Dopo ogni data breach della Pubblica Amministrazione emergono interrogativi circa lo stato della sicurezza. Fin troppo spesso si indica erroneamente il DPO come corresponsabile. Certamente, questi può esserlo ma solo in caso di omessa sorveglianza dell’adeguata gestione della sicurezza così come dell’effettiva applicazione delle misure indicate all’interno del registro dei trattamenti e verifica di attuazione di un eventuale piano di implementazione.
Operativamente parlando come può intervenire nel campo della sicurezza il DPO per svolgere adeguatamente la propria funzione di sorveglianza all’interno delle organizzazioni che svolgono la propria attività in ambito pubblico? Occorre valutare tanto gli asset tecnologici quanto il fattore umano nel computo dei rischi e del trattamento degli stessi, così da poter esprimere un parere circa l’adeguatezza delle misure adottate.
Prima di tutto, va considerato che esiste un elenco delle misure di sicurezza ICT per le pubbliche amministrazioni pubblicate dall’AgID nel 2017. Partendo da tale documento è possibile ricavare una lista di controllo da condividere con i responsabili di servizio interni per il monitoraggio interno nonché gli eventuali fornitori per un più ampio controllo di supply chain. Se non è individuato un responsabile del modulo di implementazione o se altrimenti le misure indicate come minime (per cui “ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme”) non presentano evidenze di attuazione, il DPO deve segnalare la non conformità relativa alle indicazioni della circolare 18 aprile 2017, n. 2/2017.
L’adeguatezza della sicurezza ICT deve essere però valutata non con riferimento alle misure minime ma tenendo conto del contesto e dei rischi, facendo riferimento a livelli di implementazione ulteriori. La stessa AgID precisa che il livello di attuazione indicato come standard vale “come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana”, mentre il livello avanzato “deve essere adottato dalle organizzazioni maggiormente esposte a rischi” ed è “obiettivo di miglioramento da parte di tutte le altre organizzazioni”. Pertanto, la verifica di conformità della sicurezza del trattamento può ben fare riferimento a tali livelli, traducendoli in “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.” (art. 32.1 lett. d) GDPR).
Se molto è possibile ricavare già da norme prescrittive per la sicurezza ICT, per garantire un’adeguata sorveglianza il DPO deve saper guardare anche a tutte quelle informazioni personali che si collocano al di fuori dell’infrastruttura tecnologica. Per quanto tali archivi siano destinati ad una progressiva riduzione in ragione dei processi di digitalizzazione della PA, fintanto che esisteranno dovrà essere garantita e comprovata la loro confidenzialità, integrità e disponibilità.
