GDPR: quali le regole per i soggetti pubblici?


Il nuovo Regolamento europeo, non indica delle differenze tra il trattamento dei dati personali effettuato dai soggetti pubblici e da soggetti privati, né tantomeno prevede delle norme specifiche dedicate al settore privato e pubblico

Tempo di lettura: 14 minuti



Il GDPR non si focalizza sul titolare del trattamento, ma sulla modalità di trattamento, che deve adeguarsi alle nuove condizioni di liceità dettate dalla normativa comunitaria.

Questa è sicuramente una differenza rispetto al Codice Privacy (D.lgs. n. 196/2003), che prevedeva al Capo II, una distinzione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici, dove, l’istituto del consenso costituiva l’elemento distintivo tra titolari privati e titolari pubblici.

GDPR: pubblica amministrazione

GDPR: pubblica amministrazione

Il Regolamento, all’art.6, lett., considera presupposto per il trattamento dei dati personali, la necessarietà del trattamento stesso per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

L'’art. 9, poi, indica quali eccezioni al divieto generale di trattare dati personali sensibili:

  • il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
  • il trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
  • il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, o comunque necessario per motivi di interesse pubblico nel settore della sanità pubblica.
  • il trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Così come, per il trattamento dei dati giudiziari, è disposto che lo stesso deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art.10)

Ancora, l’art.23 del GDPR stabilisce che il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante specifiche misure legislative, la portata di alcuni fondamentali obblighi e diritti degli interessati qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata per salvaguardare tra gli altri anche finalità di pubblico interesse.

La responsabilizzazione dei titolari del trattamento dei dati (siano essi privati o pubblici) è alla base del nuovo regolamento, e si coordina perfettamente alla necessità di svolgere periodicamente una ricognizione dei trattamenti svolti dalle diverse amministrazioni e le loro principali caratteristiche, per verificare il rispetto dei principi fondamentali.

Data Protection Officer

Abbiamo già parlato di una delle novità più rilevanti del nuovo Regolamento: l’introduzione della figura del Data Protection Officer (DPO).

Un’introduzione necessaria anche da parte dei Comuni, che dovranno dotarsi di persone competenti nella gestione dei modelli privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti.

L'’importanza di questa figura si avverte ancor di più nella Pubblica amministrazione, dove la sua nomina è obbligatoria (con qualche eccezione, come ad esempio proprio i piccoli comuni che potranno condividerlo).

L’art. 37 del Regolamento prevede che quando: il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

Oppure le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10, il l titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati.

Se, poi, il titolare del trattamento o il responsabile del trattamento è un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione (ed è questo il caso presumibile dei piccoli comuni).

Il DPO è scelto soprattutto sulla base di una particolare conoscenza della normativa e delle pratiche in materia di protezione dei dati.

Tale figura, di alto livello professionale, può essere sia un dipendente del titolare del trattamento o del responsabile del trattamento sia un libero professionista (per i problemi connessi alla scarsità di risorse della P.A. è prevedibile che la maggior parte degli enti pubblici attingeranno dal proprio personale per la designazione di un DPO, dovendo però sperare in un’adeguata preparazione degli stessi.

Sarebbe necessaria un’adeguata formazione del DPO, che deve avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati).

LEGGI ANCHE: GDPR e COA: le FAQ per gli ordini degli avvocati

GDPR: Privacy e trasparenza

GDPR: Privacy e trasparenza

Nei Comuni, come del resto in tutta la PA, è in tempi più recenti che si è iniziata a capire l’importanza di un corretto utilizzo e trattamento dei dati personali che passano per gli uffici pubblici, rendendoli sempre più disponibili e trasparenti.

È necessario, quindi, garantire sempre un equilibrio fra privacy e trasparenza: il d.lgs. n.33/2013 nel disciplinare il riutilizzo dei dati pubblicati, ne regola i rapporti con la normativa in materia di protezione dei dati personali, spiegando che gli obblighi di pubblicazione dei dati personali (diversi dai dati sensibili e dai dati giudiziari), comportano la possibilità di una diffusione degli stessi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo nel rispetto dei principi sul trattamento dei dati personali.

Per garantire questo equilibrio, il Garante per la privacy è intervenuto con apposite Linee guida, proprio per assicurare il rispetto della disciplina in materia di protezione dei dati personali, indicando le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui diffondono dati personali sui propri siti web istituzionali, per finalità di trasparenza o per altri scopi di pubblicità.

Nell’ambito pubblicistico il concetto di trasparenza è collegato a quello di accountability, ovvero “rendere conto” (uno dei pilastri della nuova normativa comunitaria): i cittadini devono avere la possibilità di formulare domande e osservazioni sul rendimento degli uffici comunali e dei dirigenti che li guidano.

L’accountability, difatti, si compone di:

  • trasparenza, ovvero la garanzia di poter sempre accedere alle informazioni raccolte.
  • responsività, intesa come capacità di rendere conto di scelte, comportamenti e azioni.
  • compliance, cioè la capacità di far rispettare le norme, sia nel senso di realizzare l’obiettivo stabilito nelle leggi, che nel senso di fare osservare le regole agli operatori della PA.

La sicurezza dei dati personali

Per garantire la disponibilità, l'integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione, fondamentale è il tema della sicurezza dei dati nei comuni.

Per questo l’art. 32 del GDPR stabilisce che, a prescindere da misure di sicurezza predeterminate, il titolare del trattamento e il responsabile del trattamento, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

L’art. 35, poi, prevede che, il titolare del trattamento, deve svolgere una valutazione d’impatto qualora un tipo di trattamento, per il quale è richiesto l’impiego di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Tale valutazione comporta:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l'interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità.
  • una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1.
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Altro istituto previsto dal Regolamento UE è il data breach:  in caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo competente, senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (art.33).

Tale notifica deve: descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati; comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; descrivere le probabili conseguenze della violazione dei dati personali; descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo (art.34).

LEGGI ANCHE: Principio di accountability: pilastro del nuovo GDPR

GDPR: registro delle attività di trattamento

Per i Comuni, infine, è fondamentale predisporre dei registri delle attività di trattamento di cui all’art. 30 del Regolamento, secondo cui ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

Il registro dei trattamenti, quindi, è uno strumento fondamentale, per questo motivo il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, ha ritenuto che: “il registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione,  a compiere i passi necessari per dotarsi di tale registro.

Per il Garante è necessario avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche funzionale all'istituzione del registro.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale


La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.