Le norme europee sulla difesa della privacy per gli Enti Locali
Il settore della difesa della privacy negli Enti Locali ha subito, recentemente, una rivoluzione profonda, che ha investito anche tutti gli altri ambiti in cui vengono, a qualsiasi titolo, conservati dati sensibili.
Dal 25 maggio 2018, infatti, è entrato definitivamente in vigore anche in Italia il Regolamento Europeo 2016/679 sulla protezione dei dati personali che prevede una serie di adempimenti molto precisi, e anche senza dubbio gravosi, per chiunque debba conservare, per motivi di lavoro o di erogazione di un qualsiasi servizio, i dati anagrafici o qualsiasi altro dato considerato sensibile dei propri clienti, utenti o affiliati.
È evidente che tutti gli Enti Locali, e in primo luogo i Comuni, sono direttamente interessati dal problema e hanno dovuto adeguarsi, in questi ultimi anni, ad espletare una serie di adempimenti obbligatori tra cui la redazione della documentazione necessaria, la predisposizione di spazi e sistemi atti alla conservazione sicura dei dati sensibili, nonché l’organizzazione dell’attività formativa rivolta ai propri dipendenti.
Gestire la tutela della privacy negli Enti Locali rappresentachiaramente un carico di lavoro notevole per le amministrazioni comunali e richiede non solo una conoscenza approfondita della materia, ma anche competenze specifiche e, banalmente, disponibilità di personale per seguire tutte le procedure.
Anche nell’ambito della nuova normativa sulla privacy negli Enti Locali, come per le questioni contabili e fiscali ad esempio, lo Studio Sigaudo si propone come partner per fornire un supporto qualificato e professionale, che nasce dalla nostra lunga esperienza di collaborazione con la Pubblica Amministrazione e da uno studio approfondito della norma e delle sue applicazioni in diversi contesti.
Cosa tutela la normativa sulla privacy?
La normativa sulla privacy tutela il diritto di ogni cittadino europeo sui propri dati personali e quindi disciplina il comportamento di ogni ente, azienda, professionista o istituzione per garantire che il trattamento di questi dati sia eseguito con modalità che assicurino il loro impiego solo per le finalità per cui sono stati concessi.
Per dato sensibile alla privacy si intende ogni informazione in grado di identificare, direttamente o indirettamente, una persona fisica o di rivelarne caratteristiche come l’origine etnica, l’orientamento politico, le convinzioni filosofiche o religiose, lo stato di salute, l’appartenenza a associazioni, sindacati o partiti politici, i comportamenti sessuali e molto altro.
Queste informazioni sono, secondo l’orientamento normativo attuale, proprietà del soggetto che, liberamente o per necessità, le cede ad altri soggetti per alcune finalità precise che devono essere note a priori: ad esempio un Comune possiede i dati anagrafici dei propri cittadini per consentirgli di erogare i servizi a cui è preposto.
Il cittadino possiede sempre il pieno diritto sui propri dati sensibili e, per quanto non possa pretendere che alcuni enti o istituzioni li distruggano, deve essergli garantita con continuità la tutela della privacy, ossia la sicurezza che i suoi dati non vengano utilizzati o conosciuti al di fuori delle finalità per le quali ciascun soggetto le conserva.
Le disposizioni generali del Regolamento Europeo 2016/679 sulla tutela della privacy prevedono che i dati sensibili di ogni cittadino siano:
- trattati in modo lecito, corretto e trasparente;
- raccolti solo per finalità determinate e esplicite;
- adeguati, pertinenti e limitati;
- esatti e aggiornati;
- conservati per un periodo di tempo limitato;
- trattati con adeguate misure di sicurezza.
Vediamo ora cosa significano, con precisione, queste caratteristiche e quali obblighi conseguano da esse per gli Enti Locali.
Gli adempimenti per la privacy negli Enti Locali
Innanzi tutto i dati sensibili per la privacy devono essere trattati in modo lecito, nel senso che il trattamento deve rispettare le normative vigenti, ma anche in modo corretto secondo norme etiche e deontologiche. Inoltre, il Comune o, comunque l’Ente Locale, deve sempre assicurare la trasparenza di tutte le sue azioni relativamente ai dati posseduti e quindi assicurare che l’interessato sia sempre consapevole di ciò che accade alle proprie informazioni sensibili.
Negli Enti Locali la raccolta dei dati dei cittadini avviene, naturalmente, per finalità istituzionali che sono determinate ed esplicite, ma occorre che l’amministrazione assicuri sempre la tutela della privacy anche nel senso di garantire che i dati in possesso non vengano utilizzati per finalità differenti da quelle istituzionali.
Il rapporto fiduciario tra il cittadino e lo Stato si concretizza, tra le altre cose, nel fatto che i dati in possesso delle istituzioni pubbliche, tra cui i Comuni e gli altri Enti Locali, siano solo quelli strettamente necessari per le finalità per cui devono essere conservati e siano quindi adeguati allo scopo, pertinenti alla funzione da svolgere e limitati nella loro conservazione anche dal punto di vista temporale. Questo adempimento non rappresenta di sicuro una difficoltà per le amministrazioni che, però, devono vigilare sempre sul fatto che tutti coloro che, per motivi di lavoro, entrano a contatto con i dati sensibili dei cittadini siano adeguatamente sensibilizzati sull’argomento.
Nel lavoro necessario per gestire la privacy negli Enti Locali bisogna anche assicurarsi che i dati posseduti siano esatti e aggiornati e procedere alla cancellazione immediata delle informazioni non più aggiornate. Questo tema, nel caso dei Comuni, si ricollega con la gestione dei servizi anagrafici, tra cui, ad esempio la registrazione di nascite e decessi e quella dei cambi di residenza.
I principi generali stabiliti dalla normativa sulla tutela della privacy comprendono anche l’obbligo a conservare i dati sensibili per un periodo di tempo limitato, ma difficilmente questo principio si applica alle informazioni in possesso di un Ente Locale che vengono anche conservate dopo il decesso del soggetto per finalità statistiche e di ricerca storica.
Molto più impattante, e gravoso, è invece il principio secondo il quale i dati sensibili devono essere trattati dagli Enti Locali con adeguate misure di sicurezza che ne garantiscano l’integrità e la riservatezza. Questo significa, nella pratica, dotare i sistemi informatici dell’ente di sistemi di protezione adeguati e di prevedere misure organizzative che rendano ragionevolmente sicuro il trattamento delle informazioni.
L’accountability e il supporto di Studio Sigaudo
L’ultimo principio di cui parliamo riguardo la normativa sulla privacy è forse il più rilevante: si tratta della accountability del gestore dei dati di privacy. Questo principio, che potremmo tradurre con la parola italiana responsabilizzazione, introduce il concetto secondo cui il titolare dei dati sensibili ha l’obbligo di rispettare quanto previsto dal Regolamento Europeo 2016/679 e anche di fornire prova processuale di aver assolto a questo obbligo nel caso di contestazioni giudiziarie. È quindi evidente, dalla forza di quest’ultimo principio, che chi amministra i Comuni e gli Enti Locali in genere deve tutelarsi in ogni modo per poter sempre provare di aver agito in piena conformità con quanto stabilito dalla normativa sulla privacy.
Anche per queste ragioni di autotutela lo Studio Sigaudo propone il proprio supporto agli Enti Locali in una serie di attività, tra cui:
- la mappatura dei processi che caratterizzano le loro attività;
- la redazione dei registri dei trattamenti e della documentazione complementare;
- l’analisi degli asset;
- la valutazione dei rischi;
- la definizione delle proposte di miglioramento;
- l’erogazione di interventi formativi per il personale;
- l’assunzione, su richiesta dell’incarico di DPO.
Soffermiamoci ora sulle ultime due attività che proponiamo.
La formazione dei dipendenti dell’Ente è di sicuro uno degli aspetti più critici per adeguarsi in modo definitivo alle norme contenute nel Regolamento Europeo 2016/679 e lo Studio Sigaudo propone dunque di costruire interventi mirati che vengano incontro alle reali esigenze di ogni amministrazione.
Grazie alla nostra esperienza nel settore della formazione negli Enti Locali e alla qualità dei professionisti con cui collaboriamo, siamo certi di poter fornire un supporto cruciale per formare, nei modi e nei tempi che più si adattano alle necessità di ogni Ente, il personale che si occupa, a vario titolo, di tutela della privacy.
Infine ricordiamo che tra gli adempimenti obbligatori previsti dalle norme sulla privacy troviamoanche l’individuazione e la nomina del Data Protection Officer (DPO). Si tratta di un soggetto che verifica la conformità alla normativa di tutti i trattamenti di dati sensibili effettuati.
Studio Sigaudo è associato a Federprivacy e si può rendere quindi disponibile a ricoprire questo ruolo che comprende azioni di informazione, consulenza e sorveglianza sia rispetto all’Ente Locale per cui si opera, sia nei confronti delle autorità di controllo.