C’è chi sostiene che lavorare nella pubblica amministrazione italiana non sia mai stato così impegnativo. Il processo di riforma della PA, che arriva dopo un ventennio costellato di rilevanti innovazioni legislative, impone agli uffici pubblici una necessaria rivoluzione culturale e un doveroso adeguamento.
Semplificazione, trasparenza, prevenzione della corruzione, digitalizzazione, nuovo Codice dei contratti: queste alcune delle sfide con le quali gli uffici pubblici sono chiamate a fare i conti quotidianamente.
Sfide importanti alle quali si aggiunge l’adeguamento ad un’altra norma di cui nelle ultime settimane si parla molto e che riguarda molto da vicino il processo di trasformazione digitale.
Si tratta del nuovo Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”).
Il Regolamento ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (art. 1, par. 1) e disciplina – senza necessità di recepimento – i trattamenti di dati personali, sia nel settore privato che nel settore pubblico.
Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l’Italia all’adozione del Codice Privacy (D. Lgs. n. 196/2003), norme adottate in un contesto tecnologico completamente diverso, prima che internet, social media, cloud e servizi in rete cambiassero definitivamente il nostro modo di vivere e lavorare. Le nuove norme, tra le altre cose, mirano proprio ad adeguare il livello di protezione dei dati all’evoluzione degli strumenti utilizzati in un’amministrazione che voglia dirsi digitale.
Come noto, il Regolamento è già in vigore e diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018.
Purtroppo, come era prevedibile, molte pubbliche amministrazioni, però, non hanno sfruttato appieno il periodo concesso dal legislatore europeo per i necessari processi interni e – arrivate ormai a poche settimane dalla piena operatività della norma – stanno intensificando i propri sforzi.
Le novità del regolamento sono diverse e di seguito, senza alcuna pretesa di esaustività, saranno elencati alcune dei principali profili di attenzione per gli uffici pubblici.
Cosa accade davvero il 25 maggio 2018?
Innanzitutto, è importante comprendere che il 25 maggio 2018 è solo la data in cui le amministrazioni – come tutti gli altri soggetti giuridici – inizieranno ad applicare il regolamento e diventeranno cogenti le responsabilità e le sanzioni previste dal GDPR.
Attenzione, quindi, a non cadere nella tentazione (purtroppo frequente nel settore pubblico) di approcciare alla scadenza come qualcosa di cui preoccuparsi in modo formalistico e burocratico. Tale approccio consiste nel “mettere le carte a posto” entro il giorno previsto dal legislatore per poi disinteressarsi delle tematiche privacy.
Ebbene, il GDPR mal si presta a questa “cultura dell’adempimento”, essendo basato sul principio di accountability (tradotto in italiano come “responsabilizzazione”) in virtù del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali effettuato è conforme al GDPR (art. 5, par. 2).
Questo significa che – ammesso anche di aver provveduto all’adeguamento entro il 25 maggio 2018 – l’amministrazione dovrà comunque costantemente garantire, anche dopo tale data, la conformità di tutte le proprie attività alle regole europee.
È quindi importante comprendere che i processi innescati in queste settimane non esauriscono gli sforzi delle amministrazioni, ma rappresentano solo un’attività preparatoria a quanto gli enti dovranno porre in essere proprio a partire dalla data di piena applicabilità del GDPR.
L’importanza dell’organizzazione per adeguare la PA al GDPR
Gli adempimenti e le attività previste in capo alle amministrazioni sono sicuramente assai pregnanti in virtù delle particolari categorie di dati che trattano gli uffici pubblici (si pensi, ad esempio, ai dati sanitari, a quelli dei servizi sociali o dei tributi).
Per questo motivo, diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR e, in generale, degli adempimenti da questo previsti (dalla revisione delle informative alla istituzione e tenuta del registro delle attività di trattamento).
Per le amministrazioni che si erano già dotate di una struttura interna dedicata sotto la vigenza del Codice Privacy, il suggerimento è quello di conservare tale struttura (che avrà anche compiti di coordinamento e di impulso in relazione alle attività dei differenti uffici).
Inoltre, si sottolinea l’esigenza di assicurare il coordinamento del processo di adeguamento al GDPR con gli altri adempimenti previsti dalla normativa vigente (come quelli imposti dal Codice dell’Amministrazione Digitale). L’unità organizzativa incaricata dell’adeguamento al Regolamento dovrà – ad esempio – coordinarsi con il responsabile della transizione digitale dell’amministrazione, cui l’art. 17 comma 1, D. Lgs. n. 82/2005 assegna le funzioni di “indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture”.
L’individuazione e la nomina del DPO
Il Regolamento 678/2016 (art. 37) prevede poi l’obbligo per le autorità pubbliche e gli organismi di diritto pubblico di nominare un DPO – Data Protection Officer (in italiano, RPD o responsabile della protezione dei dati personali)
Si tratta di una figura che deve possedere dei requisiti specifici (ad esempio in termini di esperienza e competenza, così come chiarito nelle Faq del Garante Privacy) e deve occuparsi prevalentemente di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione della formazione del personale.
È importante quindi notare che – così come previsto dalle Linee guida del gruppo Art. 29 – i DPO non rispondono personalmente in caso di inosservanza del GDPR. Quest’ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (articolo 24, primo paragrafo). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare o sul responsabile.
Le amministrazioni che ancora non lo hanno fatto devono procedere ad individuare e a nominare il proprio DPO (che può essere anche lo stesso per più amministrazioni), dotandolo delle risorse adeguate alle sue incombenze.
Come sopra accennato, il DPO può essere interno o esterno. Nel primo caso, anche per salvaguardare la sua autonomia, non potrà coincidere con chi – all’interno dell’ente – definisce, anche in parte, le politiche di protezione dei dati personali (come il responsabile per la transizione digitale). Nel caso di DPO esterno, che dovrà stipulare un vero e proprio contratto di servizi con l’ente, il soggetto incaricato dovrà essere scelto all’esito di una procedura selettiva (in cui prevedere l’individuazione precisa dei requisiti di partecipazione e delle caratteristiche di esecuzione della prestazione).
La nomina e i rapporti con i responsabili (esterni) del trattamento
Altro tema importante è quello relativo alla nomina dei responsabili del trattamento, ai sensi dell’art. 28 GDPR.
La norma prevede espressamente che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Di conseguenza, nella consapevolezza che molti dei fornitori tecnologici trattano dati per conto dell’ente (es. provider servizi cloud oppure fornitori di servizi di assistenza e manutenzione) sarà importante che le amministrazioni inizino a sceglierli anche in base a tali misure tecniche e organizzative da questi adottate e sulla base del loro livello di adeguamento al GDPR.
Inoltre, i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
In virtù della delicatezza dei trattamenti posti in essere dai responsabili esterni, non v’è dubbio che la modifica e l’integrazione degli atti di nomina sia una delle priorità delle attività di adeguamento.
Trasparenza del trattamento
Il Regolamento 679/2016 prevede un generale dovere di trasparenza del titolare del trattamento (da non confondere con la trasparenza amministrativa disciplinata dal D. Lgs. n. 33/2013) che può essere scomposto in due distinti obblighi.
Da un lato la c.d. “trasparenza proattiva” che si sostanzia nell’obbligo per il titolare di rendere l’informativa, cioè di dare evidenza – senza alcuna specifica richiesta – delle principali informazioni che riguardano il trattamento.
Accanto a tale dovere, si affiancano obblighi di “trasparenza reattiva”, vale a dire l’obbligo di riscontrare le richieste di interessato e aventi ad oggetto non solo i dati forniti precedentemente dallo stesso, ma anche gli altri dati che il titolare abbia raccolto da altre fonti.
Il diritto di accesso ai dati personali – già previsto dalla normativa previgente (art. 7 d. lgs. 30 giugno 2003, n. 196) – viene ulteriormente rafforzato dalla formulazione dell’art. 15 GDPR.
L’adeguamento al principio di trasparenza impone alle amministrazioni due fronti di lavoro:
- adeguare e integrare le informative attualmente in uso (con riferimento alle informazioni previste dagli artt. 13 e 14 GDPR), facendo attenzione a renderle chiare, brevi e facilmente comprensibili;
- organizzarsi per riscontrare le richieste di accesso nel termine di trenta giorni dalla ricezione.
Registro dei trattamenti e misure di sicurezza
Uno dei principali nuovi adempimenti previsto dall’art. 30 del GDPR è quello dell’adozione entro il 25 maggio 2018 (e dell’aggiornamento continuo) di un registro delle attività di trattamento in cui descrivere:
- il nome e i dati di contatto del titolare del trattamento e del DPO;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione;
Infatti, le amministrazioni, come ogni titolare, sono tenute ad adottare misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati (si pensi, ad esempio, all’erogazione di servizi on line, all’implementazione del sistema pubblico di identità digitale o all’organizzazione del sistema di gestione dei documenti informatici dell’ente).
Il sistema sanzionatorio
La protezione dei dati personali, trattata fin qui da molti enti come mero adempimento (se non come alibi per bloccare i tentativi di trasparenza ed innovazione), acquista quindi nuova centralità anche per le pubbliche amministrazioni, chiamate a definire un percorso di adeguamento efficace che consenta loro di farsi trovare pronte alla scadenza del 25 maggio 2018, evitando così le sanzioni (inasprite rispetto alla disciplina precedente).
Il sistema sanzionatorio posto a presidio dell’osservanza del regolamento prevede:
– sanzioni amministrative fino a 20 milioni di Euro (art. 83 GDPR);
– la responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR).
Si tratta di un profilo da tenere in debito conto, in considerazione della circostanza per cui la giurisprudenza ha già chiarito che sussiste responsabilità erariale in tutti i casi in cui la mancata adozione delle misure di sicurezza adeguate abbia determinato un risarcimento al privato danneggiato (sul punto cfr. Corte Conti, Reg. Toscana, 26 aprile 2006, n. 265).
