GDPR: quali conseguenze avrà sui Comuni?

Come è noto, a partire dal 25 maggio sarà direttamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679, alias GDPR (General Data Protection Regulation). Dal momento che quest’ultimo coinvolge non solo le imprese ma anche gli enti pubblici, è lecito domandarsi a che punto siano i Comuni italiani con la sua implementazione.

1. Gli adempimenti a carico dei Comuni

Innanzitutto è doveroso premettere che il GDPR si occupa in generale delle condizioni di liceità del trattamento[1], senza fornire una suddivisione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici[2].
Tuttavia, lo stesso Regolamento prevede degli adempimenti a carico dei ‘soggetti pubblici’, facendo rientrare tra questi ultimi, dunque, anche i Comuni. Questi obblighi attengono:

• la videosorveglianza strutture pubbliche. C’è da chiedersi, in proposito, quale sia la condizione di liceità che permette ad un ente pubblico di svolgere attività di videosorveglianza[3];
• l’introduzione del Data Protection Officer (DPO)[4]. Si prevede, per evidenti ragioni economiche ed al fine di agevolare l’attività del DPO, la possibilità di iniziative consortili per piccoli Comuni (più Comuni con un unico DPO di riferimento)[5];
• l’applicazione di cautele in caso di diffusione di dati personali. Ci si riferisce, in particolare, alle misure (non tipizzate) che dovrà predisporre il titolare del trattamento ed il responsabile del trattamento. Queste possono comprendere: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
• trasparenza e accountability. Con la nuova normativa, l’approccio della P.A. in tema di trasparenza passa da quantitativo a qualitativo, mirando a garantire i cittadini dall’adozione di decisioni poco comprensibili (e, dunque, non trasparenti) da parte del potere amministrativo. L’accountability, pertanto, si compone di almeno tre elementi: a) trasparenza, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio; b) responsività, intesa come capacità di rendere conto di scelte, comportamenti e azioni, rispondendo alle questioni poste dagli stakeholders; c) compliance, intesa come la capacità di far rispettare le norme, sia nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi, che nel senso di fare osservare le regole di comportamento degli operatori della P.A.;
• valutazione di impatto sulla protezione dei dati. Si tratta di un’attività molto delicata per la P.A., in quanto richiede una notevole specializzazione in materia, dovendo contenere: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al §1 del Regolamento; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione;
• data breach ed informativa all’interessato. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare entro 72 ore in modo chiaro, semplice ed immediato anche tutti gli interessati, offrendo indicazioni su come intende limitare le possibili conseguenze negative. Tale notifica deve descrivere almeno: a) la natura della violazione dei dati personali (compresi, ove possibile, le categorie ed il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) le probabili conseguenze; d) le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;
• la predisposizione dei registri delle attività di trattamento. Per consentire la ricognizione, da parte dell’Autorità Garante, dei trattamenti svolti e delle loro principali caratteristiche, bisognerà verificare attraverso la consultazione dei registri il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (artt. 6, 9 e 10), nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (art. 25).

2. Norme specifiche sul trattamento dei dati personali

Una norma di sicuro interesse per i Comuni è quella che fa rientrare, tra le eccezioni al divieto generale di trattare dati personali sensibili[6]:

• il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria oppure ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali. A riguardo, si rammenta che il trattamento dei dati giudiziari dovrà avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal Diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Anche un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica[7];
•  il trattamento necessario per motivi di interesse pubblico rilevante sulla base del Diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
• il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro o comunque necessario per motivi di interesse pubblico nel settore della sanità pubblica;
• il trattamento necessario ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Prevista, inoltre, la possibilità di limitare la portata di alcuni fondamentali obblighi e diritti degli interessati, da parte del Diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento, mediante specifiche misure legislative, qualora tale limitazione rispetti l’essenza dei diritti e le libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare tra gli altri anche finalità di pubblico interesse[8].

3. GDPR e strategie attuative

Con l’avvento del GDPR saranno fondamentali i programmi di compliance di cui dovrà dotarsi ciascuna Amministrazione, per evitare di incorrere nelle ingenti sanzioni previste dalla riforma[9].
Infatti, come già segnalato dall’Avv. Adriano D’Ottavio dello Studio Legale Portolano Cavall0o, intervistato per Ius in itinere[10], l’attività più importante richiesta (anche) dai Comuni è «far convergere i programmi di compliance svolti fino ad oggi sotto il D.lgs. 196/2003 verso le nuove attività di compliance obbligatorie ai sensi del GDPR». Tuttavia, prosegue D’Ottavio, «la lentezza con cui si sta procedendo l’adeguamento normativo a livello nazionale influenza, anche e soprattutto a causa dei molteplici dubbi interpretativi e applicativi del GDPR ad oggi non ancora risolti».

Sono ancora pochi gli esempi “virtuosi” in tal senso, tra cui si segnala la Regione Piemonte, la quale ha predisposto una “Agenda Digitale Piemontese” per aiutare i relativi Comuni ad adeguarsi al GDPR: una vera e propria “cassetta degli attrezzi” con tanto di indicazioni, linee guida, esperienze, proposte di modulistica e riferimenti utili destinati a coloro che all’interno delle Amministrazioni avranno il compito di “costruire” i processi e tutta la documentazione atta a concretizzare il principio di accountability[11].
In proposito si è mossa anche Ancitel (la struttura tecnica a supporto dei Comuni italiani), la quale sta effettuando una rilevazione sullo stato degli Enti locali per quanto riguarda la privacy[12]. È stata infatti inviata una lettera a tutti i Comuni italiani in cui viene richiesto di compilare un questionario diviso in due sezioni:

• situazione attuale e criticità riscontrate dall’Ente per gli adempimenti previsti dal Codice in materia di protezione dei dati personali;
• iniziative che saranno messe in campo dall’Ente per adeguarsi al nuovo Regolamento Europeo sulla Privacy.

In conclusione, l’impressione è che molti Comuni non abbiano ancora compreso appieno la portata del nuovo Regolamento, il quale – si ripete – prevede anche cospicue sanzioni in caso di mancata osservanza delle norme contenute al suo interno. Bisognerà dunque attendere il 25 maggio 2018 per ogni ulteriore valutazione.

 

 

[1] Artt. 6 e 9, comma 2 Regolamento UE 2016/679.

[2] Cosa rinvenibile, invece, nel Codice della Privacy (D.lgs. n. 196/2003) che  menzionava, al Capo II, l’istituto del consenso quale elemento distintivo tra titolari privati e titolari pubblici (ad eccezione del settore sanitario).

[3] La questione è stata affrontata dal gruppo dei Garanti Europei nel 2014 con riferimento alla Direttiva 95/46/CE, stabilendo che tale attività risultava lecita quando rispondeva ad un interesse pubblico riconducibile ai punti e) o f) della suddetta Direttiva.

[4] Simone Cedrola, Il Data Protection Officer: ruolo e funzioni, gennaio 2018, disponibile qui: https://www.iusinitinere.it/data-protection-officer-dpo-ruolo-funzioni-6976

[5] In proposito si osserva che il Garante ha reso disponibili sul proprio sito alcune Faq sul DPO in ambito pubblicistico.

[6] Art. 9 Regolamento UE 2016/679.

[7] Art. 10 Regolamento UE 2016/679.

[8] Art. 23 Regolamento UE 2016/679.

[9] Simone Cedrola, La disciplina delle sanzioni previste dal GDPR, marzo 2018, disponibile qui:https://www.iusinitinere.it/quadro-sanzionatorio-previsto-dal-gdpr-8445

[10] Simone Cedrola, Privacy, GDPR e molto altro: risponde l’Avv. D’Ottavio di Portolano Cavallo, gennaio 2018, disponibile qui: https://www.iusinitinere.it/privacy-gdpr-risponde-avv-dottavio-di-portolano-cavallo-7048

[11] http://www.anci.piemonte.it

[12] www.corrierecomunicazioni.it