Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

BANCHE DATI DELLA PA PIÚ INTERCONNESSE E PIÚ SICURE

di Graziano Garrisi

Garante della Privacy – Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche – del 2 luglio 2015

Le pubbliche amministrazioni che intendono mettere a disposizione delle altre PA gli accessi telematici alle proprie banche dati, in attesa della definizione degli “standard di comunicazione e le regole tecniche” da parte dell’Agenzia per l’Italia digitale (Agid), dovranno adottare le misure di sicurezza fissate dal Garante privacy. Il provvedimento in commento del Garante riafferma le misure tecniche e organizzative individuate nel parere dato all’Agid nel 2013.

 


 

Il 2 luglio 2015 il Garante Privacy ha emanato un provvedimento recante le “misure di sicurezza e le modalità di scambio dei dati personali tra amministrazioni pubbliche”. Tale provvedimento ha l’obiettivo di garantire l’esattezza, l’integrità e la disponibilità dei dati personali contenuti nelle banche dati delle PA e contrastare i rischi di accesso abusivo o non autorizzato o di trattamento non consentito.

In argomento va rilevato che l’articolo 58, comma 2 del CAD è stato di recente modificato dal DL 24 giugno 2014 n.90, il quale ha previsto che le Pubbliche Amministrazioni debbano comunicare tra loro attraverso la messa a disposizione alle altre amministrazioni, a titolo gratuito, degli accessi alla proprie basi di dati mediante la cooperazione applicativa di cui all’articolo 72, comma 1, lettera e). Inoltre, “l’Agenzia per l’Italia Digitale – di seguito AgID – sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, definisce entro novanta giorni gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni devono conformarsi”.

L’Autorità garante, dunque, ritiene che nelle more della definizione da parte di AgID dei citati standard di comunicazione e delle regole tecniche, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti o non conformi alle finalità della raccolta dati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento ai sensi dell’articolo 31 del Codice Privacy (Dlgs 30 giugno 2003, n. 196), sia opportuno confermare le misure organizzative già precedentemente individuate e riportate nell’allegato 2 del provvedimento in esame.

Di grande rilievo è certamente la previsione dell’obbligo di comunicazione all’Autorità Garante – entro 48 ore dalla conoscenza del fatto – di tutte le violazioni di dati o incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati, c.d. data breach (comunicazione, questa, che deve essere effettuata mediante lo schema riportato nell’allegato 1 del provvedimento stesso). Tale nuovo adempimento, a ben vedere, non è altro che un’estensione di alcuni adempimenti ad oggi previsti dagli articoli 32 e 32-bis del Codice Privacy solo nei confronti dei fornitore di servizi di comunicazione elettronica accessibili al pubblico, che anticipa di fatto quanto già previsto nella bozza della nuova Regolamentazione Europea in fase di approvazione.

Passando all’analisi delle misure necessarie contenute nell’allegato 2, esse prevedono diversi punti meritevoli d’attenzione.

Per ciò che attiene alla modalità d’accesso, alle pubbliche amministrazioni che rendono disponibili ad altre pubbliche amministrazioni i dati in loro possesso è consentito di utilizzare sia l’accesso via web – ad esempio mediante il sito istituzionale dell’ente erogatore – sia l’accesso in modalità di cooperazione applicativa, disciplinata dall’articolo 72 del Codice dell’Amministrazione Digitale. Alle amministrazioni è, inoltre, consentito di utilizzare modalità di accesso telematico alternative, come la posta elettronica certificata – quando la frequenza di acquisizione del dato è limitata e la mole di dati da trasferire è modesta – e soluzioni di trasferimento file in modalità FTP, a condizione che siano presenti rilevanti vantaggi economici o che la situazione infrastrutturale e organizzativa non renda possibile l’utilizzo delle altre modalità individuate, e che tali circostanze siano adeguatamente documentate.

 

…continua su EDICOLeA e sull’APP gratuita (iOSAndroid)

 

 


 

Altri articoli di Graziano Garrisi

cookie-privacy OBBLIGO DI CONSENSO DELL’UTENTE PER L’INSTALLAZIONE DI COOKIE DI PROFILAZIONE -
di Graziano Garrisi e Stefano Frontini (N. I_MMXV)
Stop all’installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga online potrà quindi decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata. Lo ha stabilito il Garante privacy con un provvedimento generale nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa online sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.
Translate »