GDPR: I Comuni come specchio della PA - SPPD-RSMSEFT

Vai ai contenuti

Menu principale:

GDPR: I Comuni come specchio della PA

AREA FORMAZIONE > DISPENSE FORMAZIONE > AUTORITA' DI CONTROLLO SPPD
GDPR: I Comuni come specchio della PA
La privacy europea è e sarà perennemente evolutiva!

Il GDPR nei Comuni: SE FUNZIONA LI FUNZIONA IN TUTTE LE PP.AA.I
(vedi anche "Dati qualificati in PPAA")

Il Regolamento comunitario n. 2016/679 (GDPR) considera sullo stesso piano dati personali di soggetti privatri e pubblici. In questo contesto prendiamo a paradigma i Comuni che devono rispettare la compliance del Sistema Privacy secondo la riforma.

Il Regolamento n. 2016/679 prevede condizioni di liceità del trattamento (v. art. 6 e art. 9, comma 2, per i dati sensibili), e in alcune di esse riguardano esclusivamente lo svolgimento di attività pubbliche. Comunque, a differenza del Codice Privacy (D.lgs. n. 196/2003), il nuovo regolamento europeo non contiene la suddivisione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici (Capo II del Codice Privacy, settore sanitario, consenso quale elemento distintivo tra titolari privati e titolari pubblici.

In effetti, tra gli stessi presupposti di liceità del trattamento dei dati personali il GDPR all’art. 6, lett. e) fa riferimento alla necessarietà del trattamento per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, caso tipico, naturalmente dell’ente pubblico.

Si pensi, poi, all’art. 9 del GDPR che tra le eccezioni al divieto generale di trattare dati personali sensibili fa rientrare:

      • - il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
      • - il trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
      • - il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, o comunque necessario per motivi di interesse pubblico nel settore della sanità pubblica;
      • - il trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.


L’art. 10 del GDPR, poi, con riferimento al trattamento dei dati giudiziari chiarisce che lo stesso deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Anche un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica. Altra norma di sicuro interesse per l’indubbia rilevanza in materia pubblicistica è rappresentata dall’art. 23 del GDPR che chiarisce come il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento possa limitare, mediante specifiche misure legislative, la portata di alcuni fondamentali obblighi e diritti degli interessati qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare tra gli altri anche finalità di pubblico interesse.

Possiamo, inoltre, affermare che esistono diverse attività, svolte da soggetti pubblici, ed in particolare dai Comuni, che non sono tecnicamente qualificabili come “compiti”, ed è questo il caso, sottolineano i Garanti europei, dell’attività di videosorveglianza di strutture pubbliche. In questi casi, premesso che non si tratta di veri e propri compiti, c’è da domandarsi quale sia la condizione di liceità che consente ai soggetti pubblici di svolgere attività di videosorveglianza. Il gruppo dei Garanti Europei, già nell’aprile 2014, affrontò il problema con riferimento alla Direttiva 95/46/Ce, stabilendo che tale attività risultava lecita quando rispondeva ad un interesse pubblico riconducibile ai punti e) o f) dell’articolo 7 della suindicata direttiva.

Nell’ottica del GDPR se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. La responsabilizzazione dei titolari del trattamento dei dati è il principio fondamentale alla base del nuovo regolamento, mentre il secondo aspetto di rilievo riguarda la mappatura e la ricognizione dei trattamenti svolti dalle diverse amministrazioni e le loro principali  caratteristiche”. La ricognizione sarà l’occasione per verificare il rispetto dei principi fondamentali (art. 5).

IL DPO NELLA P.A.
Già da questa “novità” si intuisce la necessità, anche da parte dei comuni, di dotarsi di persone competenti nella gestione dei modelli privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. Da qui, si comprende la portata di un’altra disposizione di rilievo e cioè l’introduzione obbligatoria della figura del Data Protection Officer. La vera novità del GDPR riguarda questa figura (art. 37, 38 e 39), tanto più che nella Pubblica amministrazione è obbligatoria la sua nomina, con qualche eccezione, come ad esempio proprio i piccoli comuni che potranno condividerlo.

Come noto l’art. 37 del Regolamento prevede che quando:

      • a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali,
      • b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
      • c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (c.d. data protection officer).
Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione (ed è questo il caso presumibile dei piccoli comuni). Difatti proprio in questo periodo stiamo assistendo a diverse iniziative di carattere consortile di diversi comuni che anche per evidenti ragioni economiche sfruttano questa disposizione per riunirsi e prevedere un unico DPO di riferimento. Talvolta queste iniziative sono suggerite proprio da studi legali o società specializzate nel settore in grado di offrire servizi di consulenza, ma è necessario chiarire che i comuni interessati devono essere piccoli con poche migliaia di abitanti e vicini territorialmente al fine di agevolare l’attività del DPO. Tali circostanze devono essere, tra l’altro, specificate nell’atto di designazione del DPO per giustificare l’accorpamento delle diverse realtà territoriali.
Si ricorda che il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Naturalmente per i noti problemi connessi alla scarsità di risorse della P.A. è prevedibile che la maggior parte degli enti pubblici attingeranno dal proprio personale per la designazione di un DPO e questo comporterà, indubbiamente, alcuni problemi (come 3/9 evidenziato dal WP 29, istituito dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, nelle linee guida sui responsabili della protezione dei dati, RPD acronimo equivalente a DPO, adottate il 16 dicembre 2016 ed emendate poi il 5 aprile 2017, al fine di chiarire quali debbano essere i requisiti ed i compiti di un Data Protection Officer e quale dovrà essere in concreto il suo apporto nel campo della protezione dei dati personali di un’unità organizzativa).

NOTA: appare remota per molti comuni che non dispongono al loro interno di professionalità adeguate e per questi motivi, almeno per le piccole realtà territoriali, si sta scegliendo la soluzione dell’accorpamento come specificato in precedenza.

Ovviamente queste considerazioni mettono in rilievo uno dei problemi di maggiore rilevanza in ambito pubblicistico e cioè l’adeguata formazione del DPO che deve avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati. Ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei DPO, che dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione (forum in materia di privacy, workshop, ecc.).

Si ricorda, comunque, che il Garante ha reso disponibili alcune Faq sul DPO in ambito pubblicistico proponendo anche uno schema per la designazione del DPO da parte degli enti pubblici. "DPO (Data Protection Officer) NOMINA OBBLIGATORIA Artt. 37, 38 e 39 Reg. 2016/679"

Privacy e Trasparenza nella PA
Nei Comuni, come del resto in tutta la PA, l’atteggiamento rispetto al trattamento dei dati e delle banche dati è molto cambiato negli ultimi 20 anni, da mero adempimento si è passati ad una dimensione molto più proattiva, perché i dati e talora anche i dati personali escono sempre di più dagli uffici attraverso processi legislativi che tengono conto del loro valore economico. La PA, che fino a qualche tempo fa, gestiva passivamente i dati, oggi vuole renderli sempre più disponibili e trasparenti. Ciò determina spesso inevitabili conflitti fra privacy e trasparenza specialmente alla luce di quanto prescritto dal d.lgs. n. 33/2013 che nel disciplinare il riutilizzo dei dati pubblicati regola necessariamente i rapporti con la normativa in materia di protezione dei dati personali chiarendo che gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, comportano la possibilità di una diffusione dei dati medesimi i piccoli comuni possono condividere il DPO attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali.

La norma  ancora prevede che nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione. Sono inevitabili, quindi, in materia, gli impatti con la normativa posta a tutela dei dati personali e la stessa Autorità Garante ha più volte specificato che se priva di adeguati criteri discretivi, la divulgazione di un patrimonio informativo immenso e sempre crescente (quale quello delle pubbliche amministrazioni) rischia di mettere in piazza spaccati di vita individuale la cui conoscenza è inutile ai fini del controllo sull'esercizio del potere ma, per l'interessato, può essere estremamente dannosa.
Con l'adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per assicurare l'osservanza della disciplina in materia di protezione dei dati personali nell'adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell'azione amministrativa.

Dopo aver verificato la sussistenza dell'obbligo di pubblicazione dell'atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l'origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l'adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.
Un eccesso indiscriminato di pubblicità rischia, peraltro, di occultare informazioni realmente significative con altre del tutto inutili, così ostacolando, anziché agevolare, il controllo diffuso sull'esercizio del potere e degenerando in una forma di sorveglianza massiva.

NOTA: trasparenza significa un approccio qualitativo e non meramente quantitativo: meno dati ma più qualificati.

In un ambito pubblicistico il concetto di trasparenza è sicuramente collegato a quello di accountability, uno dei principi fondamentali del GDPR. Difatti, i comuni compiono (o non compiono) quotidianamente atti rilevanti per la comunità nazionale. Ma proprio una tale responsabilità, mette i cittadini nelle condizioni di formulare domande e osservazioni sul rendimento degli uffici comunali e dei dirigenti che li guidano. I cittadini chiedono che il potere amministrativo adotti delle decisioni, ma, allo stesso tempo, chiedono che queste decisioni risolvano i loro problemi e che siano comprensibili e trasparenti. In altre parole, chiedono di “rendere conto”.

L’accountability, difatti, si compone di almeno tre elementi:

      • 1. La “trasparenza” intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio.
      • 2. La “responsività” intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder.
      • 3. La “compliance” intesa come capacità di far rispettare le norme, sia nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi, che nel senso di fare osservare le regole di comportamento degli operatori della PA.


PRIVACY E TRASPARENZA
Sicuramente prevale l’obbligo della trasparenza ma nel rispetto dei fondamentali principi in materia di protezione dei dati personali
La sicurezza dei dati personali D.lgs n. 33/2013Linee guida (provvedimento del 15 maggio 2014 dell’Autorità Garante)


E’ opportuno che si proceda sempre cum grano salis valutando con attenzione i diversi interessi in gioco nel caso specifico
Ovviamente non è per nulla secondarioil tema della sicurezza dei dati nei comuniche specialmente con l’avvento dell’informatica riveste un’importanza fondamentale perché necessaria per garantire la disponibilità, l'integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione.
Un’area tecnologica in continua evoluzione, quasi giornaliera, nella quale gli investimenti devono essere rafforzati in continuazione tenendo conto anche dei principi di privacy previsti dall’ordinamento giuridico.

Negli ultimi anni il numero complessivo di attacchi e di incidenti legati alla sicurezza informatica nella PA  è aumentato in modo esponenziale. Tutti gli studi e le ricerche che analizzano e studiano questi fenomeni sono concordi nell'affermare una preoccupante tendenza alla crescita. L’art. 32 del GDPR propone un diverso approccio alla tematica della sicurezza, difatti a prescindere da misure di sicurezza predeterminate, il titolare del trattamento e il responsabile del trattamento, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Tali misure che non sono più minime o predeterminate comprendono:

      • a) la pseudonimizzazione e la cifratura dei dati personali;
      • b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
      • c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico;
      • d) una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In tale ottica assume particolare rilevanza l’art. 35 del Regolamento che parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Sarà un’attività molto delicata per la PA in quanto richiede una notevole specializzazione in materia poiché contiene almeno:

      • a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l'interesse legittimo perseguito dal titolare del trattamento;
      • b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
      • c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
      • d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Di recente (per l’esattezza il 4 aprile 2017 con primo emendamento avvenuto il 4 ottobre 2017), in materia, sono state pubblicate delle linee guida dei Garanti europei che hanno cercato di fornire utili chiarimenti in una materia sicuramente molto complessa.

SICUREZZA DEL TRATTAMENTO
Necessità di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio Art. 32 Reg. 2016/679
Premessa fondamentale è un’attenta analisi dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento.

Data Breach
Ma un’ulteriore ed importante istituto previsto dal GDPR che avrà grande rilevanza per i comuni è il data breach già, per la verità, previsto dal Garante in materia sanitaria prima dell’avvento del GDPR.
L’art. 33 del Regolamento dispone che in caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all'autorità di controllo competente ai sensi dell'articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora non sia effettuata entro 72 ore, la notifica all'autorità di controllo è corredata di una giustificazione motivata.

Tale notifica deve come minimo:

      • a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
      • b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
      • c) descrivere le probabili conseguenze della violazione dei dati personali;
      • d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

L’art. 34, invece, prevede un’altra importante incombenza collegata alla precedente e cioè la comunicazione di una violazione dei dati personali all’interessato.
Difatti, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. Notifica da effettuare entro 72 ore da quando si ha conoscenza della violazione Artt. 33 e 34 Reg. 2016/679


Il registro delle attività di trattamento
Descrizione della natura della violazione, delle conseguenze della violazione, delle misure adottate o da adottare.
Non va dimenticata, inoltre, per i Comuni un’altra importante incombenza prevista dal GDPR e molto incoraggiata dall’Autorità Garante e cioè la predisposizione dei registri delle attività di trattamento di cui all’art. 30 del Regolamento.  Nella notifica vanno sempre indicate le generalità del DPO

Per il Garante, difatti, a prescindere dall’obbligo normativo non sempre ricorrente, è essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro. La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171).


Torna ai contenuti | Torna al menu