MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Utilizzo della messaggeria istantanea nello smart working alla prova della tutela dei dati
"Bring your own device" anche nella PA durante l'emergenza Coronavirus: ma quali sono le criticità che si palesano in termini di tutela dei dati personali e legittimità dell'azione amministrativa?

di NICOLA TONVERONACHI (dal Sole 24 Ore) – In collaborazione con Mimesi s.r.l.

Durante i mesi della pandemia, l’impiego di strumenti di smart working nella Pubblica Amministrazione è stato fortemente incentivato, sia dal Legislatore ordinario che dall’Agenzia per l’Italia digitale. Da un lato, è stata agevolata l’acquisizione degli strumenti informatici (in particolare, grazie all’articolo 75 del Dl 18/2020) che diventa possibile, fino al 31 dicembre 2020, senza gara d’appalto, mediante una procedura negoziata con 4 operatori economici, di cui almeno una start-up innovativa o una piccola e media impresa innovativa. Dall’altro l’Agid ha adottato due importanti direttive (le nn. 1 e 2 del 2020), con le quali ha disposto, per tutte le Pa in base all’articolo 1, comma 2, del Dlgs 165/2001, che la modalità ordinaria di svolgimento della prestazione del dipendente pubblico sia costituita dal telelavoro, da esser sostituito poi con il lavoro agile, caratterizzato da orari e modalità più flessibile. Agid ha aggiunto che i dipendenti delle Pa potranno utilizzare «propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole Pubbliche Amministrazioni».

Dunque, malgrado gli incentivi del Legislatore all’acquisto di Ict (qualificate e di dominio pubblico), molti enti hanno preferito scegliere la soluzione più facile ed economica, come WhatsApp, traducendo nel Settore pubblico il principio privatistico del bring your own device. Si pone però un problema, che risiede nel fatto che WhatsApp è un’applicazione utilizzata dalla persona fisica (col proprio smartphone) e solo in un secondo momento diventa lo strumento lavorativo del dipendente pubblico, a caratteristiche invariate.
Ecco perché questa scelta comporta dei rischi dal punto di vista della privacy, degli «adeguati livelli di sicurezza» richiesti e dei principi di trasparenza ed efficacia dell’azione amministrativa (articolo 1, comma 1, legge 241/1990). Rischi ben evidenziati lo scorso marzo anche dal Garante tedesco, Ulrich Kelber, che ha sconsigliato l’impiego di WhatsApp alle Autorità federali della Germania.
Si pensi alla graduatoria di un concorso, che venga condivisa sul “gruppo” dell’ufficio competente, al cui interno ci siano persone non autorizzate a prendere visione dei dati personali in essa contenuti. Ovvero, alla totale assenza di un consenso da parte dei cittadini coinvolti dall’azione amministrativa, svolta mediante WhatsApp, a quella peculiare modalità di trattamento. Ancora, alla bassa capacità di agire in modo trasparente attraverso un’applicazione che cripta le conversazioni end-to-end e consente il trasferimento dei metadati (a esse relativi) presso terze parti private (ossia, le multinazionali Facebook Inc. e WhatsApp). Oppure, alla mancanza di una «valutazione di impatto» (articolo 35 del Gdpr), obbligatoria in presenza di trattamenti massicci di dati personali riguardanti i diritti fondamentali dei cittadini. Si pensi infine all’evidente promiscuità di accessi, di persone autorizzate e non, di documenti privati e pubblici, nonché all’impossibilità di distinguere titolari e responsabili di trattamento nel corso delle attività istruttorie degli enti.

Aspetto ancor più problematico è il trasferimento in backup automatico di tutte le conversazioni del dipendente pubblico, che hanno a oggetto molteplici interessati e relativi dati personali (comuni e sensibili), presso un cloud server (con un autonomo responsabile di trattamento, che risponde al titolare-Facebook o WhatsApp e non all’ente che svolga l’istruttoria); oppure verso le altre società del Gruppo Facebook e la stessa «casa madre». In linea teorica, questa «comunicazione a terzi» sarebbe lecita solo se acconsentita da parte dell’interessato-cittadino (articolo 49 del Gdpr), ovvero necessaria alla tutela di importanti motivi di interesse pubblico (che in molti casi potrebbe non sussistere).

Infine, neanche la rigida crittografia end-to-end può proteggere del tutto i dati personali delle conversazioni. Come ha fatto presente il Garante tedesco, questa crittografia non “copre” i metadati dei messaggi di WhatsApp, che quindi possono essere letti e raccolti da Facebook Inc. e dalle altre società del gruppo, per le finalità più disparate (ed ignote). Questa mole di informazioni permette, in ultima istanza, di profilare, sia i dipendenti pubblici, sia i cittadini-utenti, senza che ne siano a conoscenza. Al contrario, il Gdpr (articolo 22), di regola vieta la profilazione (salvo ci sia una base giuridica adeguata o il consenso del soggetto interessato).

Se certe applicazioni fossero proprio necessarie nel settore pubblico, sarebbe meglio adottarne di più privacy friendly, come Signal, gratuita e open source. Una App che persino la Commissione europea ha indicato ai propri dipendenti come strumento di messaggistica istantanea. Ma forse la soluzione sta più a monte.
Probabilmente, un ripensamento di quanto necessario per rendere applicabile il lavoro agile nella PA appare cruciale. Adesso come in futuro.
Tamponare l’attuale emergenza con strumenti di messaggistica istantanea non basta. Sono necessari investimenti e misure stabili per la digitalizzazione della PA, mediante cloud and software as a service, qualificate da Agid e di dominio pubblico. Non solo per il raggiungimento di una migliore tutela dei dati personali (di cittadini e dipendenti pubblici), ma anche per garantire la legittimità dell’azione amministrativa.