IN POCHE PAROLE…
Gli adempimenti delle pubbliche amministrazione La responsabilizzazione dei titolari del trattamento dei dati, la mappatura e la ricognizione dei trattamenti, la scelta di persone competenti nella gestione dei modelli di privacy, una idonea politica di sicurezza dei dati, la capacità di coniugare riservatezza con obblighi di trasparenza.
- Privacy e riservatezza
Il termine privacy indica il diritto alla riservatezza delle informazioni personali e della propria vita privata. Le normative che si sono susseguite in materia negli ultimi anni sono state concepite per salvaguardare e tutelare la sfera privata del singolo, impedendo che le informazioni personali siano divulgate senza consenso dell’interessato e che i soggetti terzi possano intromettersi nel proprio ambito privato.
La tutela della riservatezza, potendo essere ricondotta all’art. 2 della nostra Carta costituzionale, e in particolare ai cosiddetti diritti di quarta generazione, identifica il diritto dell’individuo ad avere il controllo sulle informazioni e sui dati riguardanti la sua vita privata, per il quale la legislazione deve fornire gli strumenti di tutela necessari. L’evoluzione tecnologica e l’affermazione delle comunicazioni elettroniche e digitali hanno condotto il legislatore europeo a innovare il corpus normativo e ad ampliare il concetto stesso si sfera privata alla luce dell’inarrestabile rivoluzione digitale e dell’invasione del mondo virtuale su quello reale.
La riservatezza, riconosciuta dalla Carta dei diritti fondamentali dell’Unione Europea, indica la soglia a partire dalla quale la vita di ogni persona è indenne rispetto all’altrui ingerenza e, nell’ambito della stessa, la tutela dei dati personali ne declina uno degli aspetti principali, ma non l’unico.
Sicché nell’odierna era digitale, il termine riservatezza non indica semplicemente l’accezione inglese di “privacy”, configurandosi piuttosto quale diritto all’inviolabilità della sfera privata e dei propri dati personali, nel cui ambito il diritto alla privacy ne diventa un’estensione suscettibile di individuare tutti gli elementi che definiscono l’identità individuale e di allargare la tutela dell’individuo oltre la sfera privata, nella dimensione sociale. Con tale più ampia accezione si intende anche il diritto a esprimere liberamente le proprie aspirazioni, ad autodeterminarsi, a riconoscersi parte attiva nel rapporto con le istituzioni e nel rispetto reciproco delle libertà, impedendo la divulgazione di informazioni sulla propria persona.
La privacy va, dunque, assumendo l’aspetto di una versione dinamica del concetto di riservatezza, come leva a disposizione del singolo volta al controllo sull’uso delle informazioni da parte di chi gestisce le banche dati ove le stesse sono inserite e conservate. Mentre la privacy è stata costruita come un dispositivo “escludente” cioè come uno strumento per allontanare lo sguardo indesiderato, la protezione dei dati personali mette al centro la persona in riferimento ai suoi dati, perché questi costituiscono un’identità meritevole di tutela.
- Regolamento Europeo n. 679/2016 (GDPR)
La citata distinzione ha guidato l’evoluzione della normativa in materia culminata nel Regolamento generale per la protezione dei dati personali 2016/679 [1] (General Data Protection Regulation o GDPR), che costituisce la principale fonte europea in materia di protezione dei dati personali[1].
La nuova disciplina europea, rispetto al passato, si basa un binomio imprescindibile tra responsabilità e consapevolezza, che vede da un lato la responsabilizzazione dei soggetti gestori dei dati personali, siano essi privati o pubbliche amministrazioni, dall’altro la consapevolezza da parte dei cittadini che rappresentano il centro della nuova cultura digitale. In questo modo, il regolamento sposta l’attenzione dalla tutela dell’interessato alla responsabilità del titolare del trattamento dei dati, introducendo la cosiddetta “ accountability” che si manifesta nell’adozione di comportamenti sostanziali e non meramente formali di tutela dai rischi impliciti nel trattamento di dati personali. In particolare, si evidenzia la necessità di attuare misure di garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere in autonomia le modalità e i limiti del trattamento dei dati in base ai principi generali indicati nel Regolamento.
Il regolamento prende il via da alcuni obiettivi puntuali finalizzati a rispondere alle sfide derivante dalle nuove tecnologie digitali. Anzitutto punta alla definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione, da quando col Trattato di Lisbona, la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va assicurata ugualmente in tutto il territorio europeo; quindi allo sviluppo del Mercato Unico Digitale Europeo[2], poiché, per effetto della maggiore tutela dei dati viene alimentata la fiducia dei cittadini nella società digitale e nell’uso dei servizi online.
In maniera più esplicita rispetto alla direttiva 95/46 CE [2][3], il regolamento proclama la tutela del diritto alla protezione dei dati personali come diritto fondamentale delle persone fisiche[4] e definisce il passaggio da una visione proprietaria del dato, in base alla quale quest’ultimo non può essere trattato in assenza del consenso dell’interessato, a una visione di controllo che ne favorisce invece la libera circolazione, rafforzando contemporaneamente i diritti dei soggetti coinvolti dai rischi insiti nel trattamento e garantendo la libertà degli individui di “far conoscere di sé solo ciò che si vuol far conoscere”.
In quest’ottica la testata d’angolo del nuovo regolamento diventa l’autodeterminazione informativa, condizione necessaria per il libero sviluppo della personalità del cittadino, nonchè elemento essenziale di ogni società democratica, la cui portata viene in rilievo proprio considerando lo strumento utilizzato dall’Unione. Non più la direttiva, che lascia ad ogni Stato membro un certo margine di operatività, ma la scelta del regolamento, immediatamente applicabile nell’ordinamento nazionale, che invece, spazzando via ogni discrezionalità, ha travolto completamente le normative nazionali vigenti[5].
Il nuovo Regolamento fornisce un quadro di regole più rigorose rispetto alla precedente Direttiva 95/46/CE [2], che tiene conto delle più attuali problematiche e dei nuovi rischi per la privacy introdotti dall’evoluzione tecnologica, e garantisce una migliore armonizzazione delle legislazioni nazionali a livello comunitario. L’approccio del GDPR è basato sulla valutazione del rischio con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenuto conto della natura, della portata, del contesto e delle finalità del trattamento stesso, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti, con l’evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge e con la possibilità di adattarsi ai cambiamenti tecnologici in atto.
I dati personali, nel contesto del GDPR, si riferiscono a tutti i dati relativi a una persona vivente identificata o identificabile. L’interessato è la persona fisica che è titolare dei dati e che deve esprimere il consenso[6] al trattamento sulla base di un’informativa rafforzata[7] che il titolare del trattamento ha l’obbligo di fornire all’interessato prima che quest’ultimo presti l’autorizzazione.
Tra gli altri diritti riconosciuti all’interessato rientrano anche il diritto di accesso[8] alle informazioni riguardanti i dati, le finalità e le modalità di trattamento degli stessi; l’istituzionalizzazione del diritto all’oblio[9], come previsto dalla Corte di Giustizia Europea, che consente di chiedere ed ottenere la rimozione dei dati quando viene meno l’interesse pubblico alla notizia; il diritto alla portabilità dei dati[10] che consente di trasferire i dati personali tra i vari servizi online; il diritto di opposizione che consiste nel diritto dell’interessato di opporsi, in qualsiasi momento, al trattamento dei dati personali che lo riguardano [11], il diritto a non essere sottoposto a decisioni automatizzate, compresa la profilazione[12].
Con il GDPR il titolare del trattamento, cioè chi determina le finalità e i mezzi del trattamento dei dati personali, ai sensi dell’art. 4, dovrà identificare la base giuridica del trattamento e documentarla, in quanto in relazione alla base giuridica possono variare i diritti dell’interessato. Incombe sul titolare del trattamento la valutazione di impatto (D.P.I.A., cioè Data Protection Impact Assestment), in quanto egli è tenuto a effettuare una valutazione preventiva delle conseguenze del trattamento dati sulle libertà e sui diritti degli interessati[13].
Al titolare del trattamento possono affiancarsi altre figure, tra cui il responsabile del trattamento che svolge una funzione di supporto al titolare nel trattamento dei dati, e gli incaricati del trattamento, ossia soggetti che operano sotto la diretta autorità del responsabile. In tale ottica la predisposizione e l’aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme; in particolare ci si riferisce alla documentazione attestante i trattamenti svolti (registro dei trattamenti; valutazione di impatto, trasferimento dati extra UE);
alla documentazione attestante il rispetto dei diritti degli interessati (informative, moduli raccolta consenso); alla documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili esterni e autorizzati) ed infine ai documenti che attestano le misure di sicurezza implementate.
- Cibersecurity e trattamento dati
In ambito comunitari, il centro della politica di sicurezza dei dati è rappresentato dall’art. 17 della Direttiva 95/46/CE [2] Legge n. 675/1996 [3] e dal successivo D.P.R. n. 318/1999 [4].
Il legislatore, con il D.lgs. n. 196/2003 [5], cosiddetto Codice della Privacy, con una prospettiva di tipo evolutivo e prendendo le mosse dalle misure previste dal D.P.R. n. 318/1999 [4], ha creato un’articolata infrastruttura per la protezione e la sicurezza dei dati, che ha impresso alle precedenti misure un carattere particolarmente precettivo. Le categorie individuate dal D.P.R. n. 318/1999 [4] vennero semplificate; venne recepita a livello nazionale la normativa tecnica ISO/IEC 17799:2000, le Linee Guida OCSE e la Direttiva 2002/58/CE [6], e infine cambiò l’approccio complessivo alla sicurezza. Il dibattito ruotava sulla differenziazione tra misure minime e misure idonee di sicurezza. Infatti, l’art. 169 del Codice della Privacy, oggi abrogato dal D.lgs. n. 101/2018 [7], stabiliva che in caso di mancata adozione delle misure minime, il titolare, il responsabile e l’incaricato del trattamento, potessero andare incontro ad una responsabilità di tipo penale, mentre in caso di mancata adozione delle misure idonee si applicava l’art. 15, comma 1 (abrogato dal D.lgs. n. 101/2018 [7]), che faceva sorgere un obbligo risarcitorio.
Le maggiori novità, in tema di cyber security, si trovano all’interno della Sezione 2 del GDPR, intitolata “Sicurezza dei dati personali” che detta una disciplina delle misure di sicurezza di gran lunga meno dettagliata rispetto alla precedente secondo la logica sottesa alla nuova normativa comunitaria che è quella dell’accountability, appunto. Il primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale, con spirito responsabilizzatore, dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare che il trattamento dei dati personali sia realizzato in modo conforme alla disciplina dettata dal Regolamento. Proseguendo, con l’art. 32, viene disposto che il titolare e il responsabile del trattamento dei dati personali dovranno predisporre e attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, senza la tipizzazione precedente.
Bisogna notare, a tale proposito, come con la nuova disciplina comunitaria scompaia del tutto la distinzione precedentemente esistente fra misure idonee e misure minime di sicurezza, esprimendosi solo in termini di adeguatezza al livello di rischio effettivamente esistente e agli sviluppi tecnologici ed evitando, nel contempo, l’inutile dispendio di risorse, soprattutto economiche, che ne sarebbe altrimenti conseguito.
Nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare, ai sensi dell’art. 32 sono: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico. La norma attribuisce rilievo anche al concetto di disaster recovery, che consiste nella capacità di reagire in modo efficace e tempestivo ad eventuali criticità dovute ad incidenti fisici o tecnici, allo scopo di ripristinare la disponibilità e l’accesso dei dati personali oggetto di trattamento.
Fra le novità maggiormente significative, in tema di sicurezza, introdotte dal GDPR, una particolare menzione merita il Data Protection Impact Assessment, strumento che consente di effettuare precise e puntuali valutazioni preliminari circa i rischi sottesi alle varie attività sui dati, prima del loro trattamento. La DPIA si rende necessaria ogniqualvolta dal trattamento possa conseguire un rischio elevato per i diritti e le libertà delle persone interessate e si articola in due fasi: una prima interna di competenza del titolare del trattamento, e una seconda eventuale ed esterna, nella quale, dopo aver identificato un rischio potenzialmente elevato, il titolare deve consultarsi con l’Autorità di controllo[15] e con il responsabile per la protezione dei dati. Il GDPR ha introdotto una figura assolutamente innovativa, il DPO (Data Protection Officer), ossia il Responsabile della protezione dei dati, un soggetto incaricato di assicurare la gestione corretta dei dati personali, un vero e proprio “guardiano del dato”. Il DPO è designato[16]dal titolare o dal responsabile del trattamento e la designazione, che va comunicata all’Autorità di controllo nazionale, è obbligatoria in tre ipotesi: quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico, eccezion fatta per l’autorità giudiziaria; quando l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala; se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici.
Il DPO è un consulente esperto che va ad affiancare il titolare nella gestione del trattamento dei dati personali, in tal modo garantendo che un soggetto qualificato si occupi della materia, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore. Deve possedere determinati requisiti di professionalità e deve essere, inoltre, in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse. L’indipendenza del DPO è garantita dal fatto quest’ultimo non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei compiti elencati dall’art. 39 del GDPR e dalla circostanza ulteriore che non risponde personalmente in caso di inosservanza delle norme, in quanto spetta sempre al titolare o al responsabile del trattamento l’onere di assicurarne e dimostrarne il rispetto.
Tra gli ulteriori adempimenti previsti dal GDPR si ricordi il data breach, ossia l’obbligo che incombe sul esponsabile del trattamento di notificare all’autorità di controllo competente, in caso di violazione dei dati personali, la violazione, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
- GDPR: adempimenti a carico dei comuni
La responsabilizzazione dei titolari del trattamento dei dati è il principio fondamentale alla base del nuovo regolamento, mentre il secondo aspetto di rilievo riguarda la mappatura e la ricognizione dei trattamenti svolti dalle diverse amministrazioni che costituisce la dead line degli adempimenti in materia di privacy a carico dei comuni.
Rileva, inoltre, anche da parte dei comuni, l’esigenza di dotarsi di persone competenti nella gestione dei modelli di privacy, specialmente con riguardo alla figura del DPO, atteso che, nella PA, è obbligatoria la sua nomina, con qualche eccezione, come ad esempio per i piccoli comuni che potranno condividerlo per evidenti ragioni economiche. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure un libero professionista. Naturalmente per i noti problemi connessi alla scarsità di risorse economiche è prevedibile che la maggior parte degli enti pubblici attingeranno dal proprio personale, benchè, per la verità, gli enti minori non sempre dispongono al loro interno di skills adeguate.
Un ulteriore aspetto di criticità riguarda i rapporti tra privacy e trasparenza, in quanto, anche se l’atteggiamento rispetto al trattamento dei dati e è molto cambiato negli ultimi anni, si assiste, spesso, a inevitabili conflitti nel riutilizzo dei dati pubblicati e nell’impatto con la normativa in materia di protezione dei dati personali. Con l’adozione di apposite Linee guida[17] il Garante è intervenuto proprio per assicurare l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti.
Non è per nulla secondario il tema della sicurezza dei dati nei comuni, per i connessi profili di garanzia della disponibilità, integrità e riservatezza delle informazioni. In un contesto tecnologico in costante evoluzione, gli investimenti devono essere rafforzati con continuità, considerato che, ultimi anni, il numero complessivo di attacchi e di incidenti legati alla sicurezza informatica si è innalzato in modo preoccupante.
E’ opportuno richiamare l’attenzione anche sulla possibilità dell’utilizzo di specifici codici di condotta o meccanismi di certificazione che consentano di documentare l’idoneità delle misure di sicurezza adottate.
dott.ssa Enrica Cataldo – AGID, uffici di staff
[1] Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a partire dal 25 maggio 2018. E’ composto da 99 articoli e 173 considerando, laddove questi ultimi hanno solo un valore interpretativo.
[3] La Direttiva 95/46/CE del Parlamento e del Consiglio d’Europa era il principale strumento giuridico dell’Unione europea in materia di protezione dei dati.
[4] Art. 1 par. 2 “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”
[5] Nel nostro ordinamento il D. lgs n. 196/2003, recante il Codice della privacy.
[6] Art.4. comma 1, n. 11, GDPR.
[14] recepita nel nostro ordinamento dalla Legge n. 675/1996.
[15]Il Garante Privacy, al riguardo, si veda l’art. 36 GDPR.