A cura di Domenico Picciano, Head of Public Sector e Francesco Fabbri, Senior Consultant
Il futuro della nostra società viaggia verso una direzione ben precisa e che ci porta verso una realtà sempre più digitale. Tale aspetto riguarda il mondo della comunicazione, degli eventi, delle interazioni personali e, inevitabilmente, anche ogni aspetto legato al trattamento dei dati personali.
Il processo di digitalizzazione della Pubblica Amministrazione ha ricevuto un impulso significativo, anche al fine di dare attuazione al PNRR, con l’obiettivo di garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza e sicurezza, nonché per la creazione di nuove opportunità di sviluppo per il Paese.
Naturalmente anche per le Pubbliche Amministrazioni i trattamenti di dati personali devono avvenire in conformità e nel pieno rispetto di quanto previsto dal GDPR e dal Codice Privacy, garantendo la congruenza e la rispondenza ai principi di protezione dei dati personali, nella piena tutela dei soggetti interessati e dei relativi dati personali.
Fondamentale in questo contesto è il ruolo dell’Autorità Garante per la protezione dei dati personali, la quale ha esercitato e continua a esercitare la propria funzione consultiva in relazione agli interventi promossi dalle istituzioni governative.
Spid, identità digitale e protezione dei dati
Lo Spid (Sistema Pubblico di Identità Digitale) e in generale l’avvento delle soluzioni per accedere ai servizi on line dalla Pubblica Amministrazione, rappresentano iniziative e soluzioni finalizzate a consentire un'efficace interazione tra cittadini e PA.
Per ottenere Spid è necessario rivolgersi a gestori di identità digitale (identity provider) accreditati da AGID.
Da quando è stato introdotto lo Spid, l’Autorità Garante per la protezione dei dati personali, ha formulato rilievi e fornito ogni indicazione necessaria utile a perfezionarne la disciplina e garantire la conformità rispetto alla normativa sulla protezione dei dati personali; tale attività si è resa possibile partecipando alla revisione del framework di regolamento, nonché agli schemi di accreditamento dei gestori di identità digitale.
Nell’ambito dei trattamenti effettuati da Spid è necessario infatti garantire la riservatezza, immodificabilità, autenticità e integrità dei dati personali trattati.
Fondamentali in tal senso sono: sicurezza, trasparenza - nella misura in cui gli interessati devono essere informati di tutti quelli che possono essere i dati personali coinvolti – nonché "minimizzazione dei dati”, ovvero trattamento dei dati personali garantendo la pertinenza, finalità e non eccedenza nei trattamenti.
I dati personali, inoltre, non possono essere trattati per scopo commerciale o di profilazione e non potranno essere ceduti a terze parti senza autorizzazione.
Con riferimento ai pareri formulati dal Garante per la protezione dei dati personali, di particolare rilievo è quello relativo all’attivazione da remoto di Spid. In tal caso il Garante per la protezione dei dati personali ha individuato misure tecniche e organizzative per garantire un trattamento dati personali conforme alla disciplina, individuando controlli specifici e richiedendo specifici report.
I dati della Pubblica Amministrazione in cloud: sicurezza e qualificazione infrastrutture e servizi cloud
Nell’ambito della digitalizzazione della Pubblica Amministrazione, uno dei punti principali contenuti nel PNRR riguarda la migrazione al cloud della Pubblica Amministrazione.
La “Strategia Cloud Italia” prevede infatti la migrazione dei dati della Pubblica Amministrazione in cloud garantendo elevati standard di sicurezza e affidabilità.
Il cloud svolge così nel processo di digitalizzazione del Paese un ruolo centrale al fine di garantire semplificazione e ottimizzazione della gestione delle risorse IT, riduzione dei costi, e l’introduzione di nuove tecnologie digitali. La migrazione al Cloud permetterà alle Pubbliche Amministrazioni di fornire servizi digitali e di disporre di infrastrutture tecnologiche sicure, efficienti ed affidabili, in linea con i principi di tutela della privacy.
In particolare, la Strategia Cloud Italia ha definito tre direttrici fondamentali:
- creazione del Polo Strategico Nazionale (PSN), intesa come infrastruttura nazionale per l’erogazione di servizi cloud;
- qualificazione di infrastrutture e servizi cloud da parte di fornitori per garantire sicurezza, affidabilità, capacità elaborativa e risparmio energetico;
- classificazione dei dati e dei servizi gestiti dalle pubbliche amministrazioni.
In seguito alla pubblicazione di tale Strategia, sono state emanate specifiche determinazioni riguardanti:
- i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la Pubblica Amministrazione;
- le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la Pubblica Amministrazione;
- le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la Pubblica Amministrazione.
In particolare con la Determinazione AGID n. 628/2021 sono stati definiti a Dicembre 2021 i requisiti minimi, successivamente aggiornati a Gennaio 2022 dalle Determinazioni 306/2022 e 307/2022 adottate dall’Agenzia Cybersicurezza Nazionale, d’intesa con il Dipartimento per la trasformazione digitale.
Nei documenti pubblicati vengono individuate tre diverse tipologie di dati: strategici, critici e ordinari; a partire da tale classificazione, vengono definiti diversi livelli di qualificazione di infrastrutture e servizi cloud per la PA secondo quattro differenti livelli.
Anche con riferimento a tale disciplina, l’Autorità Garante per la Protezione dei Dati Personali ha formulato un parere in cui sono presenti osservazioni e condizioni legate ad aspetti di protezione dati personali.
In particolare tali osservazioni e condizioni riguardano la corretta gestione dei ruoli privacy, il rispetto della normativa per trasferimento dati extra UE, nonché la coerenza delle misure di sicurezza con i principi di protezione dati personali.
Nell’ambito del processo di digitalizzazione della Pubblica Amministrazione NTT DATA offre supporto nell’individuazione di interventi organizzativi e procedurali, nonché di programmazione delle azioni per garantire la conformità, al fine di assolvere gli obblighi previsti dalla normativa vigente nelle tempistiche richieste e affrontare le nuove sfide legate all’innovazione e digitalizzazione del settore pubblico.