La protezione dei dati negli Enti locali: le lezioni che abbiamo imparato
di LUISA DI GIACOMO*
Il 6 luglio 2023, il Garante per la Protezione dei Dati Personali, come ogni anno, ha presentato la propria relazione sull’attività svolta, fornendo al contempo il resoconto del suo operato e indicazioni per il futuro. Sulla base degli aspetti che vengono posti sotto la lente del Garante, infatti, aziende ed enti locali possono capire quali sono gli argomenti su cui concentrarsi quando si parla di protezione dei dati e cybersecurity.
In occasione della pausa estiva, questa rubrica, che intende fornire sempre utili spunti pratici e concreti, vuole fare una panoramica, partendo proprio dalla relazione del Garante, sui punti di attenzione per tutti gli enti locali. Si tratta di accorgimenti di cui abbiamo parlato più volte nel corso di questi articoli e si tratta di “lezioni” che abbiamo avuto modo di imparare, non solo leggendo la Gazzetta degli Enti Locali, ma altresì seguendo i numerosi fatti di cronaca degli ultimi mesi, non solo in materia di attacchi cyber alle pubbliche amministrazioni (l’ultimo in ordine di tempo alla ASL Abruzzo 1), ma anche di sanzioni irrogate proprio dall’Autorità per la protezione dei dati personali per il mancato rispetto delle norme sancite dal GDPR.
Attraverso questa breve carrellata, possiamo acquisire importanti nozioni utili per evitare errori e mantenere in ente un sistema di gestione dei dati conforme ed efficace.
Le lezioni generali che possiamo trarre, soprattutto in vista dello spazio sempre più preponderante che l’intelligenza artificiale sta assumendo nel nostro lavoro quotidiano, sono quelle di mantenere un approccio etico nei riguardi della tecnologia, con l’essenziale capacità di tenere l’uomo al centro di ogni processo e decisione, conservando lo spirito critico e innovatore che ci permetterà non di essere “licenziati” dai robot e dall’intelligenza artificiale, ma al contrario di trovare in lei (e nella tecnologia in generale) un’ottima alleata per il nostro lavoro quotidiano.
Ecco quindi, partendo dalla relazione del Garante, quattro punti di attenzione su cui gli enti possono “concentrarsi” quest’estate.
Accesso alla posta elettronica: gestione nel rispetto dei lavoratori, corretta gestione delle credenziali
L’accesso all’account di posta elettronica è una questione di cruciale importanza per la protezione dei dati personali dei lavoratori e degli utenti in generale. Le e-mail sono spesso utilizzate per comunicazioni sensibili e contengono informazioni personali; pertanto, la loro gestione deve essere trattata con la massima attenzione e rispetto della privacy.
Non solo, ma la posta elettronica, pur avendo la qualifica di “dato personale” è, di fatto, uno strumento di lavoro che appartiene all’azienda, e potrebbe quindi dare luogo a problematiche significative in caso di cessazione, per qualsiasi motivo, del rapporto di lavoro tra dipendente ed ente. La giurisprudenza ha dimostrato un chiaro orientamento a favore della tutela dei lavoratori, con il Garante per la Protezione dei Dati Personali che ha sanzionato le azioni illecite dei datori di lavoro nei confronti dei dipendenti.
Uno dei punti fermi ribaditi dal Garante riguarda l’informazione esaustiva dei lavoratori riguardo al trattamento dei loro dati. I dipendenti devono essere pienamente informati su come vengono trattati i loro dati personali, compreso l’accesso all’account di posta elettronica da parte di soggetti diversi ed eventualmente del responsabile diretto, sempre nel rispetto dei diritti fondamentali.
Esempi riportanti nella relazione del Garante: una società ha improvvisamente impedito a un suo agente l’accesso alla casella di posta, senza alcun preavviso o comunicazione successiva. In questo caso, il Garante ha sottolineato l’importanza di informare adeguatamente il lavoratore e garantire i suoi diritti di accesso ai dati personali. L’assenza di comunicazioni e l’improvviso blocco dell’account hanno costituito un trattamento illecito dei dati personali del lavoratore; altro esempio, l’ex presidente di un’associazione di volontariato, espulsa dall’organizzazione, e il blocco dell’account di posta elettronica precedentemente fornito dall’associazione. Il Garante ha rilevato l’importanza di garantire l’accesso (anche temporaneo) alla casella di posta elettronica, poiché la libertà della corrispondenza è tutelata dalla Costituzione. Consentire l’accesso all’account avrebbe permesso all’interessato di recuperare documenti e informazioni personali utili per opporsi al provvedimento di espulsione e ricostruire la propria attività di socio.
L’altro lato della medaglia riguarda invece la formazione che l’ente ha il dovere di erogare ai propri dipendenti per la corretta gestione degli account di posta: essere in grado di riconoscere in maniera autonoma una minaccia informatica e di gestirla potrebbe risparmiare tempo, denaro e ingenti danni a qualsiasi amministrazione.
Gestione dei cookie e strumenti di tracciamento
Al di là delle azioni di attivismo digitale di Monitora PA e associazioni simili, di cui abbiamo già parlato in questa rubrica, dopo l’entrata in vigore delle nuove linee guida del Garante sui cookie e gli altri sistemi di tracciamento, il tema è diventato di particolare rilevanza per garantire la protezione dei dati personali.
Il sito internet di un ente locale rappresenta la sua vetrina verso il mondo e per questo motivo, oltre a dover comunicare tramite protocollo sicuro (non c’è quasi niente di peggio che vedere il sito di una PA che presenta la dicitura “non sicuro” sulla barra degli indirizzi. Il protocollo deve essere https: i certificati SSL costano poco e risparmiano all’ente molti problemi) deve essere in regola con i sistemi di tracciamento e con le informative relative.
Nel caso delle pubbliche amministrazioni, è particolarmente importante garantire che il consenso sia ottenuto in modo libero, specifico e informato. L’utente deve essere pienamente consapevole di quali cookie vengono utilizzati, a quale scopo e come può revocare il consenso in qualsiasi momento. La pratica comune di “costringere” l’utente ad accettare i cookie per accedere a contenuti o servizi può essere problematica dal punto di vista della conformità con il GDPR. Il consenso deve essere un atto volontario e non condizionato all’accesso ai contenuti o ai servizi. Mantenere una gestione trasparente e corretta dei cookie e delle attività di profilazione è essenziale per garantire la fiducia dei cittadini nel trattamento dei loro dati da parte delle istituzioni pubbliche.
Il Garante per la Protezione dei Dati Personali sta attivamente monitorando la conformità dei siti web, incluso quelli delle pubbliche amministrazioni, e valutando eventuali interventi per garantire che le prassi seguite siano in linea con il GDPR e le linee guida sul trattamento dei cookie. Pertanto, è fondamentale per gli enti locali tenere monitorata la conformità legale dei propri siti web e assicurarsi di adottare idonei meccanismi per ottenere il consenso dell’utente per il trattamento dei dati tramite cookie (in questo, le linee guida di AgID sono di grande aiuto).
Scelta dei fornitori
Nella PA troppo spesso il criterio di scelta di un fornitore è quello dell’offerta economicamente più vantaggiosa. Ma, senza andare a scomodare i proverbi popolari, non sempre la scelta più economica si rivela la più vantaggiosa, sul lungo periodo.
È invece fondamentale prestare molta attenzione agli errori, malfunzionamenti, obsolescenza e anomalie che possono verificarsi nella gestione dei dati personali. Anche se non sono intenzionali, tali errori possono avere conseguenze gravi sia sulla reputazione che sulla conformità legale dell’ente.
Inoltre, è importante tenere presente che gli errori e i malfunzionamenti non riguardano solo le competenze dirette dell’Ente locale, ma possono anche essere causati da fornitori che operano nel ruolo di Responsabili del trattamento dei dati: scelta dei fornitori di sistemi IT, di siti web, fornitori di servizi che implicano il trattamento dei dati e soprattutto la scelta del Data Protection Officer devono essere compiute con criterio, guardando all’affidabilità del fornitore, alla sua compliance alla normativa GDPR, alla sua preparazione e professionalità (nel caso del DPO).
Violazione dei diritti degli interessati
Le attività sanzionatorie del Garante si sono rivolte soprattutto alle aziende private che trattano dati online su larga scala. E tuttavia, date le grandi violazioni di dati che le pubbliche amministrazioni hanno subito in questo ultimo anno (che si conferma essere annata nera per il pubblico, preso di mira dagli attacchi cybercriminali in quanto non solo soggetto particolarmente debole, ma anche particolarmente ricco di dati personali), gli Enti locali hanno tutto da guadagnare nel rafforzare le proprie misure di sicurezza cyber per impedire la perdita o il furto di dati personali e tutelare i diritti e le libertà fondamentali degli interessati.
Assessment continui, aggiornamento dei sistemi, acquisto di software di protezione, revisione e miglioramento delle policy di back-up, formazione del personale nel riconoscere in maniera autonoma le minacce, adozione di specifiche procedure in prevenzione e prontezza nelle reazioni in caso di data breach (con inclusa la procedura per il disaster recovery): sono tutti elementi di cui abbiamo parlato lungamente in questa rubrica e tutti meriterebbero ulteriori approfondimenti e analisi dettagliate, perché potrebbero fare la differenza tra un attacco di successo e un attacco che invece viene respinto al suo mittente senza danni per l’Ente.
Peraltro, ricordiamo che il cybercrime non va in vacanza e che anzi il mese di agosto, quando la soglia di attenzione scende e gli enti lavorano a personale ridotto, può rappresentare un’esca ghiotta per chiunque voglia fare “scorta” di dati personali da rivendere illegalmente (regione Lazio docet): il rischio zero non esiste, è vero, ma questo non deve può e non deve costituire una scusa per abbassare la guardia.
Le violazioni dei diritti degli interessati rappresentano una preoccupazione di rilievo per le pubbliche amministrazioni ed enti locali, soprattutto quando coinvolgono trattamenti di dati su larga scala. Il Garante ha preso provvedimenti contro grandi società tech, come Clearview AI, Clubhouse e TikTok, per violazioni riguardanti il trattamento di dati biometrici, la conservazione indiscriminata di registrazioni vocali e l’uso di pubblicità personalizzata senza il consenso degli utenti. Le pubbliche amministrazioni ed enti locali devono apprendere da questi casi e implementare una valutazione di impatto per identificare e prevenire eventuali rischi nel trattamento dei dati.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
© RIPRODUZIONE RISERVATA
