Pubblica Amministrazione: serve valutare un rimodellamento dei processi organizzativi e delle prassi finalizzato a realizzare la compliance al GDPR
Da oltre 30 anni il Legislatore ha vincolato l’agire amministrativo ai princìpi che da sempre guidano le attività produttive delle imprese private. Infatti l’art.1 della legge 241/1990, sul procedimento amministrativo, stabilisce che l’attività amministrativa persegue i fini determinati dalla legge ed è retta – tra altri – da criteri di economicità e di efficacia. i quali, in linea con il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), obbligano le pubbliche amministrazioni a perseguire i propri fini con il minor dispendio di risorse e attraverso lo snellimento e l’accelerazione dei procedimenti amministrativi.
Al fine di integrare in modo effettivo i principi di economicità ed efficacia nelle attività delle P.A. e nella consapevolezza che una effettiva digitalizzazione dell’amministrazione pubblica è fondamentale per migliorare la qualità dei servizi offerti ai cittadini, l’art. 3 bis della stessa legge 241/1990 e gli artt. 12 e 15 del D.Lgs 82/2005 (Codice dell’Amministrazione Digitale) stabiliscono la necessità di far ricorso alle tecnologie ICT, rectius, di riorganizzare la struttura e la gestione delle pubbliche amministrazioni, anche attraverso il migliore e più esteso utilizzo delle tecnologie ICT nell’ambito di una coordinata strategia.
Una strategia che il Governo Italiano ha chiaramente definito, secondo una visione declinata attraverso linee di azione a supporto della transizione digitale nella PA che prevedono di realizzare, nei prossimi 5 anni:
1. l’ammodernamento e l’estensione delle infrastrutture digitali per la connettività sul territorio nazionale;
2. lo sviluppo del cloud per le P.A e – ove appropriato – la collaborazione con i servizi del mondo privato;
3. le potenzialità dell’interoperabilità – ovvero di dati utilizzabili per offrire servizi digitali ai cittadini, riducendo così costose e ripetute operazioni fisiche con la PA, oltre a migliorare e consolidare le politiche pubbliche basate sui dati;
4. la sicurezza dei sistemi informatici;
5. lo sviluppo delle competenze digitali.
Questa strategia si è poi tradotta concretamente:
1. nella definizione della Governance del Piano Nazionale di Ripresa e Resilienza (PNRR) e delle prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure;
2. nel successivo rafforzamento della capacità amministrativa delle PP.AA. funzionale all’attuazione del PNRR.
La messa a terra del PNRR postula quindi la necessità di migliorare l’efficienza e l’efficacia della spesa pubblica, attraverso un’effettiva riorganizzazione strutturale e gestionale delle Pubbliche Amministrazioni, che possa generare consistenti risparmi.
Invero, un modo davvero valido per ottenere tali risparmi è, da tempo, contenuto in una misconosciuta disposizione del Codice dell’Amministrazione Digitale (C.A.D.) introdotto con il D.Lgs. 82/2005.
Si tratta del citato art. 15 C.A.D. che fissa un semplice, essenziale e logico principio che deve essere seguito per realizzare la reingegnerizzazione della struttura e dei processi organizzativi delle Pubbliche Amministrazioni, volta a realizzare gli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza e semplificazione che devono caratterizzare l’ “agere” amministrativo.
Secondo questo “principio guida” ogni Pubblica Amministrazione, in 2 momenti distinti, deve:
1. dapprima semplificare e ridefinire i processi organizzativi e le procedure “analogiche”, introducendo adeguate misure organizzative, e,
2. successivamente, solo in un secondo momento, far ricorso agli strumenti offerti dall’innovazione tecnologica, adattandoli alle nuove, ridefinite, funzionali strutture organizzative.
Infatti, il comma 2 del citato art. 15 C.A.D. stabilisce, in particolare, che le Pubbliche Amministrazioni debbano provvedere a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese, assicurando che l’utilizzo delle tecnologie dell’informazione e della comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle Linee guida di AGID.
In tale quadro, è quindi auspicabile che ogni Pubblica Amministrazione chiamata a realizzare gli obiettivi strategici del PNRR, ancor prima di predisporre i capitolati di appalto per l’acquisto degli ultimi innovativi strumenti tecnologici, sviluppi un’attenta analisi organizzativa ed un contestuale riesame ed aggiornamento di tutti i processi organizzativi.
Si tratta dell’applicazione di un elementare principio di economia domestica secondo il quale, in una famiglia, i beni di prima necessità vanno acquistati solo dopo aver realizzato quali siano le effettive e concrete esigenze dei componenti del nucleo familiare.
Considerando che la quasi totalità dell’attività delle Pubbliche Amministrazioni consiste in trattamenti di dati personali la sovradescritta razionalizzazione/semplificazione, prodromica e necessaria alla digitalizzazione dell’attività amministrativa, potrebbe agevolmente essere realizzata attraverso il rimodellamento dei processi organizzativi e delle prassi finalizzato a realizzare la compliance al GDPR.
Tutte le Pubbliche Amministrazioni che eseguono trattamenti di dati personali, allorquando determinano finalità e mezzi degli stessi trattamenti, assumono il ruolo privacy di Titolare. In tale ruolo sono obbligate, fin dalla progettazione delle loro attività, a mettere in atto misure tecniche ed organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati fissati dall’art. 5 GDPR, anche per garantire ed essere in grado di dimostrare che tutte le attività di trattamento sono effettivamente compliant alla normativa privacy.
(Nella foto: Giuseppe Alverone, Data Protection Officer dell’Arma dei Carabinieri)
Questo obbligo di compliance, se adempiuto in modo effettivo, può consentire alle Pubbliche Amministrazioni di realizzare contestualmente i 2 seguenti obiettivi strategici:
1. proteggere i diritti e le libertà fondamentali delle persone fisiche i cui dati personali sono oggetto dell’attività amministrativa;
2. razionalizzare e semplificare processi e prassi amministrative, su cui sarà possibile innestare innovative soluzioni tecnologiche, al fine di amplificare efficienza e risparmi.
In concreto ogni Pubblica Amministrazione dovrebbe:
1. mappare tutti i trattamenti di dati eseguiti nell’ambito della struttura organizzativa;
2. eseguire un “privacy check-up” di ogni trattamento mappato; i.e. dovrebbe effettuare una attenta verifica della avvenuta corretta applicazione del principio di “privacy by design”, individuando le misure tecniche e organizzative adeguate che sono state poste (o che dovrebbero essere poste), per attuare in modo efficace i principi posti dall’art. 5 GDPR;
3. mettere, infine, in atto le misure organizzative e tecniche adeguate per garantire la compliance al GDPR e, contestualmente, l’effettiva razionalizzazione/semplificazione delle attività con conseguenti significativi risparmi della spesa pubblica.
di Giuseppe Alverone (Fonte: Diritto.it)