Le sfide della pubblica amministrazione con la digitalizzazione

Il Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali: la sfida della P.A. sulla protezione della privacy

di Laura Facondini, Dott.ssa

Versione PDF del documento

Le sfide con le quali la pubblica amministrazione è chiamata a confrontarsi quotidianamente sono la semplificazione, la trasparenza, la prevenzione della corruzione e la digitalizzazione.

Strettamente connesso al processo di trasformazione digitale, ma anche alla trasparenza che ne rappresenta l’interesse contrapposto, è il Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali.

Il Regolamento, noto anche come “GDPR – General Data Protection Regulation”, ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (art. 1, par. 1) e disciplina i trattamenti di dati personali, sia nel settore privato che nel settore pubblico.

Nozioni fondamentali

Il testo del Regolamento definisce dato personale come qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Si considera identificabile la persona fisica che può essere identificata direttamente o indirettamente.

Vengono presi in considerazione anche i dati relativi all’ubicazione e gli identificativi online. Pertanto, l’attività svolta in rete lasciando tracce viene tutelata dal GDPR.

Si considerano categorie particolari di dati, quei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici e i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Il trattamento è descritto come qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta la registrazione, l’organizzazione e le altre operazioni sul dato.

Il titolare del trattamento è la persona fisica o giuridica l’autorità pubblica o il servizio che determina le finalità del trattamento di dati personali.

Per Responsabile di trattamento si intende la persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento.

Gli adempimenti a cui sono tenute le Pubbliche Amministrazioni

Le Amministrazioni sono tenute, in particolare all’adozione di un modello organizzativo dell’ente in materia di protezione dei dati, alla nomina del Data Protection Officer ed alla responsabilizzazione in quanto titolari del trattamento.

Il Regolamento si preoccupa di “responsabilizzare”. In particolare, il titolare del trattamento adotta politiche e attua misure adeguate a garantire che il trattamento dei dati effettuato sia conforme al GDPR (art. 5).

 

Il Modello organizzativo

Gli enti, ai fini dell’adeguamento al Regolamento, sono tenuti a adottare un atto di macro-organizzazione, il modello organizzativo, il quale descrive analiticamente quali soggetti sono coinvolti nella protezione dei dati.

Il Titolare del trattamento dei dati personali è tenuto a porre in essere tutte le misure tecniche o organizzative adeguate al fine di garantire il corretto trattamento dei dati.

Una figura completamente nuova, introdotta dal GDPR è il Data Protection Officer.

Le Pubbliche amministrazioni, pertanto, hanno proceduto a nominare un DPO, ovvero un responsabile della protezione dei dati personali, il quale deve necessariamente essere previsto ed incardinato nel proprio modello organizzativo.

I dati ed i riferimenti del Responsabile della protezione dei dati personali devono, inoltre, essere pubblicatisul sito istituzionale dell’ente.

Altre figure previste nel modello organizzativo sono i soggetti delegati attuatori e i soggetti autorizzati al trattamento.

I Soggetti delegati attuatori coincidono di regola con i Dirigenti o responsabili dei servizi e per individuarli è utile fare riferimento alla suddivisione in unità o servizi previsti nell’organigramma. Pertanto, responsabile dei dati del trattamento di un determinato procedimento è l’ufficio o servizio cui spetta quel determinato procedimento.

I compiti assegnati ai soggetti delegati attuatori, in particolare, sono: verificare la legittimità dei trattamenti; adottare le soluzioni di privacy by deisgn e by default; tenere costantemente aggiornato il registro delle attività di trattamento; fornire istruzioni ai soggetti autorizzati, predisporre ogni adempimento organizzativo necessario.

I dati personali degli interessati sono trattati da personale interno previamente autorizzato e designato quale Soggetto autorizzato al trattamento, a cui sono impartite idonee istruzioni in ordine a misure, accorgimenti, modus operandi, tutti volti alla concreta tutela dei dati personali.

Il registro dei trattamenti

Un ulteriore adempimento cui sono chiamate le pubbliche amministrazioni è quello previsto dall’art. 30 del GDPR. Si tratta dell’adozione del registro dei trattamenti, ovvero di un registro delle attività di trattamento in cui descrivere: nome e i dati di contatto del titolare del trattamento e del DPO; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; i termini ultimi previsti per la cancellazione delle diverse categorie di dati; una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione.

L’informativa

Il Regolamento rafforza, inoltre, l’obbligo di fornire informazioni agli interessati riguardo ai trattamenti dei dati personali, attraverso l’informativa.

L’informativa deve essere redatta in modo semplice e chiaro per essere compresa da tutti i soggetti interessati e in queste deve essere indicato come il dato personale viene trattato e deve contenere le modalità con cui l’interessato può esercitare i suoi diritti.

La nomina dei responsabili esterni del trattamento, ai sensi dell’art. 28 GDPR

L’articolo 28 GDPR prevede che qualora un trattamento deve essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

L’ente può avvalersi di soggetti terzi Responsabili esterni del trattamento per l’espletamento di attività e relativi trattamenti di dati personali di cui l’Ente ha la titolarità. Conformemente a quanto stabilito dalla normativa, tali soggetti assicurano livelli di esperienza, capacità e affidabilità tali da garantire il rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza dei dati.

Vengono formalizzate da parte dell’Ente istruzioni, compiti ed oneri in capo a tali soggetti terzi con la designazione degli stessi a “Responsabili del trattamento”. Vengono sottoposti tali soggetti a verifiche periodiche al fine di constatare il mantenimento dei livelli di garanzia registrati in occasione dell’affidamento dell’incarico iniziale.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



La tutela della privacy e la contrapposta esigenza di trasparenza

La tutela della riservatezza dei dati personali trova il limite nella contrapposta esigenza di trasparenza cui è tenuta la pubblica amministrazione.

La pubblica amministrazione, come noto, è tenuta ad adempiere a obblighi di pubblicità, trasparenza e diffusione.

Tali obblighi sono divenuti nel corso degli anni sempre maggiori. Si pensi che la pubblica amministrazione è stata definita dalla dottrina “casa di vetro”.

In particolare, con il Decreto legislativo n.97/2016 “Revisione e semplificazione delle disposizioni in materia di Prevenzione della Corruzione Pubblicità e Trasparenza” è stata introdotta una nuova forma di accesso civico, ispirato al cd. “Freedom of information act”: l’accesso civico generalizzato. Questa forma di accesso prevede che chiunque può accedere a tutti i dati e ai documenti posseduti dalle pubbliche amministrazioni. L’accesso si estende, pertanto, anche ai dati per i quali non sussiste uno specifico obbligo di pubblicazione. Chiunque può presentare l’istanza di accesso civico generalizzato senza necessità di fornire motivazioni.

Il legislatore, attraverso l’introduzione dell’accesso civico generalizzato, ha voluto consentire l’accesso ai documenti detenuti dalle pubbliche amministrazioni, ulteriori a quelli oggetto di pubblicazione, a “chiunque”, prescindendo da un interesse manifesto. L’intento del legislatore delegato è stato quello di favorire forme diffuse di controllo nel perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche, promuovendo così la partecipazione al dibattito pubblico. Ulteriore forma di accesso è l’accesso civico. Si tratta del diritto di chiunque di richiedere i documenti, le informazioni o i dati che le pubbliche amministrazioni abbiano omesso di pubblicare pur avendone l’obbligo, come previsto dall’ art. 5, comma 1, del D Lgs 33/2013. Chiunque può presentare l’istanza di accesso civico, senza necessità di fornire motivazioni. Infine, vi è il diritto di accesso disciplinato dagli artt. 22 e ss. della L.241/1990, il quale riconosce il diritto di accesso agli atti del procedimento ai soggetti che detengono un interesse giuridicamente qualificato.

Il potenziale conflitto tra i due interessi contrapposti si risolve attraverso il bilanciamento in delle due esigenze contrapposte, da un lato quella della riservatezza, dall’altro quella della trasparenza, adottando la soluzione adeguata al caso concreto.

In tale contesto si inserisce la sentenza della Corte costituzionale n. 20/2019, la quale da una parte individua il diritto alla riservatezza dei dati personali quale manifestazione del diritto fondamentale della sfera privata e dall’altra parte i principi di pubblicità e trasparenza. Per poi giungere a dichiarare l’incostituzionalità dell’articolo 14 comma 1-bis, del d.lgs. n. 33 del 2013 per violazione dell’art. 3 Cost., nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo, anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione, anziché solo per i titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del d.lgs. n. 165 del 2001.

Infine, anche la Corte di Giustizia dell’Unione europea ha ripetutamente che le esigenze di controllo democratico non possono travolgere il diritto fondamentale alla riservatezza delle persone fisiche, dovendo sempre essere rispettato il principio di proporzionalità, definito cardine della tutela dei dati personali: deroghe e limitazioni alla protezione dei dati personali devono perciò operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi di trasparenza, in quanto legittimamente perseguiti (sentenze 20 maggio 2003, nelle cause riunite C-465/00, C-138/01 e C-139/01, Österreichischer Rundfunk e altri, e 9 novembre 2010, nelle cause riunite C-92/09 e 93/09, Volker und Markus Schecke e Eifert).

Alla luce di tali normative e mutazioni si connette il decreto milleproroghe, il quale sancisce, in un certo senso, la prevalenza della privacy sulla trasparenza.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

laura-facondini

Laura Facondini

Laureata con Lode all’Università di Bologna con tesi in diritto processuale civile correlata in diritto processuale dell’Unione Europea, si specializza in Professioni Legali presso la SSPL E.Redenti e si abilitata all’esercizio della professione forense presso la Corte d’Appello di Bologna. Ha svolto collaborazioni scientifiche in Scuole di Formazione dedicate alla preparazione al concorso in magistratura e ha svolto tirocini formativi affiancando il magistrato affidatario nella redazione di sentenze e provvedimenti giurisdizionali. Svolge la propria attività lavorativa nella Pubblica Amministrazione come Istruttore Direttivo Amministrativo. Si occupa prevalentemente di diritto amministrativo, diritto degli enti locali, contratti e appalti pubblici, servizi, privacy, comunicazione istituzionale, gestione documentale e nuove tecnologie. Per Diritto.it è redattrice di articoli nell’area diritto amministrativo.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!