Nuove misure di sicurezza e modalita' di scambio dei dati personali tra amministrazioni pubbliche.
E. Daniela Lo Piccolo
Fonte: Sole 24 ore
[img width=300 height=288]https://i-technet.sec.s-msft.com/dynimg/IC99185.gif[/img]
E’stato pubblicato nella Gazzetta Ufficiale Serie Generale n.179 del 04/08/2015, il provvedimento 2 luglio 2015, concernente “Misure di sicurezza e modalita' di scambio dei dati personali tra amministrazioni pubbliche”
Con tale provvedimento, il Garante per la protezione dei dati personali, ha prescritto, ai sensi dell'art. 154, comma 1, lett. c), del Codice, che le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 che devono essere comunicate al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati e che tali comunicazioni debbano essere redatte secondo lo schema riportato nell'Allegato 1 al presente provvedimento e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.pa@pec.gpdp.it;
Sempre ai sensi dell'art. 154, comma 1, lett. c), del Codice, nelle more della definizione degli «standard di comunicazione e le regole tecniche» da parte dell'Agid ai sensi dell'art. 58, comma 2, del Cad, prescrive alle pubbliche amministrazioni che intendano mettere a disposizione gli accessi alle proprie banche dati alle altre amministrazioni che ne abbiano diritto mediante la cooperazione applicativa di cui all'art. 72, comma 1, lettera e) del Cad l'adozione delle misure necessarie individuate nell'Allegato 2 al presente provvedimento, salvo che le modalita' di accesso alle banche dati siano gia' state oggetto di esame da parte del Garante nell'ambito di specifici provvedimenti; laddove siano gia' state previste modalita' di accesso ai sensi della nuova formulazione del predetto art. 58, comma 2 del Cad, non conformi alle misure gia' individuate dal Garante nel provvedimento del 4 luglio 2013, prescrive che le misure necessarie previste nell'Allegato 2 siano adottate dalle amministrazioni interessate entro e non oltre il 31 dicembre 2015;
Infine, ai sensi dell'art. 143, comma 2, del Codice dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il provvedimento nasce dalla constatazione delle peculiari caratteristiche delle banche dati delle amministrazioni pubbliche, contraddistinte, in particolare, dall'ingente mole di dati trattati, dalla delicatezza delle informazioni ivi contenute e dalla molteplicita' di soggetti autorizzati ad accedervi, nonche' l'esigenza di garantire costantemente l'esattezza, l'integrita' e la disponibilita' dei dati personali ivi contenuti non solo in relazione alle c. d. basi dati di interesse nazionale (art. 60 del Cad), unitamente agli specifici rischi di accesso non autorizzato e di trattamento non consentito;
Si è, pertanto, ritenuto necessario assoggettare il trattamento dei dati personali effettuato nell'ambito delle predette banche dati, all'obbligo di comunicazione al Garante del verificarsi di violazioni dei dati o incidenti informatici (accessi abusivi, azione di malware) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione;
Le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 debbono, petanto, comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati (c.d. data breach) e che tali comunicazioni devono essere redatte secondo lo schema riportato nell'Allegato 1 del provvedimento e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.pa@pec.gpdp.it;
La nuova formulazione dell'art. 58, comma 2, del Cad, cosi' come modificato dall'art. 24-quinquies, comma 1, decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni,
dalla legge 11 agosto 2014, n. 114, in vigore dal 19 agosto 2014, ha previsto che «le pubbliche amministrazioni comunicano tra loro attraverso la messa a disposizione a titolo gratuito degli
accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa di cui all'art. 72, comma 1, lettera e).
L'Agenzia per l'Italia digitale, pertanto, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, definirà entro novanta giorni gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni devono conformarsi»;
Vale la pena di ricordare, peraltro, che tale modifica ha superato il pregresso impianto normativo relativo all'accessibilita' telematica ai dati delle pubbliche amministrazioni, fondato su “apposite convenzioni aperte all'adesione di tutte le amministrazioni interessate volte a disciplinare le modalita' di accesso ai dati da parte delle stesse amministrazioni procedenti” (testo previgente dell'art. 58, comma 2 del Cad).