Le figure di responsabilità introdotte dal nuovo Codice dell'Amministrazione Digitale e l'apporto del data protection officer nei processi di digitalizzazione

News 28/08/2012

Avv. Graziano Garrisi – Vice Coordinatore ABIRT – Studio Legale Lisi
pubblicato su Information Security, Anno 3 - Numero 12 - Lug - Ago 2012

Il nuovo Codice dell'Amministrazione Digitale con la sua portata innovativa ha di certo accelerato il processo di digitalizzazione del settore pubblico e privato, introducendo però, nello stesso tempo, anche nuovi adempimenti che richiedono figure sempre più specializzate per essere assolti. Nel CAD (così come appare nella sua nuova formulazione risultante dalle modifiche ad esso apportate dal D. Lgs. 235/2010), infatti, sono contemplate numerose figure di responsabilità, alcune delle quali direttamente disciplinate all'interno del Codice, mentre ad altre si fa solo accenno, rinviando la loro regolamentazione a norme tecniche da emanare in futuro. Tali figure dovranno presiedere alla cura dei seguenti settori: la conservazione sostitutiva o digitale, la continuità operativa, il protocollo informatico, il corretto trattamento dei dati personali e le misure di sicurezza, il coordinamento funzionale dei sistemi informativi e la fruibilità dei dati appartenenti a Pubbliche Amministrazioni. La ratio ivi sottesa appare essere l'esigenza di procedere all'individuazione concreta del soggetto deputato a curare un determinato ambito del diritto delle nuove tecnologie, in modo da risultare quale unico referente in caso di disservizi, anomalie, comportamenti illeciti.

Analizzando le figure direttamente disciplinate dal CAD, sembra giusto cominciare con quella del Responsabile del procedimento di conservazione, disciplinato dagli artt. 44 e ss. del CAD: questa figura, avendo in carico il processo di conservazione e di esibizione della documentazione che si è deciso di conservare a norma, ha il compito principale di attestare il corretto svolgimento del processo di conservazione apponendo, come se fosse un definitivo e autorevole sigillo, la propria firma digitale e un riferimento temporale sul documento conservato o, meglio, sul "lotto" di documenti (o impronte di documenti) da conservare. Il responsabile, inoltre, si rende, nell'ambito della gestione dell'intero iter di conservazione digitale, garante della corretta tenuta dell'archivio secondo princìpi documentati di sicurezza, attraverso l'adozione di procedure di tracciabilità tali da garantire la corretta conservazione, l'accessibilità e l'esibizione dei documenti. L'obiettivo che il responsabile del sistema di conservazione digitale dei documenti deve perseguire è quello di definire e realizzare, attraverso un'opportuna organizzazione delle attività e mediante idonee procedure informatiche, il processo per il trattamento della documentazione soggetta a conservazione sostitutiva.

Accanto alla figura del responsabile della conservazione, poi, il nuovo articolo 44 , comma 1 bis, del CAD stabilendo che "il sistema di conservazione è gestito da un responsabile che opera d'intesa con il responsabile del trattamento dei dati personali di cui all'articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all'articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza" richiama espressamente e la figura del Responsabile del trattamento dei dati personali (di cui al Codice Privacy), auspicando che si svolga un'importante sinergia tra queste nuove figure cruciali nella corretta gestione elettronica dei dati e dei documenti. Si tratta di figure tra loro confinanti che non potranno non collaborare tra loro in modo costante per garantire un continuo controllo e una gestione corretta e sicura dei dati e delle informazioni.

L'altra figura disciplinata dal CAD (art. 17) è quella del Dirigente generale titolare dell'ufficio responsabile del coordinamento funzionale dei sistemi informativi, rientrante nel più generale obiettivo di riorganizzazione e digitalizzazione dell'amministrazione. Il citato articolo individua i compiti spettanti a tale ufficio che sono essenzialmente di organizzazione e coordinamento dello sviluppo dei sistemi informativi, di telecomunicazione e fonia dell'amministrazione e dei servizi, sia interni che esterni, da questi forniti, indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica dei dati, dei sistemi e delle infrastrutture, SPC (Sistema Pubblico di Connettività) compreso, promozione dell'accessibilità agli strumenti informatici anche da parte dei soggetti disabili, revisione dell'organizzazione amministrativa attraverso l'utilizzo delle nuove tecnologie al fine di migliorare l'efficacia e l'efficienza dell'azione amministrativa.

Vi sono poi altre figure che seppur non espressamente previste e disciplinate dal nuovo CAD comunque ad esso sono riconducibili: tra queste vi è quella del Responsabile della Continuità Operativa, introdotta e specificatamente indicata nelle Linee Guida adottate da DigitPA ai sensi dell'art. 50-bis del CAD. Tale articolo, infatti, individua le giuste misure che le pubbliche amministrazioni devono adottare per assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno al normale funzionamento attraverso la predisposizione di piani di emergenza, mostrando come il legislatore abbia preso finalmente coscienza dell'importanza di accompagnare l'intenso utilizzo della tecnologia nell'ambito dell'attività istituzionale degli enti con la predisposizione di misure preventive per combattere eventuali imprevisti o disastri. L'implementazione, il coordinamento e la responsabilità della buona riuscita di tali piani viene affidata alla nuova figura del Responsabile della Continuità Operativa, che dovrà saper gestire tutte le attività finalizzate alle realizzazione e mantenimento del progetto di CO e di DR, lavorando a stretto contatto con il "Comitato di gestione della crisi", organismo di vertice a cui spetta la direzione strategica dell'intera struttura in occasione dell'apertura della crisi e, inoltre, la responsabilità di garantire e controllare l'intero progetto.

Per quanto concerne poi la fruibilità dei dati delle PPAA, viene in rilievo come il combinato disposto degli artt. 50 comma 3, 52 e 58 del CAD ravvisi l'esigenza di individuare, all'interno della PA, una figura di riferimento deputata alla gestione e all'erogazione dei servizi informatici che rendono possibile l'utilizzo in via telematica dei dati di una pubblica amministrazione da parte dei sistemi informatici di altre amministrazioni, secondo le regole del sistema pubblico di connettività, in ossequio anche alla Direttiva n. 14/2011, emanata ai sensi dell'art. 15 della legge n. 183/2011, avente come obiettivo la completa "de-certificazione^"1.

Per una migliore e più sicura gestione del dato digitalizzato, infine, è interessante notare come è previsto che tali figure non agiscano "in solitudine" o comunque in maniera isolata l'una dall'altra; anzi, è necessaria una stretta collaborazione tra soggetti, ciascuno dotato di specifiche competenze, che dovranno esplicare un proprio ruolo nella gestione di questi processi. È dunque espressamente previsto che esse interloquiscano e si coordino, in quanto, seppur facenti capo a distinti ambiti di operatività, i raggi di azione dell'una interferiscono o possono riguardare quelli dell'altra.

Altra figura non specificatamente contemplata nel CAD, ma che sarà di fatto richiamata nella corretta gestione delle politiche di trattamento dei dati personali contenuti negli atti e documenti della PA, è sicuramente quella del "privacy officer" così come contemplato nella prossima riforma della privacy che interverrà a livello europeo; d'altronde, i continui richiami effettuati dal CAD al d.lgs. 196/2003 non ci consentono di non prendere in considerazione anche quest'altra figura di responsabilità, chiamata a svolgere un ruolo molto delicato.

Il "data protection officer" (DPO) infatti, costituirà un elemento di grande novità che, forse, cambierà lo stesso modo di approcciarsi alle tematiche privacy da parte delle pubbliche amministrazioni; inoltre, l'avere una specifica figura o ufficio preposto a gestire e curare tutti gli adempimenti e le scadenze in materia di privacy e misure di sicurezza porterà un beneficio anche nella gestione dei processi di dematerializzazione e digitalizzazione documentale.
Il data protection officer, infatti, occuperà un ruolo trasversale, collaborando in modo costante con tutte le altre figure di responsabilità sopra elencate, per garantire un continuo controllo sui dati e le informazioni pubbliche e l'applicazione corretta della normativa.

Alla luce delle riflessioni e degli obblighi sopra richiamati, pertanto, il fattore "sicurezza" diventa protagonista nell'avvio e nella gestione di un qualsiasi progetto di dematerializzazione e digitalizzazione. Nella PA, in particolare - al centro oggi di importanti processi di cambiamento incentrati sulla gestione elettronica documentale che modificheranno il modo di operare e fornire servizi al cittadino -, non si potrà prescindere dal rispetto di tutta una serie di misure di sicurezza (strettamente collegate a quelle di riservatezza) atte a garantire la correttezza dei processi sia sul piano tecnologico sia su quello normativo.

1 È proprio questa Direttiva a stabilire che ciascuna PA debba individuare e rendere note, attraverso la pubblicazione sul proprio sito istituzionale, le misure organizzative adottate per l'efficiente, efficace e tempestiva acquisizione d'ufficio dei dati e per l'effettuazione dei controlli medesimi, nonché le modalità per la loro esecuzione.

 

Tag: Codice dell\'Amministrazione Digitale, responsabile della conservazione,responsabile del trattamento dati, responsabile continuità operativa, data protection officer