Sono trascorsi quattordici anni dall’entrata in vigore del Codice in materia di protezione dei dati personali e proprio quest’anno il Garante della Privacy festeggia il ventennale della sua costituzione. Un processo di adeguamento, quello condotto in tutti questi anni, che ha portato gli Enti Locali ad affrontare in maniera più strutturata e consapevole il tema del trattamento dei dati personali. E’ sottinteso che il diritto di privacy non è legato alla tipologia di trattamento posta in essere, sia essa cartacea che digitale, ma è chiaro che – con l’avvento delle nuove tecnologie e del web – la tutela dei dati personali diventa essenziale, considerate le ripercussioni che una violazione dei dati (c.d. data breach) può generare in un mondo completamente connesso. E’ proprio di qualche giorno fa, infatti, la sospensione del servizio on-line dell’Agenzia delle Entrate per un bug che consentiva – inserendo soltanto il codice fiscale dei contribuenti – di accedere a tutti i loro dati in palese violazione della privacy.
Un tema, quello della privacy, che non conosce confini nazionali e geografici, pertanto era prevedibile e pure auspicabile che l’Unione Europea definisse delle disposizioni che regolamentassero in maniera uniforme le modalità di trattamento dei dati personali negli Stati membri.
Il 4 maggio 2016, infatti, è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il Regolamento è vigente 20 giorni dopo la pubblicazione in GUUE e diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Il Regolamento avrà effetti importanti sulle Pubbliche Amministrazioni che dovranno da subito rivedere il proprio “sistema privacy” identificando il “Responsabile della protezione dei dati” così come previsto dall’art. 37 del Regolamento Europeo.
La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5). Un cambio di passo rispetto all’impianto del precedente codice Privacy perché non vengono stabilite misure di sicurezza da applicare ma questa attività viene demandata al responsabile della protezione dei dati.
La designazione del DPO – Data Protection Officer (artt. 37-39). Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. In questo ambito, vanno tenuti in considerazione i requisiti normativi che sono relativi al suo operato: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate).
L’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171). Essenziale avviare quanto prima la ricognizione dei trattamenti svolti presso i comuni e le loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità di introdurre misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso.
Ancitel, la struttura tecnica a supporto dei comuni italiani, sta effettuando una rilevazione sullo stato degli Enti Locali per quanto riguarda la privacy. Per questo è stata inviata una lettera a tutti i Comuni italiani e a firma dell’Ad di Ancitel Franco Minucci, in cui viene richiesto di compilare un questionario diviso in due sezioni: situazione attuale e criticità riscontrate dall’Ente per gli adempimenti previsti dal Codice in materia di protezione dei dati personali; iniziative che saranno messe in campo dall’Ente per adeguarsi al nuovo Regolamento Europeo sulla Privacy.
Il questionario resterà on-line fino al 10 ottobre e può essere compilato al seguente link: https://goo.gl/forms/TPVALVbGlXZEuKMz2
Ai Comuni che invieranno il questionario sarà trasmessa una copia del rapporto redatto da Ancitel e della documentazione gratuita. Invece per gli amministratori che parteciperanno ai lavori della XXXIV Assemblea ANCI che si terrà a Vicenza dall’11 al 13 ottobre, l’appuntamento è il 13 ottobre dalle ore 9,30 alle ore 11 per un briefing sul tema della privacy. Info e prenotazioni: http://portale.ancitel.it/privacy-e-enti-locali-le-nuove-regole-sulla-protezione-dei-dati-personali/