Nei prossimi mesi i Comuni italiani dovranno prendere familiarità con un nuovo acronimo, il Gdpr (General Data Protection Regulation - Regolamento Ue 2016/679). Il regolamento generale per la protezione dei dati abroga la direttiva 95/46/Ce e si riferisce alla protezione delle persone fisiche riguardo al trattamento e alla libera circolazione dei dati personali.
La normativa intende armonizzare e omogeneizzare la regolamentazione sulla materia all'interno dell'Unione europea. Il Gdpr è entrato in vigore il 24 maggio 2016 ma la sua attuazione avviene a distanza di due anni, quindi dal 25 maggio 2018, e riguarda pubbliche amministrazioni e aziende private all' interno dell'Unione o che, pur agendo al di fuori di essa, offrono beni o servizi all' interno dell'Ue e detengono dati personali di cittadini europei. Il Gdpr è immediatamente e direttamente applicabile negli ordinamenti degli Stati membri, pur potendo gli Stati membri disciplinare la materia. Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla previgente direttiva rimarranno in vigore fino a quando non saranno modificate, sostituite o abrogate.
L’applicazione nel nostro Paese
Quanto all'Italia, il Gdpr non abroga il Codice Privacy (Dlgs 196/2003) che, in assenza di legge nazionale di abrogazione e armonizzazione, resterà in vigore anche dopo il 25 maggio 2018. L'entrata in vigore del regolamento avrà tuttavia un grossa importanza sugli aspetti organizzativi, procedurali e tecnologici della Pa, tenendo conto delle pesanti sanzioni che contiene. Le organizzazioni possono essere multate fino al 2% del fatturato annuo, ad esempio, per non avere dati e procedure in ordine (articolo 28); per non aver comunicato nei termini una perdita di dati; per non aver effettuato la valutazione d'impatto sulla riservatezza dei dati (Dpia) qualora necessaria. Si arriva anche al 4%, per un massimo di 20 milioni di euro, per infrazioni gravi come: il consenso inadeguato o inesistente al trattamento dei dati; la violazione delle norme di base sulla privacy by design (ossia la protezione dei dati fin dalla progettazione). Le sanzioni si applicheranno sia al titolare che al responsabile dei trattamenti, figure da individuare con grande accuratezza.
Il Gdpr ribalta completamente la disciplina sulla privacy, incentrando il quadro normativo sulla responsabilizzazione del titolare del trattamento che dovrà essere in grado di dimostrare l'adozione di idonee misure tecniche e organizzative: misure che attuino efficacemente i principi di privacy by design e privacy by default (impostazione predefinita del trattamento dei soli dati necessari al perseguimento delle finalità dichiarate). Il nuovo approccio sarà quindi basato sulla valutazione del rischio piuttosto che sulla protezione dell'utente; il rischio del trattamento è inteso come valutazione dell'impatto negativo sulle libertà e i diritti degli interessati.
Le figure istituzionali nei Comuni
Nei Comuni occorrerà individuare le figure istituzionali e cioè: il titolare e i responsabili dei trattamenti e il Data Protection Officer (Dpa, o in italiano Responsabile per la Protezione dei Dati - RPD), una nuova figura obbligatoria per amministrazioni ed enti pubblici, eccetto autorità giudiziarie, in materia di protezione di dati personali. Più in dettaglio, cosa deve fare la Pa per allinearsi alle nuove disposizioni?
1) compilazione dei registri dei trattamenti. I dati trattati vanno elencati e classificati in: personali, sensibili e giudiziari, con una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento ed una valutazione della necessità e proporzionalità dei trattamenti in relazione delle finalità. La raccolta servirà per compilare il «Registro delle attività dei trattamenti di dati personali», che costituirà l'elenco aggiornato di tutti i trattamenti effettuati dall'Amministrazione.
2) definizione delle politiche della sicurezza e elaborazione dei manuali della sicurezza. Va definito un modello di buone pratiche della sicurezza per i dipendenti e i fornitori. È necessario redigere un manuale della valutazione del rischio e del danno (Dpia, Data Protection Impact Assessment) quando il trattamento può comportare un rischio elevato, ricercando le possibili fonti di rischio e valutare l'utilizzo di strumenti di protezione come la crittografia, l'anonimizzazione, la pseudonimizzazione, gli strumenti di Dlp (Data Loss Prevention) e l'utilizzo del Siem (Security Information and Event Management). Sarà poi necessario aggiornare i vari modelli di informativa e definire una procedura per la notifica, all'autorità garante ed agli interessati, delle violazioni dei dati personali (data breach), obbligo che scatta entro 72 ore dalla avvenuta perdita di dati.
3) designazione del Dpo. Il Data Protection Officer o Dpo avrà il compito di informare e consigliare il titolare o il responsabile del trattamento e i dipendenti sugli obblighi previsti in materia e quindi verificarne l'attuazione. La riflessione è aperta su quale profilo professionale dovrà avere il Dpo: apicale, di tipo giuridico, specialistico in Ict o addirittura esterno all'amministrazione locale. Sicuramente sarà opportuno che il Dpo abbia alle spalle un percorso di certificazioni inerenti il suo ruolo e gli argomenti di cui si dovrà occupare.
4) formazione. Sarà necessaria una responsabilizzazione dei dipendenti dell'ente locale affinché acquisiscano le procedure per mettere in sicurezza i dati che trattano, conoscano le modalità delle procedure di recupero dati e quelle di notifica di avvenuto «data breach».
In conclusione, il Gdpr avrà un grande impatto sulle amministrazioni locali ma sarà anche l'occasione per i Comuni per investire in sicurezza informatica con misure adeguate ai tempi.
(*) Componente consiglio generale ANUTEL
Fonte: Il Sole 24 Ore