In un mondo completamente interconnesso, in cui i dati personali viaggiano quanto e talvolta più di merci e persone, la gestione di questa enorme mole di informazioni assume un’importanza strategica per qualsiasi organizzazione. È così anche all’INGV, dove le attività di ricerca e monitoraggio insite nella mission dell’Ente si intrecciano inevitabilmente con pratiche variamente consolidate riguardanti, per l’appunto, la raccolta, la gestione e il trattamento dei dati personali di ricercatori e dipendenti in genere. E, nel caso dell’Istituto, l’affaire si fa ancora più intricato quando, volgendo lo sguardo oltre i confini nazionali, diventa necessario confrontare la normativa vigente nel nostro Paese con quella delle innumerevoli realtà non soltanto europee con cui l’INGV lavora quotidianamente.
Per saperne di più abbiamo intervistato Lucio Badiali, Data Protection Officer dell’Istituto, che ci ha guidati alla scoperta delle numerose sfumature che circondano il ruolo e i compiti di questa figura fondamentale in qualsiasi organigramma aziendale.
Lucio, cerchiamo di partire da una definizione: chi è il DPO di un Ente o di un’Organizzazione?
La sigla “DPO” sta per “Data Protection Officer.” In italiano si traduce come “Responsabile della protezione dei dati personali”: come spesso accade nel passaggio dalla lingua inglese alla nostra, il risultato non solo è più lungo, ma rischia di confondere la figura del DPO con quella del “Responsabile del trattamento dei dati personali”.
Il DPO è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La figura di per sé non è storicamente ‘nuova’ perché, ad esempio, nel mondo anglosassone era già nota con il termine di “Chief Privacy Officer” (CPO), “Privacy Officer”, “Data Security Officer”, oltreché, per l’appunto, “Data Protection Officer”.
In cosa consiste il lavoro di un DPO?
Intanto proviamo ad inquadrarlo. Il DPO non ha una responsabilità esecutiva ma consulenziale. Può essere visto come il “consigliere” dell’Ente, nel senso che è l’Ente stesso il titolare del trattamento dei dati personali nella figura del suo rappresentante legale, tipicamente il Presidente. La responsabilità del DPO sta nell’osservare, valutare e organizzare la gestione del trattamento di dati personali - e quindi della loro protezione, in tutti i sensi - all’interno dell’Ente, affinché questi vengano trattati nel rispetto delle normative europee e nazionali sulla privacy.
A proposito di privacy, c’è differenza tra questo concetto e quello di protezione dei dati personali?
Sì, una differenza c’è: potremmo dire che, ad oggi, la protezione dei dati personali è un “contenitore” più grande e generale che contiene anche la privacy.
Nel mondo anglosassone, il vecchio concetto di privacy nasce addirittura nell’Ottocento quando si esprimeva soprattutto nel motto “the right to be let alone”, un diritto alla riservatezza che è uno jus solitudinis indotto quasi dall’avvento e dalla proliferazione della stampa, ritenuta a tratti sempre più invadente.
Poco prima del Natale del 1890, i due giuristi americani Samuel Warren e Louis Brandeis pubblicarono sulla prestigiosa rivista Harvard Law Review un saggio intitolato “The Right to have privacy”. Un passaggio recitava così: “Fotografie istantanee e iniziative giornalistiche hanno ormai invaso i sacri confini della vita privata e domestica, mentre un gran numero di congegni meccanici minaccia di realizzare la predizione secondo cui ‘sussurrare dentro l'armadio sarà come lanciare proclami dai tetti’”.
La stampa, infatti, iniziava a quel tempo a utilizzare un nuovo mezzo rivoluzionario, la fotografia, che permetteva di entrava di prepotenza nella vita delle persone anche senza il loro permesso. Rileggendo oggi questo passaggio, non ci sembra poi così incomprensibile: è la preistoria della multimedialità, che oggi è a sua volta già storia.
Con la locuzione “protezione dei dati personali”, invece, l’orizzonte si allarga notevolmente. Il dato personale non si limita a qualche tratto distintivo ma diventa tutto ciò che permette di identificare una persona, anche indirettamente. La novità introdotta in Europa con il Regolamento Generale sulla Protezione dei Dati (GDPR - 2016/679) è che non esiste più un divieto assoluto di trattare i dati personali. I primi articoli del Regolamento europeo stabiliscono una risonanza tra due concetti apparentemente opposti: proteggere i dati personali e, contemporaneamente, anche le norme relative alla libera circolazione dei dati stessi.
In un mondo iper-relazionato come quello attuale, infatti, portiamo con noi una identità fisica come pure una digitale, in un certo senso un nostro doppio. Non è più, o meglio, non è solo la riservatezza il punto centrale della questione, ma lo diventa anche conoscere dove sono i nostri dati e chi li sta trattando. È un mondo, quello in cui viviamo, che va verso una monetizzazione del dato personale in cambio di servizi offerti. Un mondo in cui alcuni dati personali viaggiano sempre e comunque al di fuori del nostro perimetro conosciuto e diventa quindi sempre più importante sapere dove vanno, chi li tratta e chi ne potrebbe fare cattivo uso. Un esempio è il web. Noi abbiamo una parte di noi che viaggia per la rete e lascia tracce. Ogni dato “informatico” e “informatizzato” parte da noi e inizia a girare il mondo: le nostre mail, i nostri nickname o i nostri indirizzi IP. Per il GDPR sono da considerarsi tutti dati personali.
Da quanto tempo ricopri il ruolo di DPO all’INGV?
Il Regolamento europeo che ho citato prima è diventato effettivamente applicabile in tutti gli Stati membri, Italia inclusa, il 25 maggio del 2018. Come INGV eravamo già pronti e, quindi, abbiamo potuto formalizzare immediatamente la mia nomina all’Autorità Garante per la protezione dei dati personali.
Oltre che DPO di INGV sono anche DPO del consorzio di ricerca EPOS-Eric: in tale contesto la sfida è, se vogliamo, anche più interessante perché la prassi della data protection tocca non più solo il nostro Ente ma tanti partner europei e i loro Paesi su una infrastruttura spazialmente distribuita.
In che modo le competenze del DPO agevolano o supportano il lavoro dei ricercatori?
Tutto il sistema della ricerca in Italia non può non avere contatti con la protezione dei dati personali. Basti pensare che anche noi, come dipendenti, forniamo dei dati che sono costantemente trattati dalle amministrazioni e dallo Stato. Ma anche nei progetti scientifici di cui l’Istituto è partner immettiamo una enorme quantità di dati personali. Stiamo per avviare dei progetti europei in cui compaiono, su richiesta della Commissione Europea, delle macro-aree di ethics and data protection: tra questi, ad esempio, vorrei citare il progetto “H2020 e-SHAPE. EuroGEO Showcases: Applications Powered by Europe”, al quale collaborano ben 54 tra Istituti di ricerca, Università e aziende dell’UE.
Ci racconti qualche esperienza che ti ha coinvolto in questi anni come DPO dell’INGV?
Beh sicuramente mi viene in mente il tavolo di tutti i DPO del comparto ricerca che è stato creato dalla Conferenza dei Presidenti degli Enti Pubblici di Ricerca insieme alla Conferenza dei Direttori Generali: un tavolo cui partecipa spesso anche un rappresentante dell’Autorità Garante, per il tramite di un suo delegato, e in cui è possibile confrontarsi, scambiarsi esperienze e risolvere insieme alcune problematiche complesse (alcuni Enti, ad esempio, si occupano di ricerche biomediche e sanitarie, ambiti in cui l’impatto del fattore “privacy” è particolarmente sentito).
Inoltre, il nostro Presidente e il suo omologo del CREA, il Consiglio per la ricerca in agricoltura e l’analisi dell’economia agraria, hanno appena firmato un accordo volto alla costituzione di un tavolo di coordinamento per la protezione dei dati personali guidato dai DPO dei due Enti.
I cambiamenti introdotti dall’emergenza Covid-19 nelle tradizionali modalità di svolgimento del lavoro della Pubblica Amministrazione – come, ad esempio, il ricorso allo smartworking – hanno influito sulla tua attività?
Devo dire che da quando sono state implementate le modalità di ricorso al lavoro agile ho ricevuto una gran quantità di richieste, molte più domande di supporto rispetto al recente passato. Dovevamo analizzare la liceità di alcuni trattamenti di dati. “Questo possiamo farlo a norma di legge?”. Tra i temi più ricorrenti, le convocazioni per il reclutamento per via telematica, le misure a protezione dei dati personali dei dipendenti sottoposti a controlli, le valutazioni sulla liceità di pubblicazione di dati eccedenti al reale uso per la trasparenza amministrativa. E non dimentichiamo le policy sui cookie dei vari siti web…
Che sviluppi futuri sono in programma per il ruolo del DPO in Istituto?
Abbiamo moltissimo da fare. Prima di tutto, dobbiamo eseguire una valutazione delle risorse legate ai dati personali: rispondere alla domanda “chi fa cosa” sui dati personali e come sono protetti. Il primo passo sarà la formazione dei dipendenti (vertici compresi) che è obbligo di legge. Dobbiamo inoltre verificare di continuo le misure tecniche e organizzative, lo stato della sicurezza dei dati e analizzare il rischio associato a una perdita o a un data breach. È poi necessario aggiornare il Registro dei trattamenti… E questa è solo una piccola parte di ciò che dobbiamo fare perché lo richiede la legge. Il lavoro è tanto e la strada è ancora tutta da percorrere!
Per approfondimenti si rimanda al nuovo numero di Miscellanea INGV, “Gli enti di ricerca e la protezione dei dati personali: una introduzione al GDPR”: