Secondo un recente studio(1),l’Italia si trova al primo posto della classifica relativa al maggior numero di sanzioni principalmente imputate all’utilizzo illecito dei dati e all’uso strumentale delle segnalazioni delle violazioni. A distanza di ormai tre anni dall’attuazione del Regolamento UE 2016/679, molte sono quindi ancora le criticità in tema di protezione dei dati personali nella Pubblica Amministrazione.
Analizzando le sanzioni comminate nei primi mesi del 2020 per svariate amministrazioni, è risultato che di quelle sanzionate dal Garante nazionale, il 50% è costituito dai Comuni, il 20% dalle Aziende Sanitarie, e circa un 30% dagli Istituti Scolastici. Particolarmente delicata risulta quindi la situazione dei Comuni, soprattutto di quelli di minore dimensione demografica. Molti, infatti, hanno un modello organizzativo obsoleto ed un ritardo nel processo di digitalizzazione, ormai diventato indispensabile.
La finalità del percorso di adeguamento al Regolamento per gli enti pubblici non è soltanto l’adempimento ad una normativa, ma la protezione dei dati personali dei propri cittadini dal rischio di violazione di dati o furto di identità. È evidente quindi che per i soggetti pubblici, oltra a riflettere sulla responsabilizzazione dei titolari del trattamento dei dati (principio fondamentale alla base del nuovo regolamento), diventa di fondamentale importanza affidarsi a persone competenti nella gestione della privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. Si ricorda infatti che il nostro Garante per la protezione dei dati personali in diversi interventi ha sempre suggerito alle Amministrazioni pubbliche di curare con particolare attenzione le seguenti attività:
– la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39). Per i noti problemi connessi alla scarsità di risorse della P.A. molti enti pubblici hanno attinto dal proprio personale per la designazione di un DPO. Questo sta comportando, indubbiamente, alcune criticità; il DPO dovrebbe infatti essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. Il DPO dovrà operare con un grado sufficiente di autonomia all’interno dell’organizzazione del titolare e le sue attività dovrebbero estendersi a tutti i trattamenti svolti (compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri). Il DPO avrà anche il compito di sorvegliare sulle attività di sensibilizzazione e formazione del personale interno in relazione al trattamento dei dati personali;
– l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171): la mappatura e la ricognizione dei trattamenti svolti dalle diverse amministrazioni e le loro principali caratteristiche rappresenta un aspetto di rilievo. Nell’ambito di un compito di interesse pubblico, connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, queste finalità sono il riferimento principale nell’elaborazione del registro del trattamento dei dati e della informativa privacy;
– la notifica delle violazioni dei dati personali (data breach: art. 33 e 34): nell’ottica del GDPR se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Altra criticità tipica della pubblica amministrazione è rappresentata dal rapporto fra privacy e trasparenza. L’interesse all’informazione (fondato sull’esigenza di trasparenza ed imparzialità e che si realizza attraverso l’esercizio del diritto di accesso alla documentazione amministrativa) e l’interesse alla riservatezza dei soggetti terzi (con la necessità di garantire la segretezza di quelle particolari categorie di dati disciplinate dagli artt. 9 e 10 del GDPR) devono ritenersi entrambi meritevoli di costante ed adeguata tutela da parte dell’ordinamento giuridico.
Alla luce di tutto ciò assume particolare importanza l’adempimento dell’obbligo della formazione in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori) come previsto dal GDPR anche per gli enti pubblici. La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.
(1) L’Osservatorio AIDR sullo stato di attuazione del GDPR nella Pubblica Amministrazione https://www.aidr.it/losservatorio-aidr-sullo-stato-di-attuazione-del-gdpr-nella-pubblica-amministrazione/
.