Blog "Nea Oikonomia" by Michele Rizzo Law Firm


Regolamento UE privacy (GDPR) ed enti pubblici: quali sono i principali obblighi e adempimenti per la PA?

Regolamento UE privacy (GDPR) ed enti pubblici: quali sono i principali obblighi e adempimenti per la PA?

  • Una scadenza ormai imminente

Il prossimo 25 maggio diviene applicabile il regolamento dell’Unione Europea 2016/679 , il cd. general data protection regulation (“GDPR”), che contiene diverse novità in materia di tutela dei dati personali. Il regolamento si applica, com’è proprio di tale fonte normativa, in tutti gli Stati membri senza necessità di trasposizione negli ordinamenti nazionali e si pone come nuova fase del processo di armonizzazione del diritto applicabile in Unione Europea in materia di tutela della privacy.

Il GDPR si inserisce infatti in un contesto legislativo già avanzato (e basato sulla precedente direttiva europea 95/46/CE), che in Italia trova il suo riferimento fondamentale nel d.lgs. n. 196/2003 (cd. codice della privacy). Proprio per evitare sovrapposizioni o incongruenze tra la disciplina europea e quella nazionale, il Governo ha predisposto lo schema di un nuovo decreto legislativo, ancora in corso di approvazione, che dovrebbe essere emanato entro la data, ormai imminente, di avvio dell’applicazione del regolamento europeo. Anche in mancanza di tale decreto legislativo, il 25 maggio il GDPR diverrà comunque vigente a tutti gli effetti (anche se le autorità europee competenti hanno lasciato intendere che vi sarà un periodo di “tolleranza” di sei mesi): le pubbliche amministrazioni, indicate nel regolamento come “autorità pubbliche” e “organismi pubblici”, sono chiamate ad adeguarsi, come gli altri soggetti coinvolti, alle novità introdotte: di seguito si offrono alcune indicazioni basate sugli elementi più rilevanti della nuova disciplina, con specifica attenzione per le caratteristiche del “titolare” di natura pubblicistica.

  • Diritti e obblighi per la libera circolazione dei dati

La filosofia di fondo del GDPR si pone in continuità con quella già propria nella disciplina previgente in materia di privacy: vengono posti infatti degli standard di tutela uniformi ed applicabili in tutti gli Stati membri, i quali, di conseguenza, non possono impedire la circolazione dei dati personali all’interno dell’UE e (a certe condizioni) anche all’esterno di essa. La tutela dei dati dunque si accompagna alla libera circolazione degli stessi, basata su garanzie di sicurezza valide per tutti: questo elemento può portare allo sviluppo di un mercato europeo dei dati personali: un oggetto di scambio particolare e delicato, la cui disponibilità ed elaborazione è a fondamento, come noto, di settori economici sempre più rilevanti a livello internazionale.

La tutela dei dati personali, considerata come un diritto fondamentale dal GDPR, viene riaffermata attraverso una definizione più dettagliata dei diritti propri dell’ “interessato”, ossia della persona fisica cui i dati si riferiscono: vengono infatti affermati espressamente il diritto all’oblio (la cancellazione dei dati), il diritto alla limitazione di trattamento (che limita le possibilità di trattamento dei dati in presenza di situazioni particolari), nonché il diritto alla “portabilità” del dato, ossia alla sua trasferibilità, su iniziativa dell’interessato, da un soggetto ad un altro. Tale diritto si lega al già ricordato principio della libera circolazione dei dati personali in ambito europeo.

Alla definizione più precisa ed estensiva dei diritti degli interessati corrisponde un’affermazione più evoluta anche degli obblighi in capo ai soggetti “titolari” e “responsabili” del trattamento. Queste ultime sono figure già note in base alla disciplina previgente e che corrispondono, rispettivamente, a coloro che determinano finalità e mezzi del trattamento dei dati e a coloro che trattano i dati personali per conto dei titolari del trattamento.

Gli obblighi previsti dal GDPR trovano un riferimento fondamentale nel principio di “responsabilizzazione” (accountability), secondo cui il titolare del trattamento deve adottare le procedure e le misure organizzative necessarie a rispettare i principi di trattamento e tutela dei dati affermati dal regolamento, e deve essere in grado di dimostrare la conformità del trattamento eseguito, con onere della prova dunque a suo carico. Al principio di responsabilizzazione si lega anche, come si vedrà, l’opportuna valutazione dell’impatto che il trattamento dei dati può avere e la relativa analisi e gestione del rischio. Il principio di responsabilizzazione assume un connotato particolare nell’ambito dell’attività pubblica: in essa il trattamento dei dati è sì spesso giustificato dall’esercizio di funzioni e servizi attribuiti dalla legge, ma il rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione dei dati (che devono essere trattati nel limite di quanto necessario per perseguire le finalità dell’amministrazione) può essere considerato ancor più importante che nell’ambito privato, in cui il trattamento dei dati è basato su accordi tra le parti.

  • Gli adempimenti più importanti

Il GDPR introduce una serie di nuovi adempimenti di carattere programmatorio e organizzativo, che mirano alla realizzazione di un contesto in cui si possa ridurre il rischio concreto e sostanziale di lesioni ai diritti degli interessati.

Una delle novità più note è l’introduzione della figura del “responsabile della protezione dei dati” (DPO” da data protection officer), che si aggiunge al titolare del trattamento e al responsabile del trattamento come ruolo fondamentale nell’ambito dei sistemi organizzativi finalizzati alla tutela dei dati personali. Tale figura era già prevista da alcune normative nazionali e nella prassi delle grandi aziende, ma viene resa obbligatoria dal GDPR in modo esplicito per tutte le autorità e gli organismi pubblici.

Il DPO deve essere nominato sia dal titolare che dal responsabile del trattamento, deve essere dotato di adeguata professionalità e competenza nella materia, nonché godere delle risorse necessarie per l’esecuzione dei suoi compiti e di autonomia operativa: per questo motivo, il regolamento europeo prevede espressamente che non può essere rimosso o penalizzato per l’adempimento dei suoi compiti.

Il DPO può essere sia un dipendente dell’ente sia un esterno selezionato, nel caso di amministrazioni pubbliche, con una procedura di affidamento in conformità alle disposizioni sui contratti pubblici. Le amministrazioni possono anche nominare un DPO unico per più enti, sulla base della propria struttura organizzativa e delle proprie dimensioni.

Le funzioni del DPO sono varie e riguardano sia l’informazione e la consulenza per l’amministrazione di riferimento in relazione alla normativa in materia di riservatezza dei dati personali e alla sua attuazione nell’ambito dell’ente, sia un controllo sull’osservanza della normativa, anche in cooperazione con l’autorità garante di riferimento (in Italia, il Garante per la protezione dei dati personali).

Le caratteristiche e le funzioni del DPO vengono declinate, oltre che dal GDPR, dalle linee guida emesse sulla materia dal Gruppo delle autorità garanti degli Stati membri, che è uno strumento utile anche per orientare alcune scelte di fondo relative al DPO (ad esempio, la sua individuazione all’interno o all’esterno dell’ente) e l’esatto ambito delle attività di sua competenza.

Il GDPR richiede inoltre l’adozione di alcuni atti dagli aspetti innovativi anche per le pubbliche amministrazioni:

  • la redazione di una valutazione di impatto sulla protezione dei dati per i trattamenti più rischiosi per i diritti e le libertà degli interessati, che consiste in una relazione che deve contenere una descrizione del tipo del trattamento e delle sue finalità, la valutazione della necessità e della proporzionalità del trattamento in relazione alle finalità perseguite, l’individuazione dei rischi derivanti dallo stesso e delle misure tecniche per gestirli;
  • la previsione di misure tecniche e organizzative adeguate fin dal momento della progettazione dell’attività da cui discende il trattamento, con misure che garantiscano, come impostazione predefinita, il rispetto del principio di proporzionalità e necessità nel trattamento (privacy by design and by default), prevedendo perciò tutti gli aspetti di tutela dei dati fin dal momento della progettazione, ad esempio, di un servizio informatico da acquisire, con misure adeguate e anche ulteriori rispetto a quelle minimi previste dalla normativa (in materia informatica, la circolare Agid n. 2/2017);
  • la predisposizione, a carico dei titolari e dei responsabili del trattamento, di un registro delle attività di trattamento, che contiene le informazioni dettagliate dei trattamenti (riprendendo quanto già previsto dal codice della privacy sul documento programmatico sulla sicurezza – il cd. DPS) e permette di dimostrare la conformità dei diversi trattamenti in caso di controlli da parte dell’autorità garante.

Un altro obbligo importante riguarda la notifica all’autorità garante delle eventuali violazioni di dati personali (fattispecie che comprende la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati, sia per eventi accidentali che per accessi o trasferimenti di dati illeciti) immediatamente e comunque non oltre le settantadue ore.

Il GDPR richiede, inoltre, di rivedere le informative e i moduli di consenso (questi ultimi spesso non necessario in campo pubblico, data la fonte giuridica delle necessità di trattamento), rendendo tali documenti più sintetici ma al contempo completi e aggiornati.

  • La sfida di un recepimento migliorativo dei processi  

Le novità in materia di privacy introdotte dal GDPR possono essere vissute all’interno della pubblica amministrazione come un (ennesimo) elenco di adempimenti formali che distolgono tempo ed energie dall’attività quotidiana e dalle funzioni proprie degli enti. La sfida che si pone è però, ancora una volta, quella di rendere l’attuazione della normativa non un mero adeguamento “sulla carta”, ma un’opportunità di utilizzare ed adattare gli strumenti previsti dalla disciplina per rendere effettivamente più adeguati e – in senso generale – più conformi all’interesse pubblico, i processi e l’organizzazione delle amministrazioni.

Per questo, l’adeguamento al nuovo sistema della privacy richiede senz’altro una revisione di atti organizzativi e procedure interne, che possano essere effettivamente recepiti nell’operato quotidiano di dipendenti e funzionari dalla PA.

Nell’ambito pubblico, questo processo innovativo richiede anche uno sforzo di coordinamento con altri settori disciplinari che rispondono ad interessi diversi: basti pensare, in questo senso, alla disciplina in materia di trasparenza, che è incentrata per definizione sulla diffusione dei dati.

In questo contesto diventa ancor più fondamentale la scelta e la valorizzazione del DPO, che deve avere una solida formazione giuridica e una preparazione approfondita in materia di diritto della privacy, ma deve anche conoscere (o essere messo nelle condizioni di conoscere, se esterno) le procedure, le prassi e gli strumenti propri dell’ente di riferimento. Per questo va valutata attentamente l’opportunità di affidare l’incarico ad un soggetto esterno, nel qual caso riveste anche grande importanza la definizione contrattuale dei compiti e dei livelli di servizio.

L’adeguamento al GDPR è dunque un processo complesso che, ovviamente, non si esaurisce il 25 maggio e deve coinvolgere professionalità adeguate che, anche al di fuori dell’incarico di data protection officer, possano assistere gli enti nella revisione dei propri atti e nei percorsi di attuazione e formazione conseguenti.

Related posts

Il Correttivo al Codice dei Contratti Pubblici: una panoramica delle principali novità

Il Correttivo al Codice dei Contratti Pubblici: una panoramica delle principali novità

Lo scorso 31 dicembre 2024 è stato pubblicato sulla Gazzetta Ufficiale n. 305 il d.lgs. n. 209/2024 recante “Disposizioni integrative e correttive...

Il nuovo testo unico sulle rinnovabili: quali novità?

Il nuovo testo unico sulle rinnovabili: quali novità?

Con il decreto legislativo n. 190/2024, pubblicato in Gazzetta Ufficiale il 12 dicembre 2024 ed entrato in vigore dal 30 dicembre scorso, il...