Mancano ormai meno di due mesi all’entrata in vigore della General Data Protection Regulation (GDPR), il Regolamento europeo (2016/679) in materia di protezione dei dati personali che, a partire dal 25 maggio 2018, sarà direttamente applicabile in tutti gli Stati membri dell’Unione. Il GDPR, come specificato dalla stessa Ue, nasce sia dall’esigenza di armonizzare e semplificare le regole di trasferimento dei dati personali dall’Unione verso altre parti del mondo, sia da quella di dare una risposta alle sfide poste alla tutela della privacy dai nuovi sviluppi tecnologici e dai nuovi modelli di economia. Le regole si applicheranno a tutti i soggetti coinvolti a vario titolo nel trattamento dei dati personali, siano essi privati o pubblici. Se molti aspetti resteranno invariati rispetto a quanto già stabilito dalla normativa vigente – il decreto legislativo 30 giugno 2003, numero196, “Codice in materia di protezione dei dati personali” – molte sono le novità introdotte dal nuovo regolamento europeo e, di conseguenza, gli adempimenti a carico di qualsiasi amministrazione pubblica, sia che si tratti di un Ente locale di grandi o piccolissime dimensioni, un ospedale o un’Asl, una scuola o un’azienda concessionaria di servizi pubblici.
Da più fonti viene riportata una situazione nella quale sarebbero molte le amministrazioni pubbliche che si faranno trovare in ritardo all’appuntamento, malgrado le severe sanzioni previste. Secondo l’Anci, ad esempio, molti piccoli Comuni stanno incontrando difficoltà dinanzi ai complessi cambiamenti organizzativi richiesti. Tra le principali novità introdotte ricordiamo quella che forse è la più rilevante e che riguarda il principio di
accountability, ovvero la maggiore responsabilità del titolare e del responsabile dei trattamenti attraverso “l’adozione di comportamenti attivi che dimostrino la concreta adozione di misure finalizzate alla corretta applicazione del regolamento sulla privacy”. Si tratta di una novità sostanziale in quanto al titolare spetterà il compito di decidere autonomamente le modalità, le garanzie e il limite del trattamento dei dati personali, ovviamente nel rispetto della normativa vigente. Altre novità sono quelle che riguardano la necessità di nominare la nuova figura del responsabile della protezione dei dati (Data Protection Officer) o l’introduzione del registro delle attività di trattamento, che ciascuna istituzione dovrà obbligatoriamente tenere. Le pubbliche amministrazioni saranno inoltre tenute a predisporre delle adeguate attività formative per il personale e a rivedere i propri processi gestionali al fine di individuare quelli che presentano maggiori rischi collegati al trattamento dei dati. In caso di eventuali violazioni di dati personali il titolare del trattamento dovrà comunicarlo al Garante della Privacy e ai diretti interessati, a meno di non ritenere (grazie al principio dell’accresciuta accountability) che la violazione non rappresenti un rischio per i diritti degli interessati.
Al fine di fornire un supporto operativo ai Comuni in questa fase di prima attuazione della nuova disciplina, l’Anci ha predisposto l’
11 Quaderno operativo della propria collana editoriale “Manuali tecnici per gli amministratori”. Il volume contiene lo schema di delibera del Consiglio comunale e il modello di regolamento adeguato alle novità normative. Nel modello di regolamento l’Anci segnala la presenza di suggerimenti operativi destinati ai Comuni di minore dimensione, come l’esercizio in forma associata della nuova funzione assegnata ad un unico responsabile della protezione dei dati, che potrebbe essere sia un dipendente interno adeguatamente formato, sia un soggetto esterno selezionato tramite procedura di evidenza pubblica. In effetti, per la nuova figura del Data Protection Officer, vengono richieste “qualità professionali adeguate alla complessità del compito da svolgere”, competenze non facilmente reperibili in una piccola amministrazione. Per un maggior approfondimento del tema, segnaliamo anche la
Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali disponibile sul sito del Garante per la Privacy.
