Il Regolamento Europeo per la Protezione dei Dati Personali n. 679/2016 (GDPR) non è una legge semplice da applicare negli Enti Locali, per una serie di motivi che spesso si faticano a comprendere. Prevede diversi adempimenti a carico degli Enti, senza distinguere tra quelli più grandi e strutturati e i più piccoli, che si devono scontrare quotidianamente con la carenza di personale e il bilancio da fare quadrare. Inoltre, diversamente dalle leggi nostrane, cui siamo abituati, non prevede una “lista di cose da fare” per cui, se si segue alla lettera ogni adempimento si è in regola, mentre se si tralascia qualcosa si riceve una sanzione.
Al contrario, il GDPR si basa sul concetto di accountability, ovvero sulla responsabilizzazione del Titolare del trattamento (l’Ente locale): in base al rischio che all’interno della propria struttura si corre in merito al trattamento dei dati personali (approccio basato sul rischio) gli adempimenti saranno più o meno stringenti.
Ne consegue grande confusione, sia per i consulenti privacy, sia per i Data Protection Officer (DPO), che qualche volta si possono trovare abbandonati a sé stessi. Lo scopo di questa rubrica settimanale è proprio quello di fornire a consulenti e DPO (che nei piccoli Enti spesso coincidono) una guida per svolgere quanto meno gli adempimenti fondamentali in modo pratico e concreto.
Oggi ci occupiamo di quella che è la documentazione di accountability di base che ciascun Ente locale dovrebbe avere. Nel caso di un controllo da parte del Garante, non è sufficiente mostrare carta, ma sarà necessario avere anche un buon impianto procedurale attivo, ma i documenti sono senz’altro un ottimo punto di partenza.
1. Il Registro dei trattamenti: è il padre di tutta la documentazione di accountability, il documento master da cui partirà tutta l’opera di messa in conformità. Il Registro dei trattamenti è in generale il primo documento di cui viene chiesto conto nel corso di un’ispezione. Sapere dov’è, averlo aggiornato, saperlo illustrare nelle sue fasi nel corso di un’ispezione dimostra che il Titolare del trattamento ha ben chiaro il flusso dei dati all’interno del proprio Ente.
2. Le informative: non una, ma tante quanti sono i trattamenti e le finalità dei medesimi, le informative tutelano gli interessati nei loro diritti e libertà fondamentali, e dimostrano, unitamente al Registro, che il Titolare comprende il meccanismo del trattamento in ogni sua parte e che il dato, dalla sua raccolta alla sua distruzione è sempre ben protetto e ben trattato. Come minimo un Ente avrà l’informativa dipendenti, servizi demografici e anagrafe, anagrafe tributaria, fornitori, visitatori, bandi di gara, amministratori e consiglieri.
3. Le nomine: i dipendenti dell’Ente devono essere nominati autorizzati al trattamento dei dati personali in nome e per conto dell’Ente stesso, il quale deve peraltro fornire debite istruzioni su come trattare i dati, sugli adempimenti privacy da porre in essere, sulle modalità consentite di trattamento. La nomina deve contenere il riferimento al tipo di dati trattati per lo svolgimento della propria mansione, le banche dati coinvolte, e tutte le informazioni necessarie per il dipendente affinché sia messo nelle migliori condizioni per svolgere il proprio lavoro. La nomina dovrebbe essere preceduta da una debita formazione periodica, c a cura del Titolare, in materia di protezione dei dati e di cybersecurity.
4. Le nomine per i responsabili esterni: tutti i soggetti esterni all’organizzazione stabile del Titolare che, sulla base di un contratto, trattino dati del Titolare, devono essere nominati responsabili esterni del trattamento. Questi soggetti, infatti, non trattano dati di cui sono essi stessi Titolari, poiché non sono loro che decidono le finalità del trattamento, ma lo fanno su incarico del Titolare, che dovrà nominarli e fornire loro tutte le istruzioni operative adeguate (come previsto dall’art. 28 GDPR): ad esempio dovranno ricevere detta nomina i fornitori dei servizi IT e i consulenti esterni. È onere del Titolare scegliere i propri fornitori in maniera responsabile (accountable) e quindi scegliere fornitori che siano compliant al GDPR. Ricordiamo, peraltro, che in caso di data breach, cioè di incidente di sicurezza, del fornitore, anche l’Ente titolare dovrà avviare la propria procedura prevista in caso di incidente (soprattutto se si tratta di fornitori strategici, come quelli dei sistemi informatici). Consiglio pratico: qualora i fornitori si rifiutassero di firmare o si dimenticassero di restituire le nomine firmate, è bene conservare traccia delle comunicazioni con cui la firma è stata richiesta, per ragioni di accountability. Non è possibile costringere alcuno a firmare alcunché, ma è doveroso per il Titolare operare in maniera responsabile.
5. I registri: in alcuni Enti locali è possibile entrare e uscire senza troppe formalità, soprattutto se i Comuni sono di dimensioni ridotte. Tuttavia, non è bene che chiunque possa entrare o uscire indisturbato dai locali dell’Ente, e tanto meno dai singoli uffici. Predisporre un registro dei visitatori (con relativa informativa) che tenga contezza di chi entra e chi esce, è uno strumento che permette di tenere sotto controllo eventuali fughe di informazioni. Il registro può essere un normale foglio di calcolo, che dovrà essere conservato per un periodo di tempo limitato, al solo scopo di sicurezza dei locali. Per le stesse ragioni, tenere un registro di chi possiede le chiavi dell’Ente e dei singoli locali al suo interno, con relativa lettera di assegnazione (ed eventualmente di ritiro nel caso in cui il rapporto di lavoro termini) è una buona prassi, Parimenti, sarebbe opportuno censire le macchine in dotazione all’Ente con un registro degli hardware, che contenga anche le regole per lo smaltimento delle vecchie macchine in disuso (i computer immagazzinano dati e no, cancellarli non è sufficiente e accatastarli in un angolo nemmeno).
6. La valutazione dei rischi e le relative misure di sicurezza: si tratta di una analisi, svolta in profondità, dei rischi sul trattamento dei dati che ogni Ente locale affronta all’interno della propria organizzazione, sia in termini di rischi informatici, sia in termini di rischi fisici (ad esempio, come dicevano al punto precedente, in caso di libero accesso nei locali dell’Ente da parte di chicchessia). A ogni rischio analizzato dovrebbe corrispondere una relativa misura di sicurezza volta a minimizzarlo. Nelle prossime settimane ci occuperemo di come redigere in pratica una adeguata valutazione dei rischi, sempre tenendo presente che ogni documento va adattato alle realtà di ciascun Ente.
7. La procedura di privacy by design: i principi di data protection by design (fin dalla progettazione) e by default (per impostazione predefinita) sono tra le maggiori novità introdotte dal Regolamento, Questo significa che per ogni trattamento effettuato dall’Ente o per ogni nuovo progetto che venga avviato, l’Ente dovrà “porsi delle domande”, avere ben presente che cosa vuol dire rispettare il principio di minimizzazione dei dati, di proporzionalità, di liceità, correttezza, trasparenza, ed ogni altro principio cristallizzato dal Regolamento. Per fare questo, è bene che l’Ente si doti di una procedura scritta, che indichi come agire e quali processi affrontare nel trattamento dei dati. In generale l’utilizzo di procedure all’interno dell’Ente, non solo quella di privacy by design, è un ottimo sistema per affrontare la compliance al GDPR in maniera operativa e concreta, per far sì che i principi enunciati non restino solo sulla carta.
8. La procedura di data breach: una violazione di sicurezza del sistema informatico, una perdita dei dati, un incidente che riguardi l’integrità, la disponibilità o la riservatezza è una eventualità che non si vorrebbe mai dover affrontare. Purtroppo, la realtà è diversa e anche se abbiamo effettuato la valutazione dei rischi e implementato le misure di sicurezza (poiché quanto indicato al punto 6 non deve rimanere lettera morta, ma venire poi applicato nella pratica), il rischio zero non esiste e la possibilità che un evento del genere si verifichi esistono. Avere una procedura preventivamente scritta, in cui viene già indicato che cosa fare, come farlo, quando farlo e soprattutto chi coinvolgere è non solo una strategia vincente per ridurre al minimo le conseguenze, ma anche un modo per evitare le sanzioni del Garante (che, qualora arrivino, vanno ad aggiungere danno a danno).
9. La procedura per l’esercizio dei diritti degli interessati: tra le varie informazioni che l’informativa deve contenere, c’è anche l’elenco dei diritti che gli interessati possono esercitare nei confronti del Titolare. Tuttavia, anche in questo caso c’è il rischio che tali diritti restino sulla carta, se non si prevede una procedura, che deve essere preventivamente concordata e messa per iscritto, con cui detti diritti possono essere esercitati. Ad esempio, se nell’informativa viene indicato un indirizzo e-mail a cui gli interessati possono scrivere, ma poi quella casella di posta elettronica non è presidiata, perché nessuno la legge, si avrà il doppio problema di aver scritto un’informativa non conforme e di mettersi nelle condizioni di ricevere una segnalazione (da parte di un interessato scontento) presso il Garante.
10. Il regolamento interno dell’Ente: tutta la documentazione fin qui prodotta deve essere adottata, cioè serve un documento finale che raccolga il tutto, lo sintetizzi, e lo renda operativo in pratica. Nelle aziende private si può definire Modello Organizzativo, negli Enti, Regolamento, la sostanza è che serve un atto ufficiale, da parte della dirigenza e della amministrazione del Comune, che, preso atto delle attività svolte, delle procedure definite, della documentazione prodotta, della formazione svolta, e dell’infrastruttura informatica resa adeguata dagli interventi effettuati (o programmati) renda effettivamente operante il nuovo modello privacy all’interno dell’Ente. Perché l’accountability passa, sì, attraverso la carta, ma ancora di più attraverso la presa di consapevolezza e l’adozione, in pratica, di modelli di comportamento virtuosi e responsabili (accountable, appunto).
*****
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento