x

x

Regolamento UE 2016/679 sulla Protezione dei Dati Personali: attuazione di Regolamenti Comunali

Regolamento UE 2016/679 sulla Protezione dei Dati Personali: attuazione di Regolamenti Comunali
Regolamento UE 2016/679 sulla Protezione dei Dati Personali: attuazione di Regolamenti Comunali

1. Introduzione normativa

Dal 25 maggio 2018 è direttamente applicabile, anche nell’Ordinamento Italiano, il nuovo Regolamento Europeo sulla Protezione dei Dati Personali, che introduce importanti novità anche per gli Enti locali. La nuova disciplina impone un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento organizzativo, preliminare alla sua definitiva applicazione.  

Tra le principali novità ordinamentali della materia si segnalano, infatti, la responsabilità diretta dei titolari del trattamento in merito al compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali; la nuova categoria di dati personali (già dati sensibili); la nomina della nuova figura del Responsabile della protezione dei dati (che si aggiunge al Responsabile del trattamento dei dati); l’istituzione del registro delle attività di trattamento; la predisposizione di adeguate attività formative per il personale; la revisione dei processi gestionali al fine di individuare quelli che presentano maggiori rischi collegati al trattamento dei dati.

 

2. La disposizione di un Regolamento Comunale

Gli Enti locali possono adottare un Regolamento Comunale per l’attuazione del Regolamento UE 2016/679. Il Regolamento disciplina le misure procedimentali e le regole di dettaglio ai fini della migliore funzionalità ed efficacia dell’attuazione del Regolamento Europeo (RGPD - Regolamento Generale Protezione Dati), relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione di tali dati, nel Comune.

 

3. Il Titolare del trattamento

Il Comune rappresentato ai fini previsti dal RGPD dal Sindaco pro tempore, è il Titolare del trattamento dei dati personali raccolti o meno in banche dati, automatizzate o cartacee. Il Sindaco può delegare le relative funzioni al Responsabile P.O.(Responsabile di Posizione Organizzative) in possesso di adeguate competenze. 

Il Titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali stabiliti dall’art. 5 RGPD: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza. Il Titolare mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento di dati personali è effettuato in modo conforme al RGPD.

4. Misure adottate dal Titolare

Il Titolare adotta misure appropriate per fornire all’interessato:

a) le informazioni indicate dall’art. 13 RGPD, qualora i dati personali siano raccolti presso lo stesso interessato;

b) le informazioni indicate dall’art. 14 RGPD, qualora i dati personali non stati ottenuti presso lo stesso interessato.

Il Titolare, inoltre, provvede a:

a) designare i Responsabili del trattamento nelle persone dei Responsabili P.O. e dei dipendenti delle singole strutture in cui si articola l’organizzazione comunale, che sono preposti al trattamento dei dati contenuti nelle banche dati esistenti nelle articolazioni organizzative di loro competenza. Per il trattamento di dati il Titolare può avvalersi anche di soggetti pubblici o privati;

b) nominare il Responsabile della protezione dei dati;

c) nominare quale Responsabile del trattamento i soggetti pubblici o privati affidatari di attività e servizi per conto dell’Amministrazione comunale, relativamente alle banche dati gestite da soggetti esterni al Comune in virtù di convenzioni, di contratti, o di incarichi professionali o altri strumenti giuridici consentiti dalla legge, per la realizzazione di attività connesse alle attività istituzionali;

d) predisporre l’elenco dei Responsabili del trattamento delle strutture in cui si articola l’organizzazione dell’Ente, pubblicandolo in apposita sezione del sito istituzionale ed aggiornandolo periodicamente.

 

5. Esercizio associato di funzioni e servizi

Nel caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui gestione è affidata al Comune da enti ed organismi statali o regionali, allorché due o più titolari determinano congiuntamente, mediante accordo, le finalità ed i mezzi del trattamento, si realizza la contitolarità di cui all’art. 26 RGPD. L’accordo definisce le responsabilità di ciascuno in merito all’osservanza degli obblighi in tema di privacy, con particolare riferimento all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni.

Il Comune favorisce l’adesione ai codici di condotta elaborati dalle associazioni e dagli organismi di categoria rappresentativi, ovvero a meccanismi di certificazione della protezione dei dati approvati, per contribuire alla corretta applicazione del RGPD e per dimostrarne il concreto rispetto da parte del Titolare e dei Responsabili del trattamento.

 

6. Finalità del trattamento

I trattamenti sono compiuti dal Comune per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Rientrano in questo ambito i trattamenti compiuti per:

- l’esercizio delle funzioni amministrative che riguardano la popolazione ed il territorio, precipuamente nei settori organici dei servizi alla persona ed alla comunità, dell’assetto ed utilizzazione del territorio e dello sviluppo economico;

- la gestione dei servizi elettorali, di stato civile, di anagrafe, di leva militare e di statistica;

- l’esercizio di ulteriori funzioni amministrative per servizi di competenza statale affidate al Comune in base alla vigente legislazione.

 

7. Il Responsabile del trattamento

Uno o più Responsabili P.O., per le strutture di massima dimensione in cui si articola l’organizzazione dell’Ente, è nominato Unico Responsabile del trattamento di tutte le banche dati personali esistenti nell’articolazione organizzativa di rispettiva competenza. Il Responsabile unico deve essere in grado di offrire garanzie sufficienti in termini di conoscenza specialistica, esperienza, capacità ed affidabilità, per mettere in atto le misure tecniche e organizzative rivolte a garantire che i trattamenti siano effettuati in conformità al RGPD.

I dipendenti del Comune, Responsabili del trattamento, sono designati, di norma, mediante decreto di incarico del Sindaco, nel quale sono tassativamente disciplinati:

- la materia trattata, la durata, la natura e la finalità del trattamento o dei trattamenti assegnati;

- il tipo di dati personali oggetto di trattamento e le categorie di interessati;

- gli obblighi ed i diritti del Titolare del trattamento.

Il Responsabile del trattamento dei dati provvede, per il proprio ambito di competenza, a tutte le attività previste dalla legge e a tutti i compiti affidatigli dal Titolare, analiticamente specificati per iscritto nell’atto di designazione, ed in particolare provvede:

alla tenuta del registro delle categorie di attività di trattamento svolte per conto del Titolare;

all’adozione di idonee misure tecniche e organizzative adeguate per garantire la sicurezza dei trattamenti;

alla sensibilizzazione ed alla formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo;

ad assistere il Titolare nella conduzione della valutazione dell’impatto sulla protezione dei dati “DPIA” fornendo allo stesso ogni informazione di cui è in possesso;

ad informare il Titolare, senza ingiustificato ritardo, della conoscenza di casi di violazione dei dati personali (cd. “data breach”), per la successiva notifica della violazione al Garante Privacy, nel caso che il Titolare stesso ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati.

 

8. Il Responsabile della protezione dati

Il Responsabile della Protezione dei Dati (RPD) è individuato e nominato dal Sindaco, con proprio decreto.

Il RPD è incaricato dei seguenti compiti:

a) informare e fornire consulenza al Titolare ed al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD e dalle altre normative relative alla protezione dei dati;

b) sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del Titolare e del Responsabile del trattamento;

c) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal Titolare e dal Responsabile del trattamento;

d) fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento;

e) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 RGPD, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione.

f) la tenuta dei registri;

g) altri compiti e funzioni a condizione che il Titolare o il Responsabile del trattamento si assicurino che tali compiti e funzioni non diano adito a un conflitto di interessi.

 

9. Sicurezza del trattamento

Il Comune e ciascun “Responsabile del trattamento” mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. 

Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione, la minimizzazione, la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico, una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

10. Registro delle attività di trattamento

Il Registro delle attività di trattamento svolte dal Titolare del trattamento reca almeno le seguenti informazioni:

a) il nome ed i dati di contatto del Comune, del Sindaco e/o del suo Delegato, eventualmente del Contitolare del trattamento, del RPD;

b) le finalità del trattamento;

c) la sintetica descrizione delle categorie di interessati, nonché le categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;

e) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione internazionale;

f) ove stabiliti, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate.

11. Il Registro delle categorie di attività trattate

Il Registro delle categorie di attività trattate da ciascun Responsabile, reca le seguenti informazioni:

a) il nome ed i dati di contatto del Responsabile del trattamento e del RPD;

b) le categorie di trattamenti effettuati da ciascun Responsabile: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione, raffronto, interconnessione, limitazione, cancellazione, distruzione, profilazione, pseudonimizzazione, ogni altra operazione applicata a dati personali;

c) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione internazionale;

d) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate;

 

12. Valutazioni d’impatto sulla protezione dei dati

Nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di effettuare il trattamento, deve attuare una valutazione dell’impatto del medesimo trattamento (DPIA) ai sensi dell’art. 35 RGDP, considerati la natura, l’oggetto, il contesto e le finalità dello stesso trattamento. La DPIA è una procedura che permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.

La DPIA è effettuata in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche ed i criteri in base ai quali sono evidenziati i trattamenti determinanti un rischio intrinsecamente elevato, sono i seguenti:

a) trattamenti valutativi o di scoring;

b) decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ossia trattamenti finalizzati ad assumere decisioni su interessati che producano effetti giuridici sulla persona fisica ovvero che incidono in modo analogo significativamente su dette persone fisiche;

c) monitoraggio sistematico;

d) trattamenti di dati sensibili o dati di natura estremamente personale, ossia le categorie particolari di dati personali di cui all’art. 9, RGDP;

e) trattamenti di dati su larga scala;

f) combinazione o raffronto di insiemi di dati, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato;

g) dati relativi a interessati vulnerabili, come soggetti con patologie psichiatriche, richiedenti asilo, pazienti, anziani e minori;

h) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;

i) tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Nel caso in cui un trattamento soddisfi almeno due dei criteri sopra indicati occorre, in via generale, condurre una DPIA, salvo che il Titolare ritenga motivatamente che non può presentare un rischio elevato. il Titolare può motivatamente ritenere che per un trattamento che soddisfa solo uno dei criteri di cui sopra occorra comunque la conduzione di una DPIA.

 

13. Violazione dei dati personali

Per violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati dal Comune.

Il Titolare, ove ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati, provvede alla notifica della violazione al Garante Privacy. La notifica dovrà avvenire entro 72 ore e comunque senza ingiustificato ritardo.

I principali rischi per i diritti e le libertà degli interessati conseguenti ad una violazione, in conformità al considerando 75 del RGPD, sono i seguenti:

- danni fisici, materiali o immateriali alle persone fisiche;

- perdita del controllo dei dati personali;

- limitazione dei diritti, discriminazione;

- furto o usurpazione d’identità;

- perdite finanziarie, danno economico o sociale.

- decifratura non autorizzata della pseudonimizzazione;

- pregiudizio alla reputazione;

- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).

Infine, il regime sanzionatorio subisce un sensibile inasprimento rispetto alla precedente normativa: nel caso di violazioni delle norme previste dal Regolamento, infatti, sono previste sanzioni pecuniarie fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.