GDPR

GDPR e pubblica amministrazione: le difficoltà per gli enti pubblici

5495 0

avvocato Michele Iaselli

I soggetti pubblici hanno la necessità di dotarsi di persone competenti nella gestione della privacy; persone in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. 
In questo articolo esaminiamo il GDPR nella pubblica amministrazione. Gli aspetti principali del Regolamento e le difficoltà che le Pubbliche Amministrazioni devono affrontare nella sua applicazione.

GDPR: le sanzioni per violazione nella Pubblica Amministrazione

Dal 2020 al primo quadrimestre 2021 oltre il 71% delle sanzioni per violazioni della privacy è stata irrogata a enti pubblici e il 28,8% a soggetti privati. Su un totale di 80 ordinanze-ingiunzioni, 57 sono state indirizzate a pubbliche amministrazioni e 23 a privati. Se quelle imposte a soggetti privati arrivano, in singoli casi, a importi milionari, quelle rivolte agli enti pubblici preoccupano per la loro capillare diffusione; questo sia tra amministrazioni centrali sia tra enti locali.

GDPR e pubblica amministrazione

Si ricorda che il nostro Garante per la protezione dei dati personali in diversi interventi ha sempre suggerito alle Amministrazioni pubbliche di curare con particolare attenzione le seguenti attività:

– la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)
– l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)
– la notifica delle violazioni dei dati personali (cd. data breach, art. 33 e 34).

Responsabilizzazione del Titolare e mappatura del trattamento

Nell’ottica del GDPR se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative (Bassini).

La responsabilizzazione dei titolari del trattamento dei dati è il principio fondamentale alla base del nuovo regolamento. Il secondo aspetto di rilievo riguarda la mappatura e la ricognizione dei trattamenti svolti dalle diverse amministrazioni e le loro principali caratteristiche”.  La ricognizione sarà l’occasione per verificare il rispetto dei principi fondamentali (art. 5).

Già da questi aspetti si intuisce la necessità, anche da parte dei soggetti pubblici, di dotarsi di persone competenti nella gestione dei modelli privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. 

Il Data Protection Officer o Responsabile della Protezione dei Dati

Da qui, si comprende la portata di un’altra disposizione di rilievo e cioè l’introduzione obbligatoria della figura del Data Protection Officer (o responsabile della protezione dei dati). 

In merito l’art. 37 del GDPR prevede che quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, il titolare del trattamento e il responsabile del trattamento devono designare un responsabile della protezione dei dati.

Il Responsabile della Protezione dei Dati nella pubblica amministrazione

Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Per cui si fa riferimento a piccole realtà organizzative come piccoli comuni o comunità montane.

Che cos’è un organismo pubblico

In merito nel GDPR non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il WP29 nelle proprie linee guida ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali; a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico.

Le raccomandazioni del WP29

In tale ambito il WP29 formula le seguenti raccomandazioni in termini di buone prassi:
– gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri dovrebbero nominare un DPO;
– le attività del DPO nominato nei termini sopra indicati dovrebbero estendersi a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale.

Designazione del DPO: le conoscenze necessarie

Per i noti problemi connessi alla scarsità di risorse della P.A. molti enti pubblici hanno attinto dal proprio personale per la designazione di un DPO. Questo sta comportando, indubbiamente, alcune criticità.

Innanzitutto in base all’articolo 37 del Regolamento, paragrafo 5, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

Le conoscenze specialistiche del Data Protection Officer

Inoltre il livello di conoscenza specialistica richiesto non trova una definizione tassativa, ma deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il DPO avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea.

Ora è difficile che tali competenze siano proprie di risorse interne della Pubblica Amministrazione e quindi diventa necessaria una formazione seria ed approfondita che spesso viene del tutto trascurata con ovvie conseguenze pregiudizievoli.

DPO: il grado di autonomina all’interno dell’organizzazione

L’articolo 38, terzo paragrafo, del GDPR affronta un altro argomento molto delicato per il DPO interno pubblico, difatti fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione del titolare/responsabile. In particolare, questi ultimi sono tenuti ad assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”.

Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Informazione, trasparenza e riservatezza

Altra criticità tipica della pubblica amministrazione è rappresentata dal rapporto fra privacy e trasparenza. Difatti nell’ambito della P.A. assume grande rilevanza la delicata problematica rappresentata dal possibile conflitto tra due interessi di rango primario. In quanto tali, devono ritenersi entrambi meritevoli di costante ed adeguata tutela da parte dell’ordinamento giuridico. Quello all’informazione, che si realizza attraverso l’esercizio del diritto di accesso alla documentazione amministrativa e riposa sull’esigenza di trasparenza ed imparzialità dell’azione amministrativa; quello alla riservatezza dei soggetti terzi, che inerisce alla sfera degli assetti privatistici e si traduce, in ultima analisi, nella necessità di garantire la segretezza di quelle particolari categorie di dati disciplinate dagli artt. 9 e 10 del GDPR.

Il Diritto di Accesso

La giurisprudenza amministrativa ha elaborato un indirizzo interpretativo che privilegia il diritto di accesso; considerando per converso recessivo l’interesse alla riservatezza dei terzi, quando l’accesso stesso sia esercitato per la difesa di un interesse giuridico, nei limiti in cui esso sia necessario alla difesa di quell’interesse (cfr. Cons. Stato, Sez. VI, 20 aprile 2006, n. 2223).

Tre livelli di Protezione dei Dati dei terzi

Vengono individuati tre livelli di protezione dei dati dei terzi, cui corrispondono tre gradi di intensità della situazione giuridica che il richiedente intende tutelare con la richiesta di accesso:

  • nel più elevato si richiede la necessità di una situazione di “pari rango” rispetto a quello dei dati richiesti;
  • a livello inferiore si richiede la “stretta indispensabilità”
  • e, infine, la “necessità”(Cons. Stato Sez. IV, 14 maggio 2014, n. 2472).

Ma sull’accesso civico generalizzato la questione è più complessa. Difatti è intervenuta la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013»; nonché il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata Intesa.

L’articolo 10 della Cedu, Convenzione Europea per i Diritti dell’Uomo

Va comunque evidenziato che in base alla più recente giurisprudenza della Corte europea dei diritti dell´uomo, l´articolo 10 della Cedu (si ricorda che il diritto di accesso è una specifica forma di manifestazione della libertà di informazione sancita dall´art. 10.1 della Convenzione europea per la salvaguardia dei diritti dell´uomo e le libertà fondamentali – Cedu), non conferisce, in via generale, all´individuo il diritto di accesso alle informazioni in possesso delle autorità pubbliche, né obbliga tali autorità a conferire allo stesso le medesime informazioni.  Un tale diritto, o un tale obbligo, può essere infatti ricondotto alla più ampia libertà di espressione tutelata dall´art. 10 della Cedu, soltanto in situazioni particolari e a specifiche condizioni.

Il diniego dell’accesso e la lesione della libertà

Tra queste, assume particolare rilievo la circostanza che le informazioni oggetto di accesso attengano a questioni di interesse pubblico e pertanto, l’accesso alle informazioni in possesso delle autorità pubbliche possa ritenersi strumentale all’esercizio della libertà del richiedente di ricevere e di diffondere al pubblico le medesime informazioni, tale per cui il diniego dell´accesso costituirebbe una lesione di questa libertà.

Dello stesso autore, puoi consultare:

Corso di formazione in materia di protezione dei dati
Le nuove disposizioni nazionali sulla protezione dei dati personali

EPC EDITORE

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici. Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore