Il trattamento dei dati all’interno di una Pubblica Amministrazione è sempre lecito? La risposta breve è “No”. E i dati di realtà dimostrano che i Comuni sono gli enti più a rischio di illeciti.
Dovrebbe infatti essere evidente che la Pubblica amministrazione, così come qualsivoglia organizzazione privata, dovrà di volta in volta, individuare la corretta condizione di liceità, per ogni specifico trattamento effettuato.
Vediamo allora come individuare le basi giuridiche e, anche, come comportarsi in fase di ispezione.
Trattamento dati nei Comuni
Per dare un’idea della complessità e della confusione che caratterizzano l’individuazione della specifica finalità e della pertinente condizione di liceità, di volta in volta e per ogni trattamento, partiamo da qualche dato di contesto: secondo un recente studio prodotto dall’Osservatorio Federprivacy, relativo all’andamento delle ispezione dei diversi garanti europei in tema di violazioni al GDPR, nel 2019, nel 44% dei casi le infrazioni sono state relative al trattamento illecito di dati.
Durante la presentazione di un libro il 16 dicembre 2019, presso la sala Marconi del Consiglio Nazionale delle Ricerca, invece il Garante privacy Antonello Soro aveva snocciolato qualche altro interessante dato relativo al panorama italiano: il 48% delle infrazioni riguarda le Pubbliche Amministrazioni. A rischio in particolare i Comuni.
I due dati se pur non strettamente confrontabili dovrebbero far riflettere Sindaci e amministratori dei Comuni italiani.
Talvolta interloquendo con i dipendenti comunali durante le quotidiane attività di formazione, di consulenza o svolgendo il ruolo di Responsabile per la Protezione dei Dati, alla domanda da parte mia, se il trattamento sia lecito, la risposta di solito risulta essere più o meno così: “certo! fa parte delle normali attività istituzionali dell’Ente”.
Ed è qui l’intoppo: il GDPR ovviamente non contempla delle non meglio specificate attività istituzionali dell’Ente ed anzi sottolinea all’Art. 5 comma 1 lettera b): “finalità determinate, esplicite e legittime”.
L’ente Comunale in quanto Titolare del Trattamento dovrà quindi di volta in volta e per ogni trattamento individuare la specifica finalità e la pertinente condizione di liceità, fatto escluso il Legittimo interesse, come recita piuttosto chiaramente l’Art. 6.
Le basi giuridiche: come individuarle
L’Articolo 6 del GDPR non lascia molti dubbi:
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso…;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse…
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Andare per esclusione
Cosa fare quindi? Il suggerimento che amo dare è quello di andare per esclusione.
Da dove partire allora? Dalla presenza di un obbligo legale.
Qualora esista una legge, una norma o un regolamento, che imponga degli obblighi specifici, il mio suggerimento è di indicare quale condizione di liceità l’Art. 6, 1 c), rifacendoci quindi all’obbligo legale.
Esempio: gli adempimenti obbligatori in materia di salute e sicurezza sul lavoro, vincolanti per qualsiasi organizzazione sia essa pubblica o privata, sono un evidente obbligo legale.
Sovente, nella specificità dell’Ente pubblico, il confine fra obbligo legale e interesse pubblico può apparire labile, rendendo non semplice individuazione della corretta base giuridica.
Analizzando numerosi Registri per il Trattamento dei dati, mi è capitato di vedere il medesimo trattamento attribuito a basi giuridiche differenti.
Il rispetto dell’obbligo di trasparenza, in accordo al D. Lgs 33/2013, poi ridimensionato dalle novità emerse nel decreto milleproroghe o dalla precedente sentenza della Corte costituzionale (sentenza n. 20/2019), a quale condizione di liceità fa riferimento? A un obbligo legale o a un interesse pubblico? In taluni Registri del Trattamento vengono indicate entrambe le basi giuridiche simultaneamente.
Io, amando indicarne solo una, per la Trasparenza suggerisco di adottare l’obbligo legale, essendo questo un obbligo cui è soggetto l’ente, se pur per perseguire lo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo.
Qualora invece vi siano norme che attribuiscono al Comune attività, funzioni, compiti istituzionali, la condizione di liceità è riconducibile all’Art. 6, 1 e), rifacendoci quindi all’interesse pubblico.
Esempio: i servizi elettorali, di stato civile, di anagrafe, di leva militare e di statistica sono assegnati ai Comuni italiani dal Testo Unico Enti Locali (Art. 14).
Qualora il trattamento sia relativo a un servizio, che rientri nella fattispecie del contratto, la condizione di liceità è l’Art. 6, 1 b), rifacendoci all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Esempio: i numerosi servizi a domanda individuale presenti in ogni comune, siano essi a pagamento, convenzionati, agevolati o gratuiti, potrebbero appoggiarsi su questa base giuridica.
In questo specifico caso, di volta in volta, si dovrà capire quanto la normativa nazionale o regionale, deleghi l’erogazione del servizio all’Ente, perchè potremmo essere in presenza di una condizione di liceità diversa quale l’interesse pubblico.
Il consenso dovrebbe essere infine una condizione di liceità residuale.
Esempio: l’iscrizione alla Newsletter.
Sovente il confine fra le citate condizioni di liceità non è facilmente individuabile o potrebbe lasciare dubbi e perplessità.
Il suggerimento in questo caso è quello di annotare il ragionamento fatto, per identificare la corretta condizione di liceità, affinché in fase d’ispezione si possa, con cognizione di causa difendere la scelta fatta e darne evidenza.
L’errore di individuazione di una base giuridica sarà pur sempre un errore ma, è indubbio che, una motivazione pertinente e ragionata, potrebbe rendere l’ispettore più accomodante e la verbalizzazione dell’errore indulgente.
E se non individuassimo una base giuridica pertinente?
Talvolta nel quotidiano lavoro di consulenza presso enti locali, mi imbatto in trattamenti la cui base giuridica non è facilmente individuabile.
In tali situazioni dovrebbe scattare un campanello d’allarme e il Titolare dovrebbe verificare l’effettiva liceità, correttezza e necessità del trattamento.
Il progetto Ue T4DATA
Come ben sappiamo le ispezioni vengono svolte dal Nucleo Speciale Privacy della Guardia di Finanza e talvolta da personale diretto del Garante, in entrambi i casi su istruzione del Garante.
Talvolta, chiedersi, al di là dell’indicazione puntuale della norma, quali siano le aspettative del personale ispettivo, può metterci al riparo dalla sanzione.
Tornando quindi al tema della Liceità del trattamento, dovremmo chiederci: “Con la base giuridica, una volta individuata, cosa facciamo?” La risposta è: “Semplice, la mettiamo nel Registro di Trattamento”.
Mi si obbietterà che da Art. 30 – “Registri delle attività di trattamento”, la norma non prevede di indicare le basi giuridiche all’interno del Registro.
Ma che cosa si aspetta il Garante? Si aspetta che noi si indichi nel Registro dei trattamenti le Basi giuridiche e una serie di altre informazioni, che reputa necessarie.
L’Art. 30 paragrafo 1 del GDPR “non ricomprende la base giuridica del trattamento dei dati, …né gli strumenti giuridici utilizzati per stipulare contratti con responsabili del trattamento, o i fini dei trasferimenti di dati, ma si tratta di aspetti talmente cruciali al fine di determinare la legittimità e la compatibilità con il RGPD di qualunque trattamento, che anch’essi dovrebbero figurare nel registro, con riferimento a ciascuna attività di trattamento (definita con riferimento alla finalità del trattamento stesso) – avendo verificato a tempo debito la validità della base giuridica dichiarata e riportata [nel registro].” (pag. 174 del Manuale del RPD).
A questo punto una premessa mi sembra doverosa.
T4DATA (ossia “Training For Data”), è un progetto europeo di cui il Garante Italiano è promotore. La sua mission è la formazione dei Responsabili della Protezione dei Dati (RPD) operanti presso i soggetti pubblici.
T4DATA svolge questo arduo compito attraverso diverse iniziative quali seminari, webinar e la redazione del “Manuale per RPD” approvato nel Luglio 2019.
Il “Manuale per RPD – Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea (Regolamento (UE) 2016/679)” è stato tradotto in italiano dal Garante Italiano, che dà l’impressione di tenerci molto e di non perdere occasione per veicolarlo. Basti pensare che i webinar vertono prevalentemente sui contenuti del manuale e sono stati prodotti da funzionari interni del Garante stesso.
Il Manuale nella sezione tre dal titolo emblematico “Guida pratica sui compiti del RPD ovvero ciò che in pratica il RPD dovrà fare” elenca dettagliatamente cosa ci si aspetti faccia un RPD.
Vi è un compito preliminare e ulteriori 15 compiti, assolutamente non banali.
Il compito 1 recita il presente e incontrovertibile titolo: “La creazione di un registro delle attività di trattamento di dati personali” .
Se il Garante italiano suggerisce caldamente di mettere le condizioni di liceità, io suggerirei di metterle.
La necessità per il Garante di inserire le Condizioni di liceità nel Registro di Trattamento è stata abbondantemente sottolineata dai suoi funzionari ogni qualvolta ne hanno avuto l’occasione durante incontri e seminari.
Il Garante, nel “Manuale del RPD” suggerisce ai più impavidi oltre a un “Modello Base di Registro” un secondo template standard denominato “Modello dettagliato di Registro”.
Mentre il “Modello Base di Registro” prevede quanto dettagliato dall’Art. 30 del GDPR e in aggiunta le basi giuridiche e qualche altra informazione, il “Modello Dettagliato di registro” prevede molte altre informazioni.
Come arrivare preparati a un’ispezione
Il suggerimento in questo caso è di prenderne almeno visione.
Stando a diversi interventi di membri della “Guardia di Finanza – Nucleo Speciale Privacy” a cui ho assistito dall’entrata in vigore del GDPR, le tipologie di domande e informazioni, che in fase d’ispezione, vengono pretese, non si discostano molto da quelle incluse nel modello dettagliato.
Verrebbe quindi da pensare, che una compilazione puntuale del “Modello Dettagliato di registro”, sia la miglior soluzione per prepararsi alla visita degli ispettori, ma ad oggi, pur avendo qualche indizio ci mancano le prove per confermarlo.
Relativamente all’argomento di cui stiamo qui discutendo il “Modello Dettagliato di registro” richiede evidenza della base giuridica.
Fermandoci a riflettere un attimo, in realtà, tale richiesta è più che legittima.
In un’ottica di Privacy by design infatti un Titolare diligente prima d’intraprendere un qualsivoglia trattamento, dovrebbe identificare le finalità e le condizioni di liceità.
Come già detto in precedenza, decidere se e quali condizioni individuate dell’Art. 6 ricorrano con riferimento a un certo trattamento, si dovrebbero valutare esplicitamente gli elementi che avverano tali condizioni (ad esempio l’esistenza di una specifica norma, che pone un obbligo di legge a carico dell’ente).
Se tale attività fosse sempre puntualmente fatta, la soluzione più logica sarebbe proprio lasciarne evidenza nel Registro di Trattamento, evitando al contempo la spiacevole situazione, in fase ispettiva, di non ricordare, a causa della concitazione della situazione contingente, quale fosse stato il ragionamento fatto e quale fosse il presupposto, che ci aveva indotto a propendere per una o l’altra base giuridica.
Se la base giuridica prescelta fosse il Consenso (Art. 6, 1 a)) in fase d’ispezione ci chiederebbero oltre alle motivazioni per cui abbiamo optato per il consenso, di fornire evidenza dello stesso (link del format elettronico o supporto cartaceo), le modalità e i tempi di conservazione degli stessi.
Se la base giuridica prescelta fosse il contratto (Art. 6, 1 b)) in fase d’ispezione ci potrebbero chiedere puntuale evidenza dello stesso.
Se la base giuridica fosse l’adempimento a un obbligo legale (Art. 6, 1 c)) oppure l’interesse pubblico (Art. 6, 1 c)) sarà necessario specificare la norma in questione.
Facciamo qualche ulteriore esempio.
Se il trattamento in essere fosse l’Utilizzo di immagini e riprese video sui canali media dell’Ente (Sito web, Social network, Pubblicazioni cartacee), la condizione di liceità sarebbe: RGPD art. 6 a).
Se il trattamento in essere fossero le Attività relative ai contratti, scritture private ed incarichi dati a terzi dall’Ente (stipula, controlli, verifiche, garanzie, pagamenti), la base giuridica sarebbe: RGPD art. 6 b) e relativa contrattualistica.
Se il trattamento in essere fosse la Gestione contabile dei dipendenti, pagamento delle retribuzioni, calcolo degli oneri e calcolo dei contributi previdenziali, la base giuridica corretta e completa sarebbe: RGPD art. 6 c) – DL 165/2001 (ordinamento del lavoro alle dipendenze delle P.A.); Contratti nazionali.
Se il trattamento in essere fosse la gestione degli interventi relative a rilevazioni, accertamenti e soccorso per sinistri stradali, la condizione di liceità sarebbe: RGPD art. 6 d) e) – DL 285/1992 (Nuovo Codice della Starda); PDR 495/1992 (Regolamento di esecuzione e di attuazione del nuovo codice della strada).
Se il trattamento in essere fosse relativo alla digitalizzazione amministrativa dell’Ente e erogazione servizi digitali, la condizione di liceità sarebbe: RGPD art. 6 e) – L 82/2005 (CAD); normative di attuazione e di programmazione nazionale; Provvedimento del Garante del 1° Marzo 2007 (internet).
Conclusioni
Lo scopo di questo articolo è stimolare l’attenzione all’interno della Pubblica Amministrazione, sull’importanza di dedicare la giusta e necessaria attenzione al tema degli adempimenti al GDPR, che reputo, bistrattato dai più.
Pur avendo fornito diversi esempi di individuazione di basi giuridiche, l’intento non è quello di fornire soluzioni ma di stimolare un dibattito, che possa arricchire sia noi che ci occupiamo di privacy sia coloro che lavorano all’interno delle pubbliche amministrazioni e devono quotidianamente farsi largo fra norme talvolta contraddittorie e in conflitto fra loro.
_____________________________________________________________________
Inciso: nel presente documento utilizzo due diverse nomenclature per indicare il medesimo elemento: Condizioni di Liceità e Basi Giuridiche.
Questo inciso è volto a evitare possibili fraintendimenti.
Per analogia con l’articolo 6, che titola “Liceità del Trattamento” e al comma 1 parla di “condizioni”, utilizzo il termine di Condizioni di Liceità come alternativa al più comune e usato termine di “Basi giuridiche”, che a dire il vero nel Regolamento europeo 679/2016 è presente solo una volta in un considerando, il 72 che parla di profilazione.
