Il 25 maggio sarà il D-Day di privacy e trasparenza, perché entra in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali. Ecco allora che gli attori pubblici e privati si stanno "aggiornando", per portare a termine gli adempimenti necessari. Più diritti per chi fornisce dati personali, più trasparenza sul loro utilizzo e ubicazione, e multe salatissime in caso di violazioni.
Ogni amministrazione pubblica (e ogni azienda) deve individuare dei propri responsabili del trattamento dei dati e istituire dei registri che traccino gli stessi dati. Inoltre, novità assoluta in materia è la figura del responsabile del trattamento dei dati personali (RDT, oppure, in inglese, DPO), una figura di garanzia, anche questa individuata dagli enti pubblici e privati. Il DPO, che può essere una persona fisica ma anche giuridica, ha la possibilità di rapportarsi direttamente col Garante della privacy rappresentando, se mette in campo valide competenze, l'avamposto per portare i soggetti titolari del rapporto dei dati (Comuni, Regioni, società, aziende ecc...) sui binari europei, evitando di incappare in aspre sanzioni.
Le piccole realtà sia pubbliche che provate possono "fare squadra" e individuare un unico responsabile per la protezione dei dati. Questa appare essere, tra l'altro, la via più virtuosa, per affronrare la delicatissima materia, ma allo stesso tempo per inaugurare un metodo che metta in rete i principali soggetti di un territorio. Ma forse è tardi e sarà per un'altra volta.
A questo punto, la questione è: mentre vediamo in questi giorni un relativo attivismo dei privati per "mettersi in regola", a che punto sono, invece, le pubbliche amministrazioni, e il particolare quelle abruzzesi? La Regione Abruzzo sembra aver avviato tutti gli adempimenti burocratici necessari... Ma a che punto è il Comune di Ortona? Presto avremo risposta a questi quesiti, e non mancheremo di tenervi informati.
Intanto, di seguito vediamo gli aspetti salienti della nuova normativa e quali sono, nel dettaglio, gli adempimenti necessari.
Il Regolamento UE 2016/679
Il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) è una nuova legge nell’UE sulla privacy e la protezione dei dati. Prevede l’adozione di linee guida sulla privacy più minuziose all’interno dei sistemi di un’organizzazione, accordi più articolati sulla protezione dei dati, e informative più dettagliate e più alla portata del consumatore in relazione alla privacy e alle politiche in tema di protezione dei dati di un’organizzazione.
Il GDPR sostituisce l’attuale quadro normativo sulla protezione dei dati dell’UE dal 1995 (comunemente nota come "Direttiva sulla Protezione dei Dati"). La Direttiva sulla Protezione dei Dati richiedeva il recepimento nel diritto nazionale degli Stati membri, il che ha generato un panorama legislativo frammentato in materia di protezione dei dati nell’UE. Il GDPR invece è un regolamento UE che ha effetto giuridico diretto su tutti gli Stati membri dell’UE, ovvero non richiede di essere recepito dal diritto nazionale degli Stati membri perché diventi vincolante. Questo è un passaggio fondamentale perché ciò porterà ad una armonizzazione della materia in questione.
Che cosa fa il GPDR di preciso?
Il GDPR disciplina le modalità con cui i dati personali di persone fisiche dell’UE possono essere trattati dalle organizzazioni, che siano esse imprese private o enti pubblici. "Dato personale" e "trattamento" sono termini utilizzati di frequenza nella normativa, pertanto comprendere il loro significato specifico fa luce sulla vera portata di questa legge.
Cos’è un dato?
Per Dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si tratta di un concetto molto ampio perché include qualsiasi informazione che potrebbe essere utilizzata da sola, oppure in combinazione con altre informazioni, per identificare una persona. Dato personale non è solo il nome o l’indirizzo email di una persona. Può anche includere informazioni come le informazioni finanziarie o, in taluni casi, persino l’indirizzo IP. Inoltre, a talune categorie di dati personali viene attribuito un maggior livello di protezione in considerazione della loro natura sensibile. Queste categorie di dati sono le informazioni riguardanti l’origine razziale o etnica di un interessato, le opinioni politiche, il credo religioso e filosofico, l’adesione a sindacati, i dati genetici, i dati biometrici, i dati sanitari, le informazioni sulla vita sessuale o l’orientamento sessuale di una persona, nonché le informazioni sui precedenti penali.
Cos’è il trattamento dei dati?
Il Trattamento dei dati personali è l’attività chiave che fa scattare gli obblighi ai sensi del GDPR. Trattamento indica qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. In termini pratici, ciò significa che qualsiasi processo che archivia o consulta dati personali è considerato trattamento.
Il GDPR riconosce un totale di sei basi giuridiche per il trattamento dei dati personali delle persone fisiche dell’UE (nel GDPR, le persone fisiche dell’UE sono denominate "interessati"). Le sei basi giuridiche, secondo l’ordine dell’art. 6, paragrafo 1, lettere da a) a f) del GDPR sono:
L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato;
Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; o
Il trattamento è necessario per il legittimo interesse perseguito dall’entità, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.
Diritti degli interessati ai sensi del GDPR
Ai sensi della Direttiva sulla Protezione dei Dati, agli interessati erano garantiti alcuni diritti fondamentali in relazione ai loro dati personali. I diritti degli interessati continuano ad applicarsi ai sensi del GDPR, fatte salve alcune modifiche. La tabella seguente mette a confronto i diritti delle persone fisiche ai sensi della Direttiva sulla Protezione dei Dati e del GDPR.
Che ruolo ha il GPDR nelle pubbliche amministrazioni?
Le pubbliche amministrazioni quindi, dal 25 maggio, dovranno far fronte a molte novità: dall’obbligo di redazione del registro dei trattamenti, alla nomina del Data Protection Office; dalla sicurezza dei dati personali, all’obbligo di notifica delle violazioni di sicurezza. Che si tratti di un Comune, grande o piccolo, che si tratti di una Azienda Ospedaliera o di una ASL o che si tratti di una Scuola media, o elementare, alle prese con il registro elettronico, il GDPR è qualcosa con cui si dovranno fare i conti perché traccia per tutti e per ciascuno i contorni dei nuovi diritti delle persone dell’era dei servizi on line al cittadino, della comunicazione via Social Media, degli smartphone sempre connessi. Non ci sono alibi:
Il GDPR è un Regolamento, non una Direttiva: non richiede una legge nazionale di recepimento, è immediatamente esecutivo.
Il GDPR è stato approvato il 24 maggio 2016: non richiede ulteriori approvazioni.
Il GDPR prevede, con un proprio articolo, che la piena applicabilità delle nuove norme decorra dal 25 maggio 2018, solo per consentire alle organizzazioni pubbliche e private di adeguarsi: non ci saranno rinvii.
Il Responsabile della protezione dei dati (Data Protection Officer – DPO)
Il Regolamento generale sulla protezione dei dati, anche noto come GDPR, delinea innanzitutto come fondamentale una nuova figura: quella del Responsabile della protezione dei dati (Data Protection Officer – DPO).
Seguendo le indicazioni del Garante per la protezione dei dati personali, devono ritenersi tenuti alla designazione di un DPO i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice della Privacy (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).
L’art. 37, par. 3, inoltre, ammette che più autorità o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione, possano nominare un unico DPO.
Ad assumere tale carica, afferma il Regolamento, può essere un dipendente del titolare o del responsabile del trattamento ovvero un soggetto esterno, chiamato ad assolvere i suoi compiti in base a un contratto di servizi. Il GDPR, tuttavia, non precisa quale qualifica debba possedere il DPO nell’ipotesi in cui si tratti di un dipendente dell’autorità o dell’organismo pubblico. A fornire maggiori indicazioni è il Garante, il quale suggerisce, a tal fine, che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Dunque, come precisato dal Garante, una volta designato il DPO, l’ente pubblico sarà tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del DPO, pubblicando gli stessi anche sui siti web e a comunicarli al Garante.
Per quanto attiene al sito web, inoltre, il Garante suggerisce di inserire i riferimenti del DPO nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.
Rapporti fra privacy e trasparenza
Dopo aver verificato la sussistenza dell'obbligo di pubblicazione dell'atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l'origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l'adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.
Un eccesso indiscriminato di pubblicità rischia, peraltro, di occultare informazioni realmente significative con altre del tutto inutili, così ostacolando, anziché agevolare, il controllo diffuso sull'esercizio del potere e degenerando in una forma di sorveglianza massiva.
Per la trasparenza c'è bisogno di un approccio qualitativo e non meramente quantitativo: meno dati ma più qualificati.
In un ambito pubblicistico il concetto di trasparenza è sicuramente collegato a quello di accountability, uno dei principi fondamentali del GDPR. Difatti, i comuni compiono quotidianamente atti rilevanti per la comunità nazionale. Ma proprio una tale responsabilità mette i cittadini nelle condizioni di formulare domande e osservazioni sul rendimento degli uffici comunali e dei dirigenti che li guidano. I cittadini chiedono che il potere amministrativo adotti delle decisioni, ma, allo stesso tempo, chiedono che queste decisioni risolvano i loro problemi e che siano comprensibili e trasparenti. In altre parole, chiedono di “rendere conto”.
L’accountability, difatti, si compone di almeno tre elementi:
1. La “trasparenza” intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio.
2. La “responsività” intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder.
3. La “compliance” intesa come capacità di far rispettare le norme, sia nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi, che nel senso di fare osservare le regole di comportamento degli operatori della PA.
Il registro delle attività di trattamento
Non va dimenticata, inoltre, per i Comuni un’altra importante incombenza prevista dal GDPR e molto incoraggiata dall’Autorità Garante e cioè la predisposizione dei registri delle attività di trattamento di cui all’art. 30 del Regolamento.
Per il Garante, difatti, a prescindere dall’obbligo normativo non sempre ricorrente, è essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro. La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171).
Il sistema sanzionatorio
La protezione dei dati personali, trattata fin qui da molti enti come mero adempimento, acquista quindi nuova centralità anche per le pubbliche amministrazioni, chiamate a definire un percorso di adeguamento efficace che consenta loro di farsi trovare pronte alla scadenza del 25 maggio 2018, evitando così le sanzioni (inasprite rispetto alla disciplina precedente).
Il sistema sanzionatorio posto a presidio dell’osservanza del regolamento prevede:
– sanzioni amministrative fino a 20 milioni di Euro (art. 83 GDPR);
– la responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR).
Si tratta di un profilo da tenere in debito conto, in considerazione della circostanza per cui la giurisprudenza ha già chiarito che sussiste responsabilità erariale in tutti i casi in cui la mancata adozione delle misure di sicurezza adeguate abbia determinato un risarcimento al privato danneggiato (sul punto cfr. Corte Conti, Reg. Toscana, 26 aprile 2006, n. 265).
Innanzitutto, è importante comprendere che il 25 maggio 2018 è solo la data in cui le amministrazioni – come tutti gli altri soggetti giuridici – inizieranno ad applicare il regolamento e diventeranno cogenti le responsabilità e le sanzioni previste dal GDPR.
Attenzione, quindi, a non cadere nella tentazione (purtroppo frequente nel settore pubblico) di approcciare alla scadenza come qualcosa di cui preoccuparsi in modo formalistico e burocratico. Tale approccio consiste nel “mettere le carte a posto” entro il giorno previsto dal legislatore per poi disinteressarsi delle tematiche privacy.
Ebbene, il GDPR mal si presta a questa “cultura dell’adempimento”, essendo basato, come abbiamo scritto poco fa, sul principio di accountability (tradotto in italiano come “responsabilizzazione”) in virtù del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali effettuato è conforme al GDPR (art. 5, par. 2).
Questo significa che – ammesso anche di aver provveduto all’adeguamento entro il 25 maggio 2018 – l’amministrazione dovrà comunque costantemente garantire, anche dopo tale data, la conformità di tutte le proprie attività alle regole europee.
FONTI:
https://stripe.com/guides/general-data-protection-regulation
http://www.forumpa.it/pa-digitale/regolamento-gdpr-cosa-cambia-per-la-pa
https://www.cyberlaws.it/2018/data-protection-officer-dpo-pubblica-amministrazione/
http://www.altalex.com/documents/news/2018/04/05/gdpr-gli-adempimenti-a-carico-dei-comuni
https://www.agendadigitale.eu/sicurezza/come-adeguare-la-pa-al-gdpr-tutto-cio-che-bisogna-fare/
#66026 #66026ilblog #eurortona #GPDR #Ortona #amministrazione #privacy #abruzzo
