La giornata di formazione dedicata ai soggetti pubblici è parte di un ciclo formativo avviato lo scorso giugno e finalizzato a promuovere la conoscenza delle nuove norme e a supportare nell’attuazione degli adempimenti tutti i soggetti (pubblici e privati) che effettuano trattamenti di dati per l’esecuzione di un compito di interesse pubblico.
Nella tappa odierna i rappresentanti dell’Autorità hanno affrontato gli aspetti legati al principio di responsabilizzazione (accountability) illustrando le principali innovazioni introdotte dal Regolamento Ue, come la nomina del Responsabile della protezione dei dati (RPD) e la valutazione d’impatto privacy.
Regolamento in pillole
Giovanna Bianca Clerici, Componente del Garante per la protezione dei dati personali, ha fatto una sintesi delle novità più significative del nuovo Regolamento Ue in materia di protezione dei dati personali al fine di poter comprendere l’uniformità delle regole e la coerenza nella disciplina.
Fin da subito ha tenuto a precisare che il nuovo Regolamento non è più prescrittivo come era il Codice italiano bensì molto più programmatico.
Si è parlato inoltre dei profili di adeguamento della normativa statale, attraverso una normativa integrativa, una regolazione derogatoria dei diritti degli interessati ed una regolazione attuativa.
Si è posto l’accento sulla Legge di Delegazione Europea 2016-2017 (L. n.163/2017) che all’art. 13 prevede di abrogare espressamente le disposizioni del Codici incompatibili con le disposizioni del GDPR, nonché di modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR.
Clerici ha sottolineato che il Regolamento si completa in un’ottica di armonizzazione.
Per quanto concerne l’Autorità di controllo, Giovanna Bianca Clerici ha affermato che il Codice italiano è già abbastanza preciso riguardo a questa situazione. Ciò nonostante le novità introdotte dal nuovo Regolamento sono: l’integrazione di compiti e poteri, l’ampliamento della competenza, l’Autorità capofila nonché meccanismi di cooperazione fra Autorità ed il meccanismo di coerenza.
Punto cruciale concerne il nuovo regime sanzionatorio che risulta rimesso all’autonomia del Legislatore nazionale. I principi fondamentali sono infatti quelli dell’effettività, proporzionalità e dissuasività.
Le priorità: RPD, Registro, Data Breach
Francesco Modafferi, Dirigente Dipartimento libertà pubbliche e sanità, si è soffermato sull’azione di sensibilizzazione svolta dal Garante per protezione dei dati personali nei confronti dei vertici politici più alti circa l’importanza del nuovo Regolamento.
L’Autorità è infatti andata oltre il mero contenuto del Regolamento, capendo che era importante incominciare a lanciare dei messaggi; nello specifico il Garante ha mandato 74 lettere ai vertici politici quali Ministri, Presidenti di autorità indipendenti, Presidenti CSM, Corte dei conti, Avvocatura dello Stato, Presidente di regioni, Conferenza Stato regione.
Secondo Francesco Modafferi, se tutto andrà bene, avremo a maggio un decreto legislativo che conterrà: le regole nazionali sulla protezione dei dati in ambito pubblico, sanitario, ricerca e statistica, le regole nazionali sull’autorità, le regole procedurali sulle sanzioni amministrative e le sanzioni penali.
Francesco Modafferi si è inoltre soffermato sul peculiare concetto di privacy by design e by default. A tal proposito ha precisato che la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del Regolamento. Non a caso, al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.
Si è passato poi alla vera novità del Regolamento, il Responsabile del trattamento. Da tale disquisizione è venuto fuori che c’è un bisogno estremo di competenze, quali quelle legislative, amministrative, organizzative, gestionali e tecniche. A tal proposito, si è ricordato che il Responsabile della protezione dei dati può svolgere un ruolo chiave perché si pone allo snodo tra l’Autorità, il Titolare e gli Interessati. Competenza e senso etico sono dunque il faro che ci deve orientare nell’attuazione di questa disciplina.
Quanto detto sarà auspicabile, secondo Francesco Modafferi, costruendo una organizzazione interna, definendo chiaramente le responsabilità, incidendo sui comportamenti per allinearli alle regole formali definite.
Gli obiettivi del GDPR
Antonio Caselli, Unità documentazione internazionale e revisione quadro normativo UE, ha individuato gli obiettivi del GDPR. Il GDPR specifica (consid.11) che “un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali”. Si tratta, dunque di un’attività che necessita di un approccio diverso, di una visione che va al di là del contingente.
Come conseguirlo? Sicuramente con un approccio non burocratico ma responsabilizzante, ponendo l’accento sull’effettività dei diritti che devono essere riconosciuti.
Antonio Caselli, ha poi proseguito indicando le modalità per l’esercizio dei diritti degli interessati che devono avvenire sotto il segno della accountability e della maggiore efficacia.
La contitolarità del trattamento e la “responsabilizzazione” del titolare
Claudio Filippi, Dirigente Dipartimento attività ispettive, sanzioni e registro dei trattamenti si è soffermato sull’importanza cruciale della contitolarità del trattamento che impone ai titolari di definire specificatamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari che operano congiuntamente.
Claudio Filippo ha,inoltre, richiamato la principale novità introdotta dal Regolamento ossia il principio di “responsabilizzazione” (cd. Accountability) che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).
Cosa deve fare il titolare per rispettare il principio di “responsabilizzazione”?
A tale quesito Claudio Filippo ha risposto indicando i principi posti alla base della responsabilizzazione. I dati devono essere trattati secondo “liceità, correttezza e trasparenza”, raccolti per “finalità determinate, esplicite e legittime”, adeguati, pertinenti e limitati rispetto alla finalità, nonché esatti, limitati nella conservazione e trattati garantendo sicurezza e integrità.
Claudio Filippo ha affermato un’ulteriore novità del Regolamento, che fino ad oggi non si poteva fare. Il responsabile può infatti nominare sub-responsabili per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario.
Claudio Filippo ha fatto un importante cenno alla disposizione sul responsabile del trattamento che entrerà in vigore il 12 dicembre 2017 concernente la modifica dell’art. 29 al comma 4- bis e comma 5.
Il RPD: Figura chiave nel nuovo sistema di governance dei dati
A conclusione della prima parte della giornata di formazione odierna, è intervenuta Anna Carla Meloni, Dipartimento libertà pubbliche e sanità, la quale si è concentrata sul ruolo strategico svolto dal Responsabile della protezione dei dati e sull’obbligo di designazione dello stesso, affermando che la ratio è proprio da ricercare nella natura del trattamento effettuato da autorità pubbliche o organismi pubblici.
Secondo Anna Carla Meloni, il legislatore comunitario ha ritenuto fondamentale questa figura proprio nel panorama attuale di digitalizzazione nel quale viviamo.
Viviamo, dunque, in un sistema digitale in cui la Pubblica Amministrazione è il protagonista.