Nell'ambito dei trattamenti dei dati da parte della Pubblica Amministrazione le normative di riferimento sono il D.Lgs. 196/2003 e il Regolamento UE 2016/679. La fonte del diritto che regola questa normativa è soprattutto il GDPR (General Data Protection Regulation) il quale entra in vigore nel 2016 ma produce i suoi effetti nel 2018.
Il GDPR disciplina in modo uniforme su tutto il territorio comunitario la materia del trattamento dei dati personali per la prima volta, in passato invece venivano adottate direttive vincolanti nell'adozione quindi dovevano essere recepite dagli ordinamenti degli Stati membri ma veniva fatto in modo differenziato perché gli Stati avevano la facoltà di decidere le forme e i mezzi per disciplinare la materia.
In Italia è il Codice della privacy che ha disciplinato questa materia, poi con l'entrata in vigore del Gdpr è stato integrato con il testo del decreto italiano di adeguamento al GDPR: il D.Lgs. 101/2018 (che ha comportato l’abrogazione di molti articoli) e numerosi provvedimenti del Garante della privacy.
L'applicazione della stessa disciplina sul tutto il territorio comunitario permette anche di avere molte più fonti di chiarimenti, questo avviene anche attraverso le linee guida che chiariscono gli istituti introdotti dal Gdpr, adottate da due organi:
il Comitato europeo sulla protezione dei dati (European Data Protection Board),è un organo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione Europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE;
il Garante europeo della protezione dei dati (European Data Protection Supervisor) l'ente che si occupa della tutela delle norme in materia di protezione dei dati personali.
È importante sottolineare come il GDPR non disciplina la privacy e la riservatezza delle persone ma la loro tutela dal trattamento dei dati personali non per limitarlo quanto per consentirlo prevenendo e riducendo al minimo i rischi per i diritti e le libertà individuali (riguarda le persone fisiche e non quelle giuridiche).
Il trattamento dei dati personali si fonda sull'analisi e sulla valutazione dei rischi (analogia: sicurezza sui luoghi di lavoro e sistema anticorruzione) inteso come combinazione di probabilità e conseguenze dannose, da affrontare con un approccio “privacy by design and by default”:
By default sono misure generali sempre valide (minimizzazione, limitazione delle finalità);
By design significa calibrato sul rischio, viene lasciata al titolare la decisione sul tipo di misure che devono essere proporzionate al caso (concetto collegato: accountability, è la responsabilizzazione dell' interessato; il Gdpr detta i principi e poi è il titolare che li deve applicare in base ai casi).
Per dato personale il GDPR stabilisce che è qualsiasi informazione riguardante una persona fisica quindi il suo nome e cognome, luogo e data di nascita, il codice fiscale ma anche aspetti apparentemente secondari perché il dato personale non è un concetto astratto ma è concreto in base al contesto. Infatti il Garante della privacy ha stabilito che in determinati contesti soprattutto nei piccoli comuni anche le iniziali del nome e cognome sono un dato personale, ad esempio: il Comune X in una procedura pubblica l'elenco delle persone, con le loro iniziali del nome e del cognome, che usufruiscono dei buoni pasti a seguito dell'emergenza Covid. In un comune grande come ad esempio quello di Roma quelle iniziali non significano niente ma nel piccolo Comune X dove sono presenti 500 abitanti quelle iniziali possono identificare una persona, in questo caso le iniziali del nome e cognome possono essere definiti un dato personale.
Dunque non è detto che la anonimizzazione cioè la trasformazione del dato personale in un apparente dato anonimo sia nel contesto concreto realmente anonimo, in questo caso è preferibile una operazione che prende il nome di pseudonimizzazione,ad esempio: il Comune X fa una procedura di concorso e viene comunicato l'avviso di convocazione della prova preselettiva, invece di scrivere nome e cognome viene utilizzato il numero di protocollo per evitare che gli altri candidati possano visualizzare i dati personali.
Nella disciplina del Gdpr esistono dei dati particolari che si distinguono in:
dati comuni (nome, cognome, data di nascita);
dati sensibili che il regolamento UE distingue in dati genetici, dati biometrici e dati relativi alla salute. Per questi tipi di dati il trattamento è diverso infatti si prevede una tutela rafforzata.
Il trattamento (art. 4 Gdpr) è invece qualunque operazione che si fa su un dato anche soltanto la trascrizione del nome e cognome su un'agenda, ovviamente in base al tipo di trattamento si devono adottare misure di sicurezza adeguate. I trattamenti possono essere:
l'acquisizione del dato;
la gestione del dato.
Dopodiché iniziano i trattamenti più pericolosi:
la comunicazione che avviene quando si trasmette all'esterno a soggetti determinati il documento contenente i dati;
la diffusione cioè la pubblicazione del documento a soggetti indeterminati.
Un altro trattamento molto delicato è la profilazione che è tipico delle aziende commerciali per il quale dai dati personali (precisamente da informazioni note) si ricavano delle informazioni non note. Ad esempio: un soggetto ha un ISEE basso, un nucleo familiare formato da sei persone, prendere la cassa integrazione (3 info note) si può dedurre che ha bisogno di un'assistenza sociale (info non nota).
Anche la PA fa la profilazione, gli enti locali la fanno nei servizi sociali o nell'ufficio tributi. Ad esempio: il dipendente del Comune X non invia un'email a tutti i cittadini chiedendo di compilare un modello in cui si deve afferma di non essere evasori fiscali ma prenderà i dati dall'ufficio anagrafe, dell'edilizia e dall'Agenzia delle entrate e verificherà se il non pagamento di una determinata tassa comunale è giustificabile o se è un potenziale evasore fiscale.
Nei casi in cui non c'è una specifica norma che lo preveda la P.A. non può fare profilazione finalizzata a ricavare informazioni non note.
Gli attori protagonisti della privacy sono:
il titolare (persona giuridica) è l'ente, ad esempio il Comune X, che richiede i dati e decide i fini e i mezzi. Potrebbe avere un contitolare che sono soggetti dello stesso livello con il quale condivide delle banche dati attraverso la stipula di un accordo;
Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito Regolamento o RGPD, più comunemente definito GDPR) pone la pubblica amministrazione al centro del processo e destinatario privilegiato di alcuni obblighi. Tra questi, l’obbligo, per tutte le PA, di procedere alla nomina di un Responsabile della Protezione dei Dati (RPD), o Data Protection Officer (DPO), ogniqualvolta trattino dati personali (art. 37, par. 1 RGPD).
La figura innovativa, non era prevista nella vecchia disciplina, è il DPO (Responsabile della Protezione dei Dati), può essere sia una persona fisica che un'impresa, deve essere obbligatoriamente previsto all'interno dell'ente pubblico mentre per i privati secondo condizioni (+250 dipendenti, trattamento massivo di dati, trattamento di dati c.d. “particolari”, quelli precedentemente definiti “sensibili”).
Il DPO non deve svolgere compiti gestionali, né di fatto né di diritto, che riguardino trattamenti dati personali nella impresa o nell'Ente. È il punto di riferimento dell'Amministrazione in materia di privacy (figura equivalente del Rpct) da un lato aiuta l'Amministrazione ma non è una figura attiva ma di supporto e dall'altro lato comunica al Garante della privacy eventuali irregolarità. Tra l'altro, nell’ambito dell’aggiornamento 2018 al PNA, l’ANAC ha chiarito che è sconsigliato che a ricoprire il ruolo di RPD / DPO sia il Responsabile della Prevenzione e della Trasparenza in quanto vi è il rischio che “la sovrapposizione dei due ruoli possa rischiare di limitare l’effettività dello svolgimento delle attività riconducibili alle due diverse funzioni, tenuto conto dei numerosi compiti e responsabilità che la normativa attribuisce sia al RPD che al RPCT.” Un eventuale eccezione può essere prevista, e necessariamente motivata, nel caso di enti di piccole dimensioni “qualora la carenza di personale renda organizzativamente non possibile tenere distinte le due funzioni.”
Il DPO è dunque una figura di garanzia deputata a stimolare (con attività d’informazione e consulenza) e a verificare (con attività di monitoraggio e sorveglianza) il corretto adeguamento alla normativa in materia di protezione dei dati personali. Il Regolamento non prevede specifici requisiti o attestazioni/certificazioni per il DPO, ma dedica ampi spazi a delinearne profilo e caratteristiche.
Nulla dice il Regolamento sulla durata dell’incarico di RPD: ogni valutazione è rimessa, come sempre, al prudente apprezzamento del titolare. Tuttavia, il Garante europeo raccomanda di nominare il RPD per una durata più ampia possibile.
Il DPO assiste il titolare nell’attività di compliance alla normativa in tema sulla protezione dei dati personali, i suoi compiti sono riportati nell’art. 39 del Regolamento ma l’elenco non è esaustivo e nulla vieta che gli siano assegnate funzioni ulteriori purché, come detto, non vadano a discapito della sua funzione e non generino conflitti di interesse. Ad esempio, ben può essergli assegnato il compito di tenere il Registro dei trattamenti o di coordinare le risposte alle richieste di esercizio dei diritti degli interessati.
Riguardo ai compiti propri della sua funzione, una particolare attenzione va posta all’attività di sorveglianza dell’osservanza del Regolamento: si tratta di un compito di controllo e monitoraggio che può essere svolto in diverse modalità, dalla raccolta delle informazioni, all’accesso ai dati, alla collaborazione nell’organizzazione del Piano di formazione del personale.
Non solo: il RPD deve cooperare con il Garante e fungere da interfaccia fra i soggetti, interni ed esterni i cui dati sono oggetto di trattamento: oltre alle autorità di controllo anche i soggetti interessati possono rivolgersi direttamente al RPD.
Occorre comunque sottolineare che il RPD non può mai sostituirsi al titolare nell’adempimento degli obblighi previsti dal Regolamento in capo a quest’ultimo: il controllo del rispetto del Regolamento non attribuisce al RPD la personale responsabilità in caso di inosservanza, responsabilità che resta in capo al titolare del trattamento. Sicuramente il RPD ha l’obbligo di segnalare al titolare inadempienze, difformità e scostamenti dal RGPD e dalle buone prassi.
i soggetti interni sono i dipendenti pubblici, disciplinati dal Codice della privacy che li chiama autorizzati (detti anche designati) perché sono appunto soggetti autorizzati a trattare i dati, ad esempio: il dipendente cat. c dell'ufficio Sport sarà autorizzato a trattare i dati di quel servizio ma non potrà trattare i dati dell'ufficio Elettorale;
i responsabili sono soggetti esterni che operano per conto del titolare del trattamento in cambio di una retribuzione, a differenza del contitolare, è un rapporto gerarchico. Il GDPR non consente al responsabile di subappaltare il servizio almeno che non sia autorizzato dal titolare. I responsabili trattano i dati su incarico del titolare ed è importante che nel contratto siano specificati modi, limiti e clausole come la cancellazione dei dati una volta concluso il rapporto.
Nel 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato nuove linee guida sui concetti di titolare del trattamento e responsabile del trattamento. In particolare viene trattata la nozione di contitolarità del trattamento (anche alla luce di alcune sentenze della CGUE), nonché gli obblighi dei responsabili del trattamento;
gli interessati ovviamente sono le persone fisiche i cui dati personali vengono trattati, che hanno anche dei diritti: accesso, oblio, limitazione, cancellazione, rettifica.
Gli strumenti utilizzati in materia di trattamento dei dati personali sono:
il registro di trattamento;
l'informativa;
il consenso;
la valutazione d'impatto;
il registro accountability;
la modulistica;
un form online;
il data breach.
Il trattamento dei dati personali e la protezione dei dati si fonda su principi comunitari stabiliti dall'art. 5 del GDPR che sono:
liceità, correttezza e trasparenza;
limitazione delle finalità;
minimizzazione dei dati;
esattezza;
limitazione della conservazione;
integrità e riservatezza;
responsabilizzazione.
Il controllo sulla corretta attuazione delle norme sulla privacy e sul trattamento dei dati in Italia è svolto dal Garante per la protezione dei dati personali, un'autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675), poi disciplinata dal Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003 n. 196), come modificato dal Decreto legislativo 10 agosto 2018, n. 101.