Pubblica amministrazione - Generalità, varie -  Tonutti Stefania - 28/07/2015

BANCHE DATI DELLA P.A: LE MISURE DEL GARANTE PRIVACY Stefania TONUTTI

 

Le pubbliche amministrazioni che intendono mettere a disposizione delle altre Pa gli accessi telematici alle proprie banche dati, in attesa della definizione degli "standard di comunicazione e le regole tecniche" da parte dell'Agenzia per l'Italia digitale (Agid), dovranno adottare le misure di sicurezza fissate dal Garante privacy. Il provvedimento, in corso di pubblicazione nella Gazzetta ufficiale, riafferma le misure tecniche e organizzative individuate nel parere dato all'Agid nel 2013:

Il provvedimento del Garante, datato 2.7.2015, doc web n. 4129029, in corso di pubblicazione nella Gazzetta ufficiale, riafferma le misure tecniche e organizzative individuate nel parere dato all'Agid nel 2013.

Entro il 31 dicembre 2015 dovranno mettersi in regola le amministrazioni che hanno previsto modalità di accesso non conformi a quanto previsto dal Garante nel 2013. Esulano dall'intervento odierno le amministrazioni che hanno già sottoposto le modalità di accesso alle banche dati all'esame del Garante nell'ambito di specifici provvedimenti.

Il Garante inoltre, per innalzare ulteriormente i livelli di tutela dei dati, ha prescritto che le amministrazioni dello Stato – compresi gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti pubblici non economici – devono comunicare allo stesso Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli incidenti informatici (i cosiddetti "data breach") che possono avere un impatto significativo sui dati personali contenuti nelle banche dati.

L'accesso telematico può avvenire in due modi soltanto:

- Via web: qui è prevista l'attribuzione di credenziali individuali (ad esempio, applicazione con accesso interattivo via web), le convenzioni devono predefinire una procedura per il rilascio delle utenze e la gestione delle autorizzazioni degli utenti che coinvolga attivamente le figure apicali degli uffici interessati e un unico supervisore. L'elenco dei soggetti incaricati da abilitare all'accesso alla banca dati deve essere allegato alla convenzione, ovvero comunicato entro un termine ivi stabilito, e costantemente aggiornato dal responsabile della convenzione.

- In modalità di cooperazione applicativa: i web services devono essere integrati soltanto in applicativi che gestiscono procedure amministrative volte al raggiungimento delle finalità istituzionali per le quali è consentita la comunicazione delle informazioni contenute nella banca dati. Devono essere, quindi, possibili unicamente accessi per le finalità per le quali è stata realizzata la convenzione alle sole informazioni pertinenti e non eccedenti rispetto alla finalità istituzionale perseguita dalla convenzione.

Le amministrazioni possono utilizzare modalità alternative, laddove si presentino documentabili vantaggi economici o la situazione infrastrutturale e organizzativa non consenta l'adozione di quelle sopra riportate, e sono:

- posta elettronica certificata, nei casi specifici, quando la periodicità di acquisizione del dato è limitata (in linea di massima una volta all'anno o meno) e la quantità dei dati da acquisire è contenuta;

- soluzioni di "Trasferimento di File" in modalità FTP "sicuro" o equivalente dal punto di vista della sicurezza del trasporto

Premesso che la convenzione (ovvero qualsivoglia atto bilaterale stipulato tra EROGATORE e FRUITORE al fine di stabilire le condizioni e le modalità di accesso ai dati) è lo strumento in cui le amministrazioni possono stabilire le garanzie - anche nei confronti dello stesso erogatore - a tutela del trattamento dei dati personali e dell'utilizzo dei sistemi informativi.

La selezione delle informazioni personali oggetto di accesso deve avvenire nel rispetto dei principi di pertinenza e non eccedenza . Rispetto ad una medesima banca dati devono essere, infatti, prefigurati diversi livelli e modalità di accesso che offrano al fruitore unicamente i dati necessari per le proprie esigenze istituzionali.

Le modalità di accesso alle banche dati devono essere, pertanto, configurate offrendo un livello minimo di accesso ai dati; livelli di accesso gradualmente più ampi possono essere autorizzati soltanto a fronte di documentate esigenze del fruitore da indicare in convenzione.

È chiaro, inoltre, che per ciascun fruitore possono essere individuate più modalità di accesso ad una medesima banca dati in relazione alle diverse funzioni svolte dai propri operatori per il perseguimento della medesima finalità, modulando così il livello di accesso ai dati. L'erogatore deve, infatti, far sì che sia consentita, per quanto più possibile, la segmentazione dei dati visualizzabili.

L'elenco di ciascuna banca dati deve essere sempre aggiornato e l'erogatore deve altresì verificare, con cadenza periodica annuale, l'attualità delle finalità per cui ha concesso l'accesso ai fruitori.

Il fruitore, in quanto titolare del trattamento dei dati, deve dare attuazione a quanto previsto dagli artt. 29 e 30 del Codice della privacy, in materia di designazione degli incaricati del trattamento e eventuale designazione del responsabile del trattamento, garantendo che l'accesso ai dati sia consentito esclusivamente a tali soggetti.

Nel caso di dati sensibili e giudiziari, essi devono essere opportunatamente cifrati.

Tra le altre novità: la redazione da parte della Pa erogatrice di un documento, costantemente aggiornato, con l'elenco delle banche dati accessibili e i dati disponibili ai fruitori esterni; il divieto per il soggetto pubblico fruitore di estrarre dati in via automatica e massiva e di creare nuove banche dati

Il allegato il modello di segnalazione da compilare ed inviare al Garante in caso di violazioni