Si è tenuto oggi a Roma, a Palazzo Wedekind in Piazza Colonna, il primo di una serie di incontri operativi con le amministrazioni pubbliche annunciati il 25 maggio scorso dal Garante Privacy, in vista della piena entrata in vigore del nuovo Regolamento europeo sulla protezione dati il 25 maggio 2018. L’incontro di oggi ha visto protagoniste le 13 Authority indipendenti del nostro paese, chiamate a raccolta dal Garante per accompagnarle nel difficile processo di adeguamento ai nuovi adempimenti previsti dal GDPR (General Data Protection Regulation) (Reg 2016/679) e raccogliere eventuali esigenze di chiarimento da parte dei soggetti coinvolti. A questo primo round con le Authority, sempre nel mese di giugno, seguirà quello con le amministrazioni centrali (Ministeri) e quello con gli enti territoriali (Comuni, Provincie).
Il piano del Garante prevede anche un successivo ciclo di incontri, a partire dal mese di ottobre, per fornire indirizzi e supporto operativo in fase di implementazione del Regolamento, aiutando ad individuare le soluzioni più efficaci per una corretta transizione verso le nuove regole.
Le tre priorità fissate dal Garante
La piena entrata in vigore del nuovo regolamento Ue rappresenta “un’esigenza temporale molto stringente, con una serie di passaggi non banali per la Pubblica Amministrazione e non solo”, ha detto oggi il Presidente Antonello Soro aprendo l’incontro con le Authority. Un passaggio impegnativo, che implica un “trasferimento di responsabilità” non da poco per i responsabili del trattamento dati in una PA sempre più digitalizzata.
“Il nuovo regolamento rappresenta inoltre un’opportunità per riorganizzare i processi interni di amministrazioni e imprese”, ha aggiunto Soro.
Le tre priorità operative fissate dal Garante per l’applicazione del Regolamento sono la designazione in tempi stretti (possibilmente entro settembre) del Responsabile della protezione dei dati (RPD) (art. 37-39); l’istituzione del Registro delle attività di trattamento (art.30 e cons. 171) e la notifica delle violazioni dei dati personali, i cosiddetti data breach (art. 33 e 34).
“La responsabilizzazione dei titolari del trattamento dei dati è il principio fondamentale alla base del nuovo regolamento, per adeguare il nuovo regolamento alle specifiche caratteristiceh delle diverse autorità – ha detto il Segretario Generale del Garante Privacy Giuseppe Busia – il secondo aspetto fondamentale riguarda la mappatura e la ricognizione dei trattamenti svolti dalle diverse amministrazioni e le loro principali caratteristiche”. La ricognizione sarà l’occasione per verificare il rispetto dei principi fondamentali (art. 5).
PA e trattamento dati
Entra nel merito degli adempimenti Francesco Modafferi, Dirigente del Dipartimento Libertà Pubbliche e Sanità del Garante per la Protezione dati Personali: ”Nella Pubblica Amministrazione l’atteggiamento rispetto al trattamento dei dati e delle banche dati è molto cambiato negli ultimi 20 anni – ha detto Modafferi – da mero adempimento si è passati ad una dimensione molto più proattiva”, perché i dati e talora anche i dati personali escono sempre di più dagli uffici attraverso processi legislativi che tengono conto del loro valore economico. “La PA, che fino a qualche tempo fa, gestiva passivamente i dati, oggi vuole renderli sempre più disponibili (e trasparenti ndr)” ed è anche per questo che ci si interroga su come utilizzare al meglio i Big Data, come dimostra la recente analisi conoscitiva a tutto tondo congiunta avviata da Antitrust, Agcom e Garante Privacy.
Data Breach
Modafferi ricorda come il tema della sicurezza dei dati sia stata oggetto di un corposo documento realizzato nel 2015 dal Garante, che ha introdotto nella PA l’istituto del Data Breach. La pseudonimizzazione è la misura primaria di sicurezza, nelle banche dati i dati personali devono essere scollegati dalle identità delle persone.
Il nuovo regolamento, tuttavia, non è una rivoluzione, nel senso che non si parte da zero, ma con un “patrimonio cristallizzato” fatto di 600 pareri di impatto del Garante.
“C’è un anno di tempo per rendere i trattamenti in corso idonei alla nuova normativa – aggiunge Modafferi – non c’è tempo da perdere. Ci sono delle cose da fare subito”, tenendo conto che alcune cose cambieranno, altre no.
Cosa cambia
Ad esempio, con il nuovo regolamento resta la divisione fra dati sensibili e non; resta anche il diritto alla trasparenza ed è confermato il ruolo del Garante nazionale. Le sanzioni verranno fortemente irrobustite, così come la responsabilità civile connessa al danno subito da una persona.
Fra le novità, cambia l’ambito territoriale visto che viene meno il principio di stabilimento nazionale; il soggetto è “il cittadino europeo” che va tutelato indipendentemente dal paese; viene introdotto il principio della responsabilizzazione (accountability) per il titolare del trattamento, mentre in ottica di privacy by design e by default, ogni procedimento dati della PA dovrà partire prendendo in considerazione da subito le implicazioni sulla privacy. “La valutazione della conformità di legge passa al titolare del trattamento in via preliminare”, precisa Modafferi.
Sarà poi creato un comitato europeo, che diventerà un vero e proprio organismo, che ha il compito di garantire l’applicazione uniforme del nuovo regolamento superando così l’approccio molto frammentato e disomogeneo nella Ue alla Data protection.
Il nuovo regolamento prevede una serie di integrazioni del quadro normativo nazionale, ma resta fermo il principio della proporzionalità nel trattamento dei dati sensibili e non da parte della Pubblica Amministrazione, laddove invece il principio cardine del trattamento in ambito privato è il consenso. La norma prevede una serie di vincoli, che valgono anche per i dati genetici, biometrici e sulla salute.
Responsabile Protezione Dati (RPD)
La vera novità del nuovo regolamento riguarda questa figura (art. 37,38 e 39), tanto più che nella Pubblica amministrazione è obbligatoria la sua nomina, con qualche eccezione, come ad esempio i piccoli comuni che potranno condividerlo. Il Responsabile dovrà essere esperto di Dati personali, avrà compiti interni ed esterni e sarà lui il più indicato per effettuare la ricognizione per realizzare il Registro delle attività di trattamento. E’ per questo che la nomina del Responsabile Protezione Dati è auspicabile entro settembre, per partire poi subito ad ottobre insieme ai nuovi Privacy officer con la ricognizione e il Registro delle singole amministrazioni.
L’Autorità sta collaborando attivamente, in sinergia con le altre Autorità privacy europee, alla definizione di linee guida e contributi per facilitare l’applicazione del nuovo quadro regolatorio e delle importanti novità introdotte. Sul sito del Garante sono già state pubblicate le Linee guida sul Responsabile della protezione dati (RPD) e sul diritto alla portabilità dei dati e una Guida all’applicazione del Regolamento Ue (www.garanteprivacy.it/regolamentoue). Il lavoro di supporto proseguirà nei prossimi mesi con l’elaborazione di ulteriori atti di indirizzo.