Fra cybersecurity e GDPR nella pubblica amministrazione: occorre un gioco di squadra
Con la recente approvazione della legge sulla cybersicurezza si rafforza la sicurezza informatica nazionale e sono rese più pesanti le sanzioni per i reati sul web.
Viene anche prevista, per le pubbliche amministrazioni, l’obbligo di nomina di un referente per la cybersicurezza (art. 8), che va a rafforzare la squadra di esperti chiamati a presiedere diversi aspetti del sistema organizzativo.
Limitandoci alla PA, possiamo contare su una miriade di referenti, a sottolineare la complessità che connota la realtà odierna. Volendo fare un censimento dei più rilevanti, quasi una squadra di calcio anzi di football americano vista la rilevanza delle materie, ecco una sintetica (e non esaustiva) lista.
Iniziamo proprio dal Responsabile per la cybersicurezza che può coincidere con il Referente per la transizione digitale previsto dall’articolo 17 del dlgs 82/2005 Codice per l’amministrazione digitale (CAD).
Quest’ultima norma prevede poi altri due responsabili (che possono coesistere): quello per il protocollo informatico (art. 50-bis) e quello per la conservazione digitale (art. 44). Il CAD prevede poi, sempre all’art. 17-bis, il Difensore civico digitale incardinato però solo presso l’AGID.
Proseguendo questa elencazione, passiamo poi alle tematiche della corruzione e della trasparenza, ed ecco il RPCT (responsabile della prevenzione della corruzione e della trasparenza) previsto dall’art.1 comma 7 della Legge 190/2012 afferente la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione. A tale figura viene poi assegnato dal dlgs. 24/2023 sul whistlelbowing la gestione del canale di segnalazione interno.
Andando sul versante della salute e sicurezza sul lavoro, ecco le figure del Responsabile del servizio di prevenzione e protezione ai sensi degli artt. 31-33del dlgs 81/2008 sulla salute e sicurezza nei luoghi di lavoro; dalla medesima norma si desume (in particolare dagli artt. 18 e 43) anche l’esigenza, specie per le realtà più grandi, di individuare un coordinatore per la gestione dell’emergenza.
Alcune realtà particolarmente attente alla gestione delle risorse umane e alle tematiche della diversità e inclusione, provvedono anche alla nomina del “diversity manager”, non previsto (ancora) da una specifica norma ma cruciale per creare un ambiente di lavoro inclusivo e che valorizza le diversità (le più diffuse: age, disability, gender e cultural diversity). Ma una lettura attenta del dlgs 81/2008 ne fa emergere l’esigenza a partire dall’art. 1 che recita ”garantendo l’uniformità della tutela delle lavoratrici e dei lavoratori sul territorio nazionale attraverso il rispetto dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali, anche con riguardo alle differenze di genere, di età e alla condizione delle lavoratrici e dei lavoratori immigrati” e proseguendo nell’art. 28 sulla valutazione dei rischi dove prevede che “deve riguardare tutti i rischi per la sicurezza e la salute dei lavoratori, ivi compresi quelli riguardanti gruppi di lavoratori esposti a rischi particolari, tra cui anche quelli collegati allo stress lavoro-correlato (…), e quelli riguardanti le lavoratrici in stato di gravidanza (…), nonché quelli connessi alle differenze di genere, all'età, alla provenienza da altri Paesi e quelli connessi alla specifica tipologia contrattuale attraverso cui viene resa la prestazione di lavoro” (e leggere queste parole rende ancor più oltraggioso il terribile evento di recente occorso a una persona di origine indiana, prima che un lavoratore, purtroppo deceduta dopo una orribile mutilazione sul lavoro) .
La lista non è esaustiva delle figure previste e possibili. Ma doverosamente deve essere chiusa con quella, obbligatoria presso la pubblica amministrazione (come in parte del mondo privato, ma altamente consigliata nella parte restante) del Responsabile per la protezione dei dati (DPO) regolata dagli artt. 37 e sgg. del GDPR .
Chiudere con questa figura è doveroso perché costituisce un po' il trait d’union di tutte le altre ed è competente su molti aspetti (dai dati personali alle procedure ai processi con cui sono trattati e protetti) che rientrano nel core business delle altre.
Ad avviso di chi scrive, è quindi necessario soffermarsi su due aspetti di policy:
1) previsione di canali di comunicazione fra DPO e tali figure, disponendo anche che sia sempre consultato perché i diritti degli interessati – lavoratori, utenti, collettività – come delle organizzazioni siano tutelati secondo scienza e coscienza;
2) quanto illustrato è fonte anche per sottolineare che venga svolta una attenta riflessione, presso ogni organizzazione, su quale sia la soluzione tecnica, organizzativa e gestionale più idonea: devono essere tali figure dei professional unicamente dedicati alla materia di cui sono responsabili (ove occorra, anzi preferibilmente con una unità di supporto) o dei manager che, nel corso della giornata, devono cambiare cappello e dedicarsi pro-tempore a queste materie?
I rischi sono crescenti, a scala globale, e incombenti, cigni neri e forse di altro colore volano sui nostri cieli: un idoneo baricentro va individuato, in maniera tailored, da parte di ogni PA come di ogni entità privata, tenendo anche conto, ove possibile e consentito dalle norme, di figure che operino in maniera dedicata per un insieme omogeneo di organizzazioni.