GDPR: gli adempimenti a carico dei Comuni
Fonte: Michele Iaselli - Avvocato, docente di logica ed informatica giuridica presso l´Università degli Studi di Napoli Federico II.
Il GDPR , in realtà, non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, v. Art. 6 e art. 9 , comma 2 , per i dati sensibili), anche se poi, come vedremo tra breve, alcune di esse riguardano lo svolgimento di attività pubbliche.
Il nuovo Regolamento, quindi, non si tratta di un problema di trattamento, ma di una prima lettura dello schema del d.lgs. di adeguamento della normativa nazionale al GDPR approvato in esame preliminare dal CdM Sembra che vi sia l'intenzione di prevedere alcune disposizioni settoriali).
A differenza del Codice Privacy (D.lgs. N. 196/2003), il nuovo regolamento europeo non contiene la suddivisione tra le condizioni di liceità in materia di diritti riservati ai soggetti pubblici, come accadeva con il Capo II del Codice Privacy , dove, ad eccezione del settore sanitario, si menzionava l'istituto del consenso quale elemento distintivo tra titolari privati e titolari pubblici.
In effetti, tra gli stessi presupposti di liceità del trattamento dei dati personali il GDPR all ' art. 6, lett. e) fa riferimento alla necessarietà del trattamento per un incarico di interesse pubblico.
Si pensi, poi, all'art. 9 del GDPR che tra le eccezioni al divieto generale di trattare i dati personali sensibili fa rientrare:
|
- il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; |
|
- il trattamento necessario per motivi di interesse per la tutela dei diritti e per tutelare i diritti fondamentali e gli interessi dell'interessato; |
|
- il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro o comunque necessario per motivi di interesse pubblico nel settore della sanità pubblica; |
|
- il trattamento necessario a fini di archiviazione nel settore pubblico, di ricerca scientifica o storica oa fini statistici. |
L’art. 10 del GDPR, poi, con riferimento al trattamento dei dati giudiziari chiarisce che lo stesso deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Anche un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
Altra norma di sicuro interesse per l’indubbia rilevanza in materia pubblicistica è rappresentata dall’art. 23 del GDPR che chiarisce come il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento possa limitare, mediante specifiche misure legislative, la portata di alcuni fondamentali obblighi e diritti degli interessati qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare tra gli altri anche finalità di pubblico interesse.
Possiamo, inoltre, affermare che esistono diverse attività, svolte da soggetti pubblici, ed in particolare dai Comuni, che non sono tecnicamente qualificabili come “compiti”, ed è questo il caso, sottolineano i Garanti europei, dell’attività di videosorveglianza di strutture pubbliche. In questi casi, premesso che non si tratta di veri e propri compiti, c’è da domandarsi quale sia la condizione di liceità che consente ai soggetti pubblici di svolgere attività di videosorveglianza. Il gruppo dei Garanti Europei, già nell’aprile 2014, affrontò il problema con riferimento alla Direttiva 95/46/Ce, stabilendo che tale attività risultava lecita quando rispondeva ad un interesse pubblico riconducibile ai punti e) o f) dell’articolo 7 della suindicata direttiva.
Nell’ottica del GDPR se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
La responsabilizzazione dei titolari del trattamento dei dati è il principio fondamentale alla base del nuovo regolamento, mentre il secondo aspetto di rilievo riguarda la mappatura e la ricognizione dei trattamenti svolti dalle diverse amministrazioni e le loro principali caratteristiche”. La ricognizione sarà l’occasione per verificare il rispetto dei principi fondamentali (art. 5).
IL DPO
Già da questa “novità” si intuisce la necessità, anche da parte dei comuni, di dotarsi di persone competenti nella gestione dei modelli privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. Da qui, si comprende la portata di un’altra disposizione di rilievo e cioè l’introduzione obbligatoria della figura del Data Protection Officer.
La vera novità del GDPR riguarda questa figura (art. 37, 38 e 39), tanto più che nella Pubblica amministrazione è obbligatoria la sua nomina, con qualche eccezione, come ad esempio proprio i piccoli comuni che potranno condividerlo.
Come noto l’art. 37 del Regolamento prevede che quando:
|
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure |
|
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure |
|
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10. |
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (c.d. data protection officer).
Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione (ed è questo il caso presumibile dei piccoli comuni). Difatti proprio in questo periodo stiamo assistendo a diverse iniziative di carattere consortile di diversi comuni che anche per evidenti ragioni economiche sfruttano questa disposizione per riunirsi e prevedere un unico DPO di riferimento. Talvolta queste iniziative sono suggerite proprio da studi legali o società specializzate nel settore in grado di offrire servizi di consulenza, ma è necessario chiarire che i comuni interessati devono essere piccoli con poche migliaia di abitanti e vicini territorialmente al fine di agevolare l’attività del DPO. Tali circostanze devono essere, tra l’altro, specificate nell’atto di designazione del DPO per giustificare l’accorpamento delle diverse realtà territoriali.
Si ricorda che il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.
Naturalmente per i noti problemi connessi alla scarsità di risorse della P.A. è prevedibile che la maggior parte degli enti pubblici attingeranno dal proprio personale per la designazione di un DPO e questo comporterà, indubbiamente, alcuni problemi (come evidenziato dal WP 29, istituito dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, nelle linee guida sui responsabili della protezione dei dati, RPD acronimo equivalente a DPO, adottate il 16 dicembre 2016 ed emendate poi il 5 aprile 2017, al fine di chiarire quali debbano essere i requisiti ed i compiti di un Data Protection Officer e quale dovrà essere in concreto il suo apporto nel campo della protezione dei dati personali di un’unità organizzativa). Questa possibilità, per la verità, appare remota per molti comuni che non dispongono al loro interno di professionalità adeguate e per questi motivi, almeno per le piccole realtà territoriali, si sta scegliendo la soluzione dell’accorpamento come specificato in precedenza.
Ovviamente queste considerazioni mettono in rilievo uno dei problemi di maggiore rilevanza in ambito pubblicistico e cioè l’adeguata formazione del DPO che deve avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati. Ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei DPO, che dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione (forum in materia di privacy, workshop, ecc.).
Si ricorda, comunque, che il Garante ha reso disponibili alcune Faq sul DPO in ambito pubblicistico proponendo anche uno schema per la designazione del DPO da parte degli enti pubblici.
|
DPO (Data Protection Officer) |
NOMINA OBBLIGATORIA |
RIFERIMENTI NORMATIVI |
COMPITI |
NOTE |
|
√ |
Compiti di consulenza e di sorveglianza sul rispetto del GDPR |
I piccoli comuni possono condividere il DPO |
] [
]
[
]
[
] 