Pubblica amministrazione e Regolamento europeo a tutela della privacy: come devono adempiere

Scarica PDF Stampa
Le nuove sfide con le quali la pubblica amministrazione è chiamata a confrontarsi quotidianamente sono la semplificazione, la trasparenza, la prevenzione della corruzione e la digitalizzazione.

Strettamente connesso al processo di trasformazione digitale, ma anche alla trasparenza che ne rappresenta l’interesse contrapposto, è il Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali.

Volume consigliato

Il Regolamento, noto anche come “GDPR  General Data Protection Regulation” ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (art. 1, par. 1) e disciplina i trattamenti di dati personali, sia nel settore privato che nel settore pubblico.

L’adozione di un modello organizzativo dell’ente in materia di protezione dei dati, la nomina del Data Protection Officer e la responsabilizzazione dei titolari del trattamento

Il Regolamento si preoccupa di “responsabilizzare”. In particolare il titolare del trattamento adotta politiche e attua misure adeguate per garantire che il trattamento dei dati effettuato è conforme al GDPR (art. 5).

Gli enti, ai fini dell’adeguamento al Regolamento, sono tenuti a adottare un atto di macro organizzazione (modello organizzativo), il quale descrive analiticamente quali soggetti sono coinvolti nella protezione dei dati.

Il Titolare del trattamento dei dati personali  è il Comune.

Una figura completamente nuova, introdotta dal GDPR è il Data Protection Officer.

Le Pubbliche amministrazioni,pertanto, hanno proceduto a nominare un DPO, ovvero un responsabile della protezione dei dati personali, il quale deve necessariamente essere previsto nel proprio modello organizzativo.

I dati ed i riferimenti del Responsabile della protezione dei dati personali devono, inoltre, essere pubblicati sul sito istituzionale dell’ente.

Altre figure previste nel modello organizzativo sono inoltre i soggetti Responsabili del trattamento e i soggetti autorizzati al trattamento

I responsabili del trattamento coincidono di regola con i responsabili dei servizi e per individuarli è utile fare riferimento alla suddivisione in unità o servizi previsti nell’organigramma. Pertanto responsabile dei dati del trattamento di un determinato procedimento è l’ufficio o servizio cui spetta quel determinato procedimento.

I dati personali degli interessati sono trattati da personale interno previamente autorizzato e designato quale incaricato del trattamento, a cui sono impartite idonee istruzioni in ordine a misure, accorgimenti, modus operandi, tutti volti alla concreta tutela dei  dati personali.

La nomina dei responsabili esterni del trattamento, ai sensi dell’art. 28 GDPR

L’articolo 28 GDPR prevede che qualora un trattamento deve essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

L’ente può avvalersi di soggetti terzi Responsabili esterni del trattamento per l’espletamento di attività e relativi trattamenti di dati personali di cui l’Ente ha la titolarità. Conformemente a quanto stabilito dalla normativa, tali soggetti assicurano livelli di esperienza, capacità e affidabilità tali da garantire il rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza dei dati.

Vengono formalizzate da parte dell’Ente istruzioni, compiti ed oneri in capo a tali soggetti terzi con la designazione degli stessi a “Responsabili del trattamento“. Vengono sottoposti tali soggetti a verifiche periodiche al fine di constatare il mantenimento dei livelli di garanzia registrati in occasione dell’affidamento dell’incarico iniziale.

Il registro dei trattamenti

Un ulteriore adempimento cui sono chiamate le pubbliche amministrazioni è quello previsto dall’art. 30 del GDPR. Si tratta dell’adozione del registro dei trattamenti, ovvero di un registro delle attività di trattamento in cui descrivere: nome e i dati di contatto del titolare del trattamento e del DPO; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; i termini ultimi previsti per la cancellazione delle diverse categorie di dati; una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione.

La tutela della privacy e la contrapposta esigenza di trasparenza

La tutela della risservatezza dei dati personali trova il limite nella contrapposta esigenza di trasparenza cui è tenuta la pubblica amministrazione.

La pubblica amministrazione, come noto, è tenuta ad adempiere a obblighi di pubblicità, traparenza e diffusione.

Tali obblighi sono divenuti nel corso degli anni sempre maggiori. Si pensi che la pubblica amministrazione è stata definita dalla dottrina “casa di vetro”.

In particolare, con il Decreto legislativo n.97/2016 “Revisione e semplificazione delle disposizioni in materia di Prevenzione della Corruzione Pubblicità e Trasparenza” è stata introdotta una nuova forma di accesso civico, ispirato al cd. “Freedom of information act”: l’accesso civico generalizzato. Questa forma di accesso prevede che chiunque può accedere a tutti i dati e ai documenti posseduti dalle pubbliche amministrazioni. L’accesso si estende, pertanto, anche ai dati per i quali non sussiste uno specifico obbligo di pubblicazione. Chiunque può presentare l’istanza di accesso civico generalizzato senza necessità di fornire motivazioni.

Il legislatore, attraverso l’introduzione dell’accesso civico generalizzato, ha voluto consentire l’accesso ai documenti detenuti dalle pubbliche amministrazioni, ulteriori a quelli oggetto di pubblicazione, a “chiunque”, prescindendo da un interesse manifesto. L’intento del legislatore delegato è stato quello di favorire forme diffuse di controllo nel perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche, promuovendo così la partecipazione al dibattito pubblico. Ulteriore forma di accesso è l’accesso civico. Si tratta del diritto di chiunque di richiedere i documenti, le informazioni o i dati che le pubbliche amministrazioni abbiano omesso di pubblicare pur avendone l’obbligo, come previsto dall’ art. 5, comma 1, del D Lgs 33/2013. Chiunque può presentare l’istanza di accesso civico, senza necessità di fornire motivazioni. Infine, vi è il diritto di accesso disciplinato dagli artt. 22 e ss. della L.241/1990, il quale riconosce il diritto di accesso agli atti del procedimento ai soggetti che detengono un interesse giuridicamente qualificato.

Il potenziale conflitto tra i due interessi contrapposti si risolve attraverso il bilanciamento in delle due esigenze contrapposte, da un lato quella della riservatezza, dall’altro quella della trasparenza, adottando la soluzione adeguata al caso concreto.

Volume consigliato

Dott.ssa Laura Facondini

Scrivi un commento

Accedi per poter inserire un commento