L’attuazione del General Data Protection Regulation nella pubblica amministrazione è un percorso che tutti gli enti pubblici devono affrontare, in forza della legge delega 25 ottobre 2017, n.163 e del conseguente decreto legislativo 10 agosto 2018 n. 101, emanati in Italia a seguito dell’entrata in vigore del suddetto Regolamento generale sulla protezione dei dati.
Pietro Collevecchio, ingegnere gestionale, contitolare dello Studio Collevecchio di PA Management Consulting di Pescara, dà indicazioni di tipo operativo per l’adeguamento al GDRP per i Comuni, dall’affidamento degli incarichi, all’adempimento degli obblighi di formazione e documentazione, fino alla pubblicazione nelle corrette sezioni del sito web dell’ente, ai fini della trasparenza.
Indicazioni operative sull’attuazione del regolamento europeo sulla protezione dei dati nei comuni
Le disposizioni del GDPR per gli enti locali impongono l’applicazione tassativa della normativa europea sul trattamento dei dati. Particolarmente delicata la situazione dei Comuni, soprattutto di quelli di minore dimensione demografica. Molti, infatti, hanno un modello organizzativo obsoleto ed un ritardo nel processo di digitalizzazione, ormai diventato indispensabile.
Finalità del GDPR per gli enti pubblici
La finalità del percorso di adeguamento al Regolamento per gli enti pubblici non è soltanto l’adempimento ad una normativa, ma la protezione dei dati personali dei propri cittadini dal rischio di violazione di dati o furto di identità. Nell’ambito di un compito di interesse pubblico, connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, queste finalità sono il riferimento principale nell’elaborazione del registro del trattamento dei dati e della informativa privacy.
Figure di riferimento: titolare e responsabile del trattamento e nomina del DPO nel Comune
Le figure di riferimento istituite dal GDPR, da riprendere nel regolamento privacy degli enti locali, sono le seguenti:
- Il Data Controller o Titolare del trattamento;
- Il Data Processor o Responsabile del trattamento;
- Il Data Protection Officer o Responsabile della protezione dei dati;
Nei Comuni, queste figure vanno individuate in base alla dimensione organizzativa dell’ente e, a seconda dei ruoli, gli incarichi vanno affidati al Sindaco, ai responsabili delle aree funzionali o a consulenti esterni, soprattutto nel caso del DPO del Comune.
Adempimenti GDPR nella pubblica amministrazione e nei Comuni
L’adeguamento al GDPR per la pubblica amministrazione, e quindi per i Comuni, prevede le seguenti attività:
- Individuazione di ruoli e responsabilità
- Mappatura dei processi
- Analisi di sicurezza dei sistemi
- Redazione del Registro dei trattamenti dei dati personali
- Adozione di una Privacy policy
- Elaborazione/revisione del Regolamento comunale sulla protezione dei dati personali
Formazione privacy nei Comuni
Il GDPR per gli enti pubblici prevede l’obbligo della formazione in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori). La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni. Il DPO in ambito pubblico ha anche il compito di sorvegliare sulle attività di sensibilizzazione e formazione in relazione al trattamento dei dati personali dirette al personale interno.
Pubblicazione dei documenti legati al GDPR nel sito web del Comune
In riferimento al D. Lgs. 33/2013 e agli obblighi di trasparenza riferiti alla sezione “Amministrazione trasparente”, per pubblicazione si intende la pubblicazione nel sito istituzionale del Comune dei documenti, delle informazioni e dei dati concernenti l’organizzazione e l’attività del Comune cui corrisponde il diritto di chiunque di accedere al sito direttamente ed immediatamente, senza autenticazione e identificazione. Questo vale anche per la documentazione legata al GDPR e alla privacy dell’ente pubblico (Regolamento, privacy policy, nomina del DPO del Comune ecc).
GDPR. Sanzioni nella pubblica amministrazione
Le tre priorità operative fissate dal Garante per l’applicazione del Regolamento sono la designazione del Responsabile della protezione dei dati (RPD) (art. 37-39); l’istituzione del Registro delle attività di trattamento (art.30 e cons. 171) e la notifica delle violazioni dei dati personali, i cosiddetti data breach (art. 33 e 34).
Nei primi tempi il fine non sarà di comminare sanzioni, ma di agevolare Titolari e Responsabili del trattamento nell’adeguamento alla normativa, sanzionando, anche severamente, quei soggetti che dovessero dimostrare dolo o disinteresse nell’applicazione della medesima.
Probabilmente a breve vi saranno verifiche sulle pubbliche amministrazioni ed è quindi fondamentale per i Comuni concludere gli adempimenti richiesti alla PA dal regolamento privacy 2018.
Business photo created by rawpixel.com – www.freepik.com