Con l’entrata in vigore del GDPR, la protezione dei dati personali dal 25 maggio 2018 ha acquisito centralità anche per le pubbliche amministrazioni.
Sembra una considerazione banale forse, ma si è verificato un passaggio importante: da mero adempimento a scadenza la tutela della privacy è divenuta un obiettivo fondamentale da raggiungere e garantire nel tempo.
Il GDPR è basato infatti sul principio dell’accountability (responsabilizzazione): al titolare del trattamento è richiesto non solo di adottare misure volte a garantire la conformità dei trattamenti al Regolamento, ma anche di essere in grado di dimostrarne il costante rispetto.
In caso contrario il sistema sanzionatorio prevede:
- sanzioni amministrative fino a 20 milioni di Euro (art. 83 GDPR);
- la responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR).
La giurisprudenza ha già determinato un risarcimento al privato danneggiato in caso di mancata adozione di misure di sicurezza e tutela adeguate. Non solo, recentemente il Garante per la privacy ha sanzionato per la prima volta una pubblica amministrazione per non aver rispettato le tempistiche di nomina del Data Protection Officer secondo quanto previsto dal GDPR.
Cosa deve fare la Pubblica Amministrazione per evitare le sanzioni previste in materia di privacy?
Definizione dell’ufficio di competenza della materia.
Ciascuna amministrazione deve individuare e segnalare internamente quale ufficio debba occuparsi stabilmente dell’adeguamento al GDPR. L’organizzazione precisa all’interno degli enti consente il coordinamento tra le varie figure, fondamentale per una corretta gestione dei processi interni.
Individuazione e nomina del DPO.
L’articolo 37 del GDPR prevede l’obbligo di nominare un DPO per le autorità pubbliche e gli organismi di diritto pubblico. Una figura importante che deve avere requisiti specifici, deve fornire consulenza e informare sulla corretta applicazione del Regolamento. Inoltre, si deve occupare della formazione in materia privacy del personale interno all’ente. Il DPO può essere lo stesso per più enti e può essere sia interno che esterno (nel primo caso non potrà essere lo stesso soggetto che definisce le politiche di protezione di dati personali, come ad esempio il responsabile della transizione digitale). Nel caso invece di DPO esterno, quest’ultimo dovrà essere scelto a seguito di una procedura selettiva e dovrà stipulare un contratto di servizi con l’ente.
Nomina dei responsabili del trattamento.
Ai sensi dell’articolo 28 del GDPR è necessario scegliere coloro che svolgono un trattamento per conto del titolare dello stesso in base alle possibilità di mettere in atto misure tecniche e organizzative adeguate e garanzie sufficienti a soddisfare i requisiti del Regolamento e a tutela dei diritti dell’interessato.
Informativa.
Ai sensi dell’articolo 13 del GDPR il titolare deve dare evidenza alle principali informazioni che riguardano il trattamento. L’informativa deve essere chiara, sintetica e facilmente comprensibile e deve resa senza alcuna specifica richiesta.
La nostra società ha preparato e mette a disposizione alcuni modelli di informative privacy destinate agli uffici comunali secondo quanto previsto dall’articolo 13 del GDPR. Per ottenerli è sufficiente scaricarli dalla sezione MATERIALI GRATUITI del nostro sito (non serve essere registrati ed è tutto incredibilmente gratis).
Registro delle attività di trattamento.
Ai sensi dell’articolo 30 del GDPR è necessario adottare e aggiornare continuamente un registro delle attività di trattamento in cui inserire:
- il nome e i dati di contatto del titolare del trattamento e del DPO;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione.