Data protection e PA: un modello integrato o una integrazione di modelli di gestione della compliance

È indubbio che sviluppare le attività di compliance al Regolamento 679/2016/UE all’interno di una pubblica amministrazione abbia delle peculiarità specifiche le quali, se non adeguatamente approfondite, possono comportare l’avvio di procedure inefficaci se non un completo insuccesso dell’azione di adeguamento. Ciò che risulta essere determinante è la conoscenza del quadro normativo che sovrintende alcuni settori particolari dell’attività degli enti, che pur sembrando apparentemente non connessi alle prescrizioni del GDPR possono in alcuni casi fornire criteri per applicare al meglio alcuni principi del Regolamento, in altri casi presentare dei percorsi pratici di adeguamento che presentano delle forti similitudini logiche con le prescrizioni in materia di data protection.

Tale matrice normativa è costituita dai seguenti macro-ambiti (oltre naturalmente al Regolamento 679/2016/UE ed al D.Lgs. 196/2003): norme in materia di procedimento amministrativo (L. 241/1990 ed ulteriori disposizioni in materia), norme in materia di gestione documentale (D.Lgs. 82/2005, D.Lgs. 42/2004, ed ulteriori disposizioni in materia), norme in materia di prevenzione della corruzione e trasparenza (L. 190/2012, D.Lgs. 33/2013, ed ulteriori disposizioni in materia), norme in materia di cybersecurity (Direttiva NIS 1148/2016/UE, D.Lgs. 65/2018, Regolamento 881/2019/UE Cybersecurity Act, L. 133/2019, ed ulteriori disposizioni in materia), norme in materia di “lavoro agile” (art. 263 D.L. 34/2020, convertito con L. 77/2020).

Ognuno dei macro settori elencati prevede la necessità di elaborare singoli modelli di compliance per ottemperare agli adempimenti richiesti dalle norme i quali, pur essendo diversi tra loro, impattano sulle medesime strutture organizzative dell’ente (che devono svolgere specifiche operazioni in ogni modello di compliance), in alcuni casi richiedono di sviluppare attività logiche molto simili (seppur finalizzate ad obiettivi diversi), in altri casi ancora pongono dei principi che fungono da presupposto per l’applicazione di altre norme. 

Ora in tale contesto ciò che verrebbe da chiedersi è se tutti questi modelli di compliance possono essere considerati come “monadi” impenetrabili, completamente autonomi gli uni dagli altri, destinati ad “accatastarsi” gli uni sugli altri nel momento in cui si tradurranno in azioni concrete che le singole unità organizzative dovranno sviluppare. La risposta a questa domanda dovrebbe, ovviamente, essere negativa; sarebbe quindi il caso di avviare una qualche forma di integrazione, ma quale forma di integrazione? L’unica possibilità è quella di avere tra di loro modelli dotati di procedure operative totalmente distinte, che vengono coordinati da una qualche regola comune che ne gestisca l’impatto sulle strutture organizzative, producendo quindi un coordinamento tra diversi modelli, oppure è immaginabile un modello integrato della gestione della compliance a più norme, che preveda procedure ed azioni comuni, connettendo tra di loro i vari ambiti normativi, per produrre poi dei focus specifici in relazione a quanto richiesto dalle singole norme?

A mio parere, da un lato, è possibile seguire la strada della realizzazione di un modello integrato, ma dall’altra ciò rappresenta quasi una necessità obbligata al fine di conseguire soprattutto due obiettivi:

• consentire alle unità organizzative di porre in essere le attività di compliance nel minor tempo possibile, senza repliche e doppioni inutili, consentendo di potersi concentrare sulle funzioni che potremmo definire “core business” di quell’ufficio. Se è vero, infatti, che la compliance rappresenta la modalità corretta di sviluppo dell’azione amministrativa e non “altro” rispetto a questa, non possiamo immaginare che, fatto 100 il tempo di lavoro di una unità organizzativa, 80 venga dedicato alle attività di compliance e 20 al conseguimento del risultato amministrativo che quella unità organizzativa deve raggiungere;
• non produrre risultati in termini di attività di compliance all’interno dei singoli modelli che siano contraddittori tra di loro dal punto di vista logico.

Su quali linee di tendenza dovrebbe essere costruito tale modello integrato? In primo luogo su un’unica procedura di mappatura dei procedimenti e dei processi sviluppati dal singolo ente. Sostanzialmente tutti gli ambiti normativi elencati in precedenza richiedono preliminarmente una mappatura che funga da base per definire cosa fa l’amministrazione, attraverso quali fasi logiche avviene l’azione, quali asset vengono utilizzati. In tale contesto, è innanzitutto opportuno evidenziare che tutti i procedimenti amministrativi propriamente detti (e non stiamo quindi parlando di qualsiasi attività sviluppata dalla PA) rappresentano in realtà dei processi, quindi in tale contesto sarebbe opportuno e più efficace mantenere l’abbinamento tra i due concetti. 

Abbiamo poi una serie di attività sviluppate dalla PA che non possono essere definite procedimenti amministrativi e che andranno quindi mappate in una logica di processo, spesse volte trasversale (anche a più unità organizzative), e non di elencazione delle singole competenze di ogni ufficio volta a trasformare tale competenza in un processo a sé stante. La mappatura degli elementi essenziali dei procedimenti e dei processi dovrebbe essere auspicabilmente unica per tutto l’ente e dovrebbe essere ottenuta attraverso un iter procedurale progettato per poter poi arricchire tali elementi essenziali con quelle peculiarità che si renderanno necessarie per sviluppare i focus previsti dalle singole norme (ad esempio in ambito data protection la definizione dei registri dei trattamenti, in ambito smart working l’elaborazione del piano del lavoro agile, in ambito anticorruzione l’oggetto su cui verrà sviluppata l’analisi del rischio, in ambito digitalizzazione l’elenco dei processi digitalizzati ed ancora da digitalizzare, etc.).

Anche l’iter di sviluppo dell’analisi dei rischi, richiesta da moltissime norme come quelle in materia di data protection, di prevenzione della corruzione, di cybersecurity, non può essere immaginato come un percorso in cui i rischi e le misure di prevenzione inquadrati in un ambito siano sempre e comunque indipendenti da quelli immaginati in altri contesti normativi. Ci sono azioni infatti che rappresentano misure di prevenzione in ogni ambito (soprattutto quelle di natura tecnologica), magari caratterizzate da percentuali di abbattimento dei singoli rischi che siano diverse a seconda del rischio specifico e dell’ambito normativo a cui lo stesso afferisce; inoltre anche le metodologie di calcolo del livello di rischio, di incidenza delle misure e l’iter di monitoraggio delle stesse dovrebbero essere gestite con criteri comuni che consentano di ottenere un quadro globale sul singolo processo attraverso il quale effettuare raffronti ed interpretazioni dei dati. Inoltre, per quanto concerne le misure di sicurezza/prevenzione di natura tecnologica vanno sviluppati gli opportuni criteri di conciliazione tra la logica dell’analisi del rischio e quella delle misure minime AGID.

Per quanto concerne il tema della gestione documentale, i punti di integrazione da sviluppare con gli altri ambiti normativi sopra elencati sono sicuramente quelli relativi ai tempi di conservazione dei documenti previsti nei massimari di scarto, che devono fungere da criterio anche in termini di data retention dei dati, oltre che le regole di formazione, gestione, archiviazione e conservazione dei documenti (digitali e cartacei) che hanno dei risvolti diretti sui modelli inerenti la data protection, la cybersecurity e l’anticorruzione.

Inoltre va sviluppata una correlazione tra procedimenti e processi, tipologie documentarie prodotte e ricevute nel contesto del processo, fascicoli/aggregazioni documentali attraverso cui i documenti verranno archiviati e trattamenti di dati personali, al fine di gestire in maniera coordinata anche la tematica della pubblicazione dei documenti (all’albo e/o nell’area amministrazione trasparente) e le conseguenze in ambito data protection di una diffusione di dati personali.

Si ritiene inoltre utile immaginare procedure di gestione dei data breach che siano coordinate, sia per quanto attiene le policy in materia di GDPR che per quanto consta in termini di obblighi di cybersecurity nei confronti delle Autorità competenti.

Il percorso descritto nel presente articolo è sicuramente complesso, ma si ritiene sia l’unico possibile per immaginare che tutti gli adempimenti previsti dalle varie norme si trasformino in un incremento dell’efficacia e dell’efficienza della PA percepito anche dai cittadini, non rappresentando invece un ulteriore elemento volto a consolidare la linea di pensiero della eccessiva burocratizzazione della Pubblica Amministrazione italiana.