Il diritto alla protezione dei dati personali nella pubblica amministrazione.

Condividi

Anticipiamo alcuni dei temi del convegno dal titolo Data Protection Day, che  Data Protection Law ha organizzato insieme alle associazioni Porzio, Anai e Alpha Lawyers, con il patrocinio del Comune di Portici e del Consiglio dell’Ordine degli avvocati di Napoli, e con la partnership mediatica di IusLaw Web Radio, la radio dell’avvocatura.

L’evento, programmato per venerdì 20 dicembre, ore 17.00, nella splendida cornice della Reggia di Portici, tratterà proprio il tema della governance della protezione dati nella pubblica amministrazione.

data protection day

Sono trascorsi esattamente 129 anni, da quando il 15 dicembre 1890 gli avvocati statunitensi Samuel Warren e Louis Brandies pubblicarono sulla Harvard Law Review un articolo denominato “The right to privacy”. In tale saggio venne invocato per la prima volta il diritto alla privacy, definito come “right to be let alone”, ovvero diritto di essere lasciato solo.

L’ispirazione di questo saggio deriva dall’esperienza personale degli autori che erano in procinto di intentare una causa contro un giornale che era solito pubblicare – ai fini di gossip- fotografie delle feste mondane della borghesia.

Pertanto, storicamente, il diritto alla protezione dei dati personali nasce come corollario del diritto alla riservatezza e si estende, in particolare, con lo sviluppo delle comunicazioni elettroniche, degli strumenti di archiviazione dei dati e più in generale della tecnologia. Con l’avvento di Internet, infatti, i dati personali vengono raccolti in tempi sempre più rapidi e a costi più bassi, generando un potenziale infinito di informazioni che necessitano di una tutela.

Con riferimento alla pubblica amministrazione, si stanno verificando, sempre più spesso, attacchi cybernetici cd. ransomware. In particolare, nel corso del 2019, sono state prese di mira nel mondo almeno 174 istituzioni comunali e oltre 3000 organizzazioni collegate con un amento del 60% rispetto al 2018.

Il termine Ransomware deriva dal vocabolo ransom (riscatto); infatti, il gruppo di cybercriminali, che colpisce da diversi anni utenti e aziende di tutto il mondo, agisce introducendo un virus nel dispositivo, criptando i dati rendendoli illeggibili al proprietario, che per tornare in possesso utenti o aziende devono pagare un riscatto. Le richieste di riscatto, talvolta, raggiungono somme fino a 5 milioni di dollari.

È stato stimato che le vittime comunali degli attacchi cybernetici tendono a corrispondere i riscatti richiesti; ciò in quanto il blocco di un qualsiasi servizio si tradurrebbe non solo in perdite finanziare ma anche nel blocco dei servizi ai cittadini. Infatti, i danni – a seguito di un data breach comunale – potrebbero essere devastanti ed i Sindaci, in qualità di titolari del trattamento del comune, devono necessariamente tenerne conto.

Emerge la necessità di un intervento preventivo delle pubbliche amministrazioni al fine di minimizzare la possibilità di tali attacchi. Più precisamente, occorre che le p.a. investano in soluzioni di sicurezza, backup collaudate e regolari controlli di sicurezza. Una modalità di prevenzione che potrebbe risultare decisiva fa riferimento anche all’assunzione – oltre al Data protection officer – di personale qualificato nella pubblica amministrazione (principalmente in ambito informatico e giuridico) che abbia una certa esperienza in campo privacy e cyber security e che segua corsi continuamente che possano aggiornare le proprie conoscenze. Una corretta e continua formazione, infatti, garantirebbe ai dipendenti della p.a. una consapevole conoscenza delle procedure di prevenzione e di intervento. Inoltre, si ritiene che la pubblica amministrazione – in particolare i Comuni – debbano dotarsi di policy e regolamenti di condotta per i dipendenti, nonché adottare le misure informatiche più adeguate, quali ad esempio: la rimozione di virus; la modifica delle password; aggiornare regolarmente il software antivirus; cittografare la trasmissione dei dati su reti pubbliche; sviluppare sistemi sicuri in ossequio ai principi di privacy by design e by default; limitare l’accesso ai dati solo al personale che ne abbia reale bisogno; adottare criteri per la protezione delle informazioni.

Livia Aulino 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *