adatta e fare distinzione tra chi crea un documento da conservare e che ha l’onere di preservarlo distinguendo tra:
- SOGGETTO PRODUTTORE – ente, famiglia o persona che ha posto in essere, accumulato e conservato la documentazione nello svolgimento della propria attività personale od istituzionale
- SOGGETTO CONSERVATORE – soggetto che conserva i fondi archivistici e li rende disponibili alla consultazione.
Il codice dei beni culturali (D.lgs 42/2004) , definisce gli archivi ed i singoli documenti di ogni PA “bene culturale” dalla fase corrente a quella storica ( art 10 c.2 lett b D.Lgs 42/2004) e ne sanziona l’incorretta conservazione ( art 30 e 170 D.lgs 42/2004) .
I documenti sono inseriti tramite un processo di classificazione in un fascicolo (aggregazione per nome, materia, affare, etc); il fascicolo informatico, già dall’inizio, deve garantire interoperabilità e segregazione nella consultazione, derivando sempre e comunque il carattere atomistico dell’archiviazione (articolo 41 del CAD) .
Voglio altresì velocemente trattare le relazioni che esistono tra la gestione e la conservazione, utilizzando sinteticamente alcuni punti fondamentali:
- Piano di classificazione e fascicolazione: consente di ricostruire l’archivio nel sistema di conservazione
- Piano di conservazione: definisce i tempi di invio in conservazione ed i tempi dello scarto archivistico
- Formati: devono essere aperti ed idonei alla conservazione anche utilizzando regole tassonomiche
- Metadati: informazioni di contesto associate al documento ed al fascicolo da inviare in conservazione
- Tempi di trasferimento: qui si apre un altro bello scenario derivante dall’applicazione di norme nuove senza conoscere quelle più remote: ad esempio con l’introduzione del DPCM 03/12/13, in particolare dell’articolo 7 comma 5 sulla conservazione del giornale del protocollo, molte PA hanno dimenticato che i continui versamenti in conservazione non costituiscono l’implementazione del protocollo (per dire: dal protocollo finale e conforme si può fare l’estrapolazione legale e probante, dalla somma dei singoli versamenti non si può invece costruire tout court il registro di protocollo) mancando il trasferimento complessivo di fascicoli e serie di cui l’articolo 67 del TUDA e 44 del CAD.
Purtroppo lo stesso problema c’è anche per le serie che dovrebbero essere generate dalle imputazioni e dalle pubblicazioni sul web, per dirne una, nessuna PA da me intervista conserva referta di pubblicazione della pubblicità legale con evidenza della mancanza di funzionamento.
A questo punto passiamo alla pratica e proviamo a sintetizzare come si costruisce un piano di classificazione, tenendo conto che è essenziale tener conto dei tre requisiti fondamentali: Astrazione, semplificazione, strutturazione.
Astrazione: Nel costruire il titolario si tiene conto delle funzioni ( definite e stabili ) e non dell’organigramma, sempre mutevole.
Semplificazione:
– Andare dal generale al particolare
– Non ripetere a livelli inferiori quanto dovrebbe essere ai livelli superiori
– Ridurre al minimo possibile le voci, le peculiarità sono evidenziate a livello fascicolare.
Strutturazione: due o tre livelli (titolo e classe, oppure titolo, classe e sottoclasse).
Sul tema dell’astrazione e la raccomandazione di lavorare sulle funzioni è importante tenere conto di una considerazione della SSPA :
“ È opportuno che il piano di classificazione individui con molta attenzione e coerenza tutte le componenti costitutive principali, con particolare attenzione alle voci di primo livello che devono essere attribuite ai documenti con rapidità e senza rischi di duplicazione, soprattutto in ambienti organizzativi di notevole complessità.. Come si specificherà meglio in seguito tali voci si distinguono per convenienza in due grandi categorie in base alla natura delle funzioni:
- funzioni istituzionali (primarie), specifiche di ciascuna area organizzativa;
- funzioni di gestione e strumentali (secondarie), condivisibili da più divisioni organizzative perché relative ad attività di funzionamento comuni a tutta la struttura di un soggetto pubblico o privato e, spesso, condivisibili anche in ambienti più ampi.”
Fatta la struttura occorre classificare e fascicolare: qui nascono i primi problemi, o meglio, nella fase immediatamente antecedente, quella della protocollazione. Raccomando infatti di non esagerare, evitando la panprotocollazione, chiaro sintomo di cattiva organizzazione aziendale e di attriti interni.
La classificazione è il processo che, tramite un indice (di classificazione) desunto da una struttura di voci (piano di classificazione), attribuisce ad ogni documento una definita unità archivistica, e giova nuovamente ricordarlo, l’unità atomistica di archiviazione non è il documento stesso, ma il fascicolo.
Il fascicolo, in altre parole, rappresenta la risposta pratica e concreta di un sistema di catalogazione generale ed astratto.
Riporto l’esempio, sempre CALZANTE, dei Calzini del principe Carlo.
Problema: il principe Carlo di Windsor ha 8.340 paia di calzini. Ogni calzino ha le giarrettiere abbinate e fiocchi ornamentali. Ogni mattina il suo maggiordomo Archibald deve trovare quelli intonati con la cravatta e ha 5 minuti di tempo per farlo
Come fa?
Li classifica!
Archibald mette tutti i calzini in un armadio e dà inizio ad un processo di classificazione.
L’armadio ha 3 ante (titoli):
I – Calzini estivi
II – Calzini invernali
III – Calzini di media stagione
L’anta I, “Calzini estivi”, ha 4 sottoante (classi):
1 – Seta
2 – Cotone
3 – Fresco di lana
4 – Fibra
Ogni sottoanta contiene delle ripartizioni non più logiche, ma fisiche, dove trovano posto tutti i calzini raggruppati per colore (procedimento/affare).
La sottoanta fresco di lana ha 6 cassetti (fascicoli):
1 – Verdi
2 – Blu
3 – Neri
4 – Scozzesi
5 – Grigi
6 – Marroni
Un giorno di luglio il principe Carlo indossa una cravatta scozzese ed il maggiordomo-archivista Archibald apre l’anta I/3.4. Cioè apre l’anta I (“calzini estivi”), la sottoanta 3 (“fresco di lana”, in Inghilterra può far fresco anche d’estate) ed il cassetto 4 (“calzini scozzesi”), dove trova il paio di calzini appropriato con attaccate le giarrettiere e i fiocchi ornamentali.
Voglio sottolineare che Archibald non trova il singolo calzino/documento, ma l’intero fascicolo, istruito per item aventi classificazione omogenea: i calzini con i reggicalzini e i fiocchi adatti a quel paio. Archibald, inoltre, ha scelto di non creare ulteriori ripartizioni logiche, individuando per es. la suddivisione verde chiaro – verde scuro, per evitare il rischio di classificazioni non univoche.
Partendo dal buon esempio di Archibald, conviene analizzare e strutturare bene i criteri costitutivi del fascicolo, solo così ci sarà l’efficienza nella ricerca documentale; il tutto diviene più semplice (una volta presa la mano) tenendo conto delle tipologie fascicolari convenzionali:
- a) Attività
- b) Affare
- c) Procedimento
- d) Persona fisica
- e) Persona giuridica
Consideriamo che i fascicoli vanno incamiciati solitamente al livello più basso, seguendo la struttura generalista del titolario archivistico.
Detto quanto sopra e tenendo conto che i piani di classificazione si basano sulle funzioni, occorre in maniera imperativa NON classificare i documenti per tipologia di mittente / destinatario, ricordando che occorre tener conto che i fascicoli sono elementi dei procedimenti amministrativi, riportati (anche) nell’amministrazione trasparente della PA (articolo 35 d.lgs 33/13).
Il titolario di classificazione per la PA ad oggi più efficiente è quello nato dal Forum dei conservatori istituito dall’AgID in collaborazione col MiBACT e che riporto in allegato.
Questa premessa per sottolineare quanto sia inutile proteggere i dati se non sono nativamente classificati ed organizzati un più amplio sistema organizzativo.
Analizziamo ora la disciplina propria della protezione partendo da una questio, la questio fondamentale:
Perché voglio tenere le mie informazioni al sicuro?
Per garantirne:
- Disponibilità
- Integrità
- Riservatezza
Ora dovrebbe evincersi un concetto fondamentale, la RISERVATEZZA (o PRIVACY che dir si voglia) è solo una parte degli adempimenti da mettere in atto con il GDPR (come lo era anche per il 196/03).
Lo strumento di lavoro per attuare la sicurezza delle informazioni non possono essere INFORMATIVE (spesso sterili e stereotipate) e consensi acquisiti o negati. Occorre necessariamente la stesura di un MOG, vale la pena quindi ispirarsi al manuale di gestione ex art. 5 DPCM 03/12/13.
Lavoro duro per i pseudo consulenti (che però faranno breccia nel mercato con ottimi prezzi, SIGH!!!)
I requisiti della DISPONIBILITA: è evidente che si hanno con la classificazione delle informazioni aderenti al titolario, con tecniche archivistiche e di sussunzione delle informazioni; giova ricordare che l’attività dei sistemi informatici che si acquistano sono fallaci, spesso derivanti dalla mancanza di progettazione ex art 21 e 23 co 14 del D.lgs 50/16.
Le minacce che possono colpire la disponibilità, l’integrità e la riservatezza sono da:
- Fuori porta: corruzione dei dati, acquisizione indebita, spionaggio, motivi ideologici
- Dentro porta: accessi inappropriati derivanti da mancanza di politiche ACL
- Software cattivi: piratati, non adatti, system fault.
Il regolamento 2016/679 mette nero su bianco la consapevolezza che le politiche di SICUREZZA non possono essere standardizzate ma devono necessariamente essere di tipo sartoriale, by design; tuttavia chi ha ben operato in ambito 196 utilizzava già una modellazione, anticipando il concetto di P.I.A. ( Privacy Impact Assessment), ancora, si passa dalle misure minime (art 33 d.Lgs 196/03 ed allegato B) all’obbligo di adozione di misure tecniche ed organizzative per la tutela delle informazioni, indi dal risk assessment si passa al risk management.
La sicurezza dell’informazione del dato personale deve essere conforme all’articolo 32 del Regolamento:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
E’ chiarissimo che l’efficacia di tutto il modello organizzativo della gestione dei dati personali dipenda dal soddisfacimento di quanto contenuto nell’articolo 32 comma 1 lett d del GDPR.
Spostiamoci ancora di più nel settore pubblico riportando l’articolo 51 del D.lgs 82/2005, che in qualche modo ha voluto supplire all’abrogazione dell’articolo 50 bis intitolato alla CO-DR, e sul quale a mio avviso si sarebbe dovuto insistere creando una vera cultura degli obiettivi di sicurezza:
Sicurezza dei dati,
dei sistemi e delle infrastrutture delle pubbliche amministrazioni
- Con le regole tecniche adottate ai sensi dell’articolo 71 sono
individuate ((le soluzioni tecniche idonee a garantire la
protezione,)) la disponibilita’, l’accessibilita’, l’integrita’ e la
riservatezza ((dei dati e la continuita’ operativa)) dei sistemi e
delle infrastrutture.
((1-bis. AgID attua, per quanto di competenza e in raccordo con le
altre autorita’ competenti in materia, il Quadro strategico nazionale
per la sicurezza dello spazio cibernetico e il Piano nazionale per la
sicurezza cibernetica e la sicurezza informatica. AgID, in tale
ambito)):
((a) coordina, tramite il Computer Emergency Response Team
Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le
iniziative di prevenzione e gestione degli incidenti di sicurezza
informatici;))
- b) promuove intese con le analoghe strutture internazionali;
- c) segnala al Ministro per la pubblica amministrazione e
l’innovazione il mancato rispetto delle regole tecniche di cui al
comma 1 da parte delle pubbliche amministrazioni.
- I documenti informatici delle pubbliche amministrazioni devono
essere custoditi e controllati con modalita’ tali da ridurre al
minimo i rischi di distruzione, perdita, accesso non autorizzato o
non consentito o non conforme alle finalita’ della raccolta.
2-bis. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)).
L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.
La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:
- Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
- Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17
Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).
All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).
I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :
- Minimale (oltre al quale non è consentito scendere)
- Standard (il valore atteso)
- Alto (limite superiore di tendenza)
Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:
- Inventario hardware classificato per IP
- Inventario software con versione e licenza ed autorizzazione negata per i non censiti
- Protezione e cifratura
- Valutazione continua della vulnerabilità
- ACL
- Difesa Malware
- Policy di DR
Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.
Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.
VINCENZO DE PRISCO
Professore a Contratto Università PARTHENOPE di NAPOLI in AGENDA DIGITALE PA
Docente MASTER UNIVERSITA’ della BASILICATA in Contratti PUBBLICI.
Membro dell’AI PACT dell’UNIONE EUROPEA
PER WORKSHOP, ASSISTENZA,
FORMAZIONE e SUPPORTO
dott.ssa Carotenuto Elisa
elisa@ca-campania.com
cell. 3382797858
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!