Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere sullo schema di “Linee guida - La Sicurezza nel procurement ICT” predisposto da AgID - 30 gennaio 2020 [9283857]

[doc. web n. 9283857]

Parere sullo schema di “Linee guida - La Sicurezza nel procurement ICT” predisposto da AgID - 30 gennaio 2020

Registro dei provvedimenti
n. 16 del 30 gennaio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, di seguito Codice;

Visti gli artt. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” (di seguito CAD) e la determinazione dell’Agenzia per l’Italia digitale (AgID) n. 160 del 2019, recante il “Regolamento per l’adozione di linee guida per l’attuazione del Codice dell’Amministrazione Digitale”, che disciplinano le procedure per l’adozione di linee guida contenenti le regole tecniche e di indirizzo, previa consultazione pubblica e sentiti l’amministrazione interessata e il Garante per la protezione dei dati personali, nonché l’acquisizione del parere della Conferenza unificata;

Vista la richiesta di parere dell’AgID, sullo schema di “Linee guida - La Sicurezza nel procurement ICT”, che recano regole di indirizzo generali rivolte alle pubbliche amministrazioni, con particolare riferimento ai dirigenti e ai funzionari delle pubbliche amministrazioni che si occupano di acquisizioni informatiche (in particolare, RUP, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza), nonché ai fornitori della pubblica amministrazione;

Rilevato che lo schema in esame rappresenta il prodotto finale di un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri e contiene indicazioni di carattere tecnico-amministrativo per garantire, nell’ambito delle procedure per l’approvigionamento di beni e servizi informatici delle pubbliche amministrazioni, la rispondenza ad adeguati livelli di sicurezza;

Rilevato che, secondo quanto precisato nel predetto schema, i contenuti del documento vanno intesi in termini di suggerimenti, buone pratiche e azioni da condurre in tutte le fasi del processo di acquisizione, come illustrato nel dettaglio del capitolo 2, ossia nella fase preliminare al procurement (capitolo 2.1.), durante la stessa (capitolo 2.2) e dopo la stipula del contratto (capitolo 2.3);

Rilevato che, nello schema in esame, viene indicato che “durante i procedimenti di acquisizione dei servizi, i fornitori possono accedere al patrimonio informativo delle pubbliche amministrazioni committenti introducendo potenziali rischi informatici, con impatto anche su riservatezza, integrità, disponibilità, autenticità dei dati pubblici”;

Ritenuto necessario evidenziare al riguardo, e più in generale, che, in ogni caso, qualora le pubbliche amministrazioni si avvalgano di fornitori per compiere operazioni applicate a dati personali devono individuare tali soggetti quali responsabili del trattamento, ricorrendo “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”, nel rispetto dell’art. 28 del Regolamento, e che tale individuazione deve avvenire tenendo conto dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato (art. 24 del Regolamento)

Rilevato, altresì, che i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita, di cui all’art. 25 del Regolamento, dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici (considerando 78 del Regolamento), fin dalla fase preliminare al procurement, attraverso strumenti, metodologie e competenze finalizzati a gestire adeguatamente i rischi che derivano dal trattamento;

Considerato, pertanto, che, al fine di promuovere una corretta applicazione del Regolamento da parte delle pubbliche amministrazioni e dei loro fornitori, con particolare riguardo a quanto previsto dall’art. 28 sul responsabile del trattamento e alla sicurezza del trattamento ai sensi dell’art. 32 del Regolamento, lo schema dovrebbe essere integrato specificando, in particolare, che:

- il contratto, o altro atto giuridico, che vincola il responsabile al titolare, individui adeguatamente l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, in conformità all’art. 28, par. 3, del Regolamento, e, inoltre, vengano documentate le istruzioni fornite al responsabile del trattamento (cfr. al riguardo, in particolare, il capitolo 2.3.5.);

- la possibilità per il responsabile del trattamento di ricorrere ad altro responsabile deve essere disciplinata in conformità all’art. 28, parr. 2 e 4, del Regolamento, individuando misure organizzative volte a garantire al titolare del trattamento, in ossequio al principio di accountability, idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità (ad esempio, modalità di aggiornamento dell’elenco degli altri responsabili);

- al fine di assicurare l’osservanza del Regolamento da parte dei soggetti coinvolti, nel rispetto del principio di accountability (artt. 5, par. 2, e 24 del Regolamento), dovrebbero essere puntualmente definiti i compiti affidati al responsabile della protezione dei dati personali dell’amministrazione (titolare del trattamento)  o anche del fornitore (responsabile del trattamento), sia nella fase preliminare al procedimento di acquisizione (capitolo 2.1., anche integrando in tal senso il capitolo 2.1.3 e la relativa tabella), che nell’ambito delle azioni da svolgere dopo la stipula del contratto (capitolo 2.3.);

- nell’ambito del capitolato di gara - ovvero degli altri strumenti di acquisizione di cui l’amministrazione decida di avvalersi – devono essere adeguatamente individuate le misure di sicurezza tecniche e organizzative, con una corretta ripartizione delle relative responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento (capitoli 2.2.2 e 2.2.3);

- nell’”Appendice A – Requisiti di sicurezza eleggibili” deve essere introdotto un requisito specifico volto ad esplicitare l’obbligo per il fornitore di garantire l’adozione di misure tecniche e organizzative adeguate ai rischi per i diritti e le libertà degli interessati, che derivano, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati, nonché un ulteriore requisito riferito all’adozione di procedure tecniche e organizzative per la gestione delle violazioni di dati personali, in conformità a quanto previsto dall’art. 33 e seguenti del Regolamento;

- il mero riferimento alle linee guida AgID in materia di misure minime di sicurezza nell’ambito dei requisiti di sicurezza (cfr. capitolo 1.5 e “Appendice A – Requisiti di sicurezza eleggibili A” requisito R9), non è di per sé sufficiente a garantire la sicurezza del trattamento in conformità al Regolamento, atteso che le misure tecniche ed organizzative che il titolare e il responsabile del trattamento sono tenuti ad adottare, devono essere tali da garantire un livello di sicurezza adeguato al rischio, che presenta il trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento);
Considerato, in ogni caso, che il quadro di garanzie in materia di protezione dei dati personali sopra descritto è riferito anche ai casi di acquisizione di beni o servizi che non prevedono lo sviluppo applicativo, come, ad esempio, in caso di acquisizione di Software as a Service (SaaS), Product as service (PaaS) e Internet as service (IasS);

Ritenuto che, per i profili di competenza, lo schema in esame, opportunamente integrato con le predette specificazioni, sia utile per fornire indicazioni pratiche alle amministrazioni e ai fornitori nell’ambito delle procedure per l’approvvigionamento di beni e servizi informatici, ferma restando la disponibilità dell’Autorità a incoraggiare e supportare l’AgID e le pubbliche amministrazioni nell’integrazione della sicurezza informatica con gli ulteriori requisiti e strumenti individuati dal Regolamento per garantire la sicurezza del trattamento dei dati personali (ad esempio, codici di condotta di cui all’art. 40 del

Regolamento, regole deontologiche di cui all’art. 2-quater del Codice);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 36, par. 4, del Regolamento, esprime parere nei termini di cui in motivazione sullo schema di “Linee guida - La Sicurezza nel procurement ICT”, predisposto da AgID, ai sensi dell’art. 71 del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale.

Roma, 30 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia