Home  › Amministratori e organi

Privacy: regole certe per lo scambio dei dati tra Pa, violazioni da comunicare entro 48 ore

di Roberta Giuliani

Q
E
L Esclusivo per Quotidiano Enti Locali & PA

Alzata l'asticella per la tutela delle banche dati della Pa: il Garante Privacy ribadisce le rigorose misure di protezione per lo scambio delle notizie e obbliga gli enti a comunicare in tempi strettissimi violazioni e incidenti informatici (data breach) che possono mettere a rischio le informazioni personali. La molteplicità di soggetti autorizzati all'accesso, la particolare delicatezza e moltitudine dei dati, ma anche l'esigenza di garantire costantemente esattezza, integrità e disponibilità delle informazioni personali contenute negli archivi, ha spinto il Garante ha emanare il provvedimento del 2 luglio scorso n. 393, ancora non pubblicato sulla Gazzetta Ufficiale, per rafforzare le misure di sicurezza e nel contempo aggiornarle alle nuove modalità di scambio dei dati dettate dall'ultima riforma della Pa (Dl 90/2014).

Regole di scambio dati tra Pa
In attesa che l'Agenzia per l'Italia digitale adotti «gli standard di comunicazione e le regole tecniche», le pubbliche amministrazioni che mettono a disposizione delle altre Pa gli accessi alle proprie banche dati dovranno adottare le rigorose misure tecniche e organizzative individuate nel parere dato all'Agid nel 2013.
Con la modifica del Cad intervenuta a opera dell'articolo 24-quinquies del Dl 90/2014 viene però superato «il pregresso impianto normativo relativo all'accessibilità telematica ai dati»: al posto delle apposite convenzioni aperte all'adesione di tutte le Pa, il nuovo testo dell'articolo 58 del Codice ha previsto che «le pubbliche amministrazioni comunicano tra loro attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa».
Per «ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti o non conformi alle finalità della raccolta dei dati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento» vengono pertanto confermate le severe regole individuate nel parere del 2013, linee guida ora riportate nell'allegato 2 del provvedimento dello scorso 2 luglio.
Le Pa che hanno previsto modalità di accesso non conformi dovranno mettersi in regola entro il 31 dicembre 2015, mentre gli enti che hanno già ottenuto il via libera del Garante alle "vecchie" convenzioni sono esonerate dal nuovo intervento in base al principio della semplificazione amministrativa.

Data breach
Comuni, Province, Regioni, scuole, ministeri, enti pubblici non economici e quelli del Ssn dovranno comunicare al Garante tutte le violazioni o gli incidenti informatici che possono compromettere la sicurezza delle informazioni personali contenuti nelle banche dati entro 48 ore dalla conoscenza del fatto. Le comunicazioni dovranno essere redatte secondo uno schema riportato nell'allegato 1 del provvedimento e inviate tramite posta elettronica all'indirizzo: databreach.pa@pec.gpdp.it.
La mancata comunicazione dei data breach e la non adozione delle misure di sicurezza configurano illecito amministrativo sanzionato con il pagamento di una somma da trentamila euro a centottantamila euro (comma 2-ter dell'articolo 162 del Dlgs 196/2003).


© RIPRODUZIONE RISERVATA