La Rivoluzione della Privacy per aziende e P.A - EDIZIONE SPECIALE Il Convegno Nazionale Bari 29 gennaio 2019 - Lawapp
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
EDIZIONE SPECIALE
Il Convegno Nazionale
Bari 29 gennaio 2019
ANNO IV - numero 14 - Gennaio 2019
La Rivoluzione della Privacy
per aziende e P.A
I commercialisti e i disagi della digitalizzazione
il numero uno di UNAGRAGO Diretto difende la Categoria e chiede risposte
di Giuseppe Diretto*
Abbiamo atteso, abbiamo sperato, abbiamo mediato.
Oggi è finito il tempo dell’attesa.
Oggi è il momento di dire basta alle vessazioni ai danni di
una intera Categoria e dei contribuenti.
Oggi è giunta l’ora che ognuno si prenda le proprie
responsabilità e che il Ministero inizi a dare risposte concrete
in termini di semplificazione (sempre attesa e mai arrivata),
di diminuzione della pressione fiscale e del riconoscimento
del credito d’imposta in favore dei commercialisti. Un
credito d’imposta che sia non inferiore a tutti gli investimenti
necessari per fornire i servizi dal Ministero stesso richie-
sti/imposti. È necessario senza alcun ulteriore differimento,
un intervento in favore della nostra Categoria, pertanto
a favore di tutti gli studi professionale per adeguare le
nostre strutture con ogni genere di investimento necessario:
dalla formazione del personale, dei collaboratori e dei
clienti agli investimenti e aggiornamenti costanti di
hardware e software. Attendiamo finalmente un “SI” alle
continue istanze di cui continueremo a farci interpreti e
promotori instancabili, oltre che chiari e concreti strumenti
in favore della categoria che, ricordiamolo, assolve ad una
vera e propria funzione sociale irrinunciabile e meritevole
di rispetto. Siamo stati penalizzati come categoria dalla
rivoluzione digitale che porta senza dubbio con sé grandi Giuseppe Diretto
vantaggi, ma a cui ci sarebbe dovuti preparare con risorse
nuove, tempo e criterio. Questa rivoluzione, invece, ha della realtà della nostra professione. Eravamo abituati alle
penalizzato proprio noi Commercialisti. Le nostre mol- poche pagine delle dichiarazioni dei redditi e dell’IVA, da
teplici attività (consulenza amministrativa, gestionale, depositare rigorosamente a mano o spedite a mezzo servizio
societaria, contabile, fiscale, revisione contabile, postale.
revisione legale, revisione enti locali, perizie, consulenze Ci siamo sempre mostrati pronti ad eseguire rigorosa-
tecniche, liquidazioni, passaggi generazionali, ecc...) mente le istruzioni ministeriali, pronti alle levatacce in
sono oggi fortemente compromesse a causa del tempo fila innanzi agli Uffici Provinciali IVA o presso gli Uffici
che ci viene sottratto dall’adeguamento richiestoci, anzi, Comunali. In seguito le pagine sono diventate decine e deci-
imposto dalle esigenze fiscali del Governo, che evidente- ne, perché le informazioni inviate agli Uffici finanziari “erano
mente ci considera degli “addetti” alla compilazione delle insufficienti”. E noi, eravamo pronti a leggere centinaia di
dichiarazioni e non solo, e all’invio telematico; per noi, di pagine di istruzioni per compilare le centinaia di pagine che i
contro, tutto questo è solo un aspetto, quasi un corollario, modelli iniziavano ad accogliere, ma pronti anche a sobbar-
carci i costi di carta, stampanti e inchiostro. Pur essendoci
mostrati pronti a rispondere alle diverse esigenze non siamo
riusciti a stare al passo con la folle corsa della digitalizza-
zione, mentre qualcuno, ancora una volta, decideva per noi
e per le imprese, di lasciare a casa i vecchi modelli cartacei
UNAGRACO.INFO per transitare definitivamente verso i modelli F24 telema-
Editore tici dove i costi (in termini di tempo, risorse lavoro, carta,
ecc.) erano e sono ben lungi dal concetto di semplificazione
Giuseppe Diretto e maggiori economie. Il disagio è contingente. Semplifica-
Direttore Responsabile zione dunque sì, ma la semplificazione è ben altro, non solo
Alessia De Pascale un insieme di norme che demandano al “contribuente” e al
commercialista le mansioni dei dipendenti degli Uffici mini-
Redazione: Via Guido Dorso,75 - Bari steriali. Urgente, invece, è un intervento in favore della nostra
categoria, pertanto a favore di tutti gli studi professionali per
ANNO IV - N.14 - Gennaio 2019 colmare le nostre giuste incapacità tecnico-informatiche,
Registrazione N.REG.Stampa 29 3963/2014 nonché per adeguare le nostre strutture con ogni genere di
16/10/2014 Tribunale di Bari investimento necessario: dalla formazione del personale,
Distribuzione gratuita dei collaboratori e dei clienti agli investimenti e aggiorna-
menti costanti di hardware e software. Nonostante questo
siamo pronti ad affrontare più uniti che mai questa nuova
rivoluzione digitale.
* Presidente Nazionale UNAGRACO
2 UNAGRACO.INFO
Il Convegno Nazionale UNAGRACO di Bari:
le principali novità in materia di Privacy
Nella prima tavola rotonda un focus sugli adempimenti necessari per aziende e P.A
La prima tavola rotonda
Un Convegno Nazionale dall’alto contenuto tecnico forte- vazione nella Pubblica Amministrazione: «senza una norma-
mente voluto da UNAGRACO, quello che si è tenuto a Bari tiva potrebbero naufragare le strategie di rinnovamento con
il 29 Gennaio 2019 nel The Nicolaus Hotel: numerosi ed il- ripercussioni sociali ed economiche. Dunque, la normativa
lustri relatori hanno dato il proprio importante contributo al pone le basi per una democrazia dell’innovazione, nel senso
dibattito incentrato, nella prima tavola rotonda, sugli adem- che deve essere a beneficio di tutti. Pertanto, sarà neces-
pimenti e la privacy per aziende e P.A e sulla fondamentale sario che le norme accompagnino ed agevolino il processo
attività della Guardia di Finanza in materia di Privacy. di innovazione nella P.A. mediante la diffusione di processi
A portare i saluti al consesso riunito nella sala conferenze semplificati e tecnologie digitali rivolte a conseguire sistemi
il sindaco di Bari Antonio Decaro: “È importante essere qui diretti al cittadino, il quale deve trarre vantaggio dalle tecno-
ed è importante il confronto per far crescere la comunità, logie digitali in termini di servizi, celerità, conoscenza attra-
per rafforzarsi nelle rivendicazioni e per dare utili indicazio- verso, appunto, gli strumenti di comunicazione con lo Stato.
ni anche ad Enti e Istituzioni”, Nicola Altiero, Comandante Ad ogni buon conto, occorre riflettere sulla non facile rea-
Provinciale della Gdf Bari, Luigi Pagliuca, Presidente CNPR, lizzazione della dematerializzazione e digitalizzazione e alle
Elbano de Nuccio, Presidente ODCEC Bari, Giovanni Stefanì, difficoltà che permeano la materia. In proposito, le difficoltà
Presidente Ordine Avvocati di Bari e Roberto Masciopinto, di applicazione principalmente operative, derivano dalle in-
Presidente Ordine Ingegneri Bari. numerevoli modifiche che hanno subito le norme nel susse-
L’apertura dei lavori è spettata a Francesco Avolos, Presiden- guirsi degli anni come ad es. il Codice dell’ Amministrazione
te UNAGRACO Bari e a Giuseppe Diretto, Presidente Nazio- Digitale frutto di numerosissimi interventi, oltre alla vastità
nale UNAGRACO che hanno dato avvio ai preziosi interventi delle leggi in materia che devono anche integrarsi ed esse-
di esperti del settore privacy di grande prestigio. La prima re applicate nelle loro differenti finalità come, per esempio,
relazione è stata quella dell’Avvocato barese Daniela Bata- la L. 241/90 sul procedimento amministrativo e di diritto
loni, esperta in privacy che si è soffermata a parlare di inno- di accesso ai documenti amministrativi, il Regolamento UE
UNAGRACO.INFO 3
2016/679 del Consiglio e del Parlamen- tecnologiche e rappresentano nuovi
to Europeo del 27 Aprile 2016 e Decreto scenari di convivenza “digitale “. In tal
legislativo n. 101 del 10 Agosto 2018; il senso deve essere rivolta la normativa,
D.Lgs. n. 33/2013 con il correttivo D.L- ovvero, regolare l’innovazione continua
gs. 97/2016 riguardante il diritto di ac- dei servizi della PA che impone scenari
cesso civico e gli obblighi di pubblicità, di democrazia basati sull’utilizzo delle
trasparenza e diffusione di informazioni tecnologie e deve tener conto dei nuovi
da parte delle pubbliche amministrazio- problemi che questa evoluzione pone
ni, il codice dei contratti ecc. Ciò detto, alla società». Ne è seguito l’interven-
non sempre appaiono comprensibili gli to di Marcella Caradonna, Presidente
step fondamentali che possano concre- ODCEC Milano, che ha focalizzato il
tizzarsi nel conseguimento degli obietti- suo intervento sul ruolo del commer-
vi di innovazione che avrebbero indiscu- cialista come team leader delle pro-
tibili effetti innovativi, di rinnovamento e fessionalità necessarie per un corretto
di trasformazione. In questo scenario, la adempimento degli obblighi della nor-
trasparenza dell’azione amministrativa mativa: «Come è noto, infatti, la tutela
è diretta a rendere cittadini e imprese dei dati sensibili deve avvenire attra-
sempre più informati, coscienti, consa- Dott. Francesco Avolos verso la predisposizione di un sistema
pevoli dei meccanismi di funzionamen- Presidente UNAGRACO Bari di procedure con anche il ricorso a tec-
to della Pubblica Amministrazione. Lo nologie che riducano quanto più possi-
strumento giuridico in questione risulta bile il rischio di diffusione o utilizzo dei
idoneo a rendere più partecipe la collet- dati stessi per usi differenti da quelli per
tività alle scelte della PA, comprenden- cui la persona ha fornito le informazioni.
done l’operato, le scelte, divenendo la Perché il sistema sia realmente efficace
trasparenza anche strumento di preven- deve essere costruito sulle specifiche
zione della corruzione di cui alla legge 6 caratteristiche dell’ente. È, quindi, indi-
novembre 2012, n. 190. Tuttavia, il prin- spensabile conoscere l’organizzazione
cipio della trasparenza non deve essere della impresa, il suo funzionigramma e
inteso in senso assoluto e senza alcun le dinamiche interne al fin di identificare
limite o vincolo. Per quanto attiene il i punti critici da sottoporre a controllo.
trattamento dei dati personali, inoltre, In questo contesto il commercialista as-
il GDPR UE 2016/679 al Considerando sume un ruolo chiave poiché è la figura
4 evidenzia: ”….Il diritto alla protezione che maggiormente conosce gli aspetti
dei dati di carattere personale non è una indicati e può ottimizzare il lavoro».
prerogativa assoluta, ma va considerato
alla luce della sua funzione sociale e va A prendere la parola successivamen-
contemperato con altri diritti fondamen- te è stato Giuseppe Diretto, Presidente
tali, in ossequio al principio di propor- Dott. Giuseppe Diretto Nazionale UNAGRACO, che ha focaliz-
Presidente Nazionale UNAGRACO
zionalità..….”. Ciò detto, la presente nor- Vice Presidente ODCEC Bari zato l’attenzione della platea, avviando
mativa andrà contemperata con quelle un’importante riflessione sulla dimen-
esistenti e il principio dell’accountability sione della privacy, ossia quali e quanti
sarà basilare in tal senso. La trasparen- soggetti hanno il dovere di garantire la
za nel GDPR , distinta dalla Trasparenza protezione dei dati personali: « Per pro-
prevista dal Decreto Trasparenza, è tra vare a dare queste dimensioni bisogna
i principi di maggior rilevanza (art. 5, sfatare qualche mito che, negli anni, si
co. 1, a) ed è elemento costitutivo della è fatto largo nel pensiero comune e, so-
“responsabilizzazione”; non a caso, la prattutto, bisogna pensare che, rispetto
prescrizione della trasparenza, oltre alle al vecchio Codice Privacy, sono cambia-
sanzioni civili di risarcimento del danno, te almeno due cose: non ci sono sche-
è assistita dalla sanzione amministrati- mi precostituiti per proteggere i dati
va di cui all’art. 85 co 5 GDPR che è la personali né indicazioni prescrittive;
più pesante. Nel GDPR, quindi, non ba- tutto è sulle spalle di titolari e respon-
sta fare “informativa” ma occorre rea- sabili che dovranno essere in grado di
lizzare la trasparenza e il titolare dovrà valutare i rischi per i diritti e le libertà
dare prova del rispetto della trasparenza fondamentali delle persone fisiche;
stessa. Concludendo, i diritti fondamenti titolare e responsabile devono saper
delle persone, a cui attengono anche la spiegare in modo chiaro, convincente
riservatezza e la protezione dei dati per- Gen. Nicola Altiero e documentato le scelte che hanno fat-
sonali, segnano il passo delle evoluzioni Comandante Provinciale della Gdf Bari to in termini di misure di sicurezza, sia
4 UNAGRACO.INFO
tecniche (tipicamente informatiche) sia organizzative (per non eseguo operazioni di trattamento”. Anche questo è un
esempio, dislocazione di archivi cartacei). Dunque, i miti da falso mito perché, leggendo il GDPR, al punto 2, paragrafo 1
sfatare. Eccoli. Spesso, si sente dire che bisogna proteggere dell’art. 4, vengono esemplificate le operazioni di trattamen-
solo i dati sensibili e, quindi, chi non tratta questo tipo di to tra le quali, per esempio, c’è la semplice consultazione op-
dati non deve curarsi di rispettare le relative norme. Prima di pure la conservazione. Chi, tra gli operatori economici, non
sfatare questo mito bisogna chiarire che i dati sensibili non svolge questo tipo di operazioni? Tutti abbiamo un archivio,
esistono più nelle definizioni del GDPR; esistevano, invece, seppur minimo, di documenti che contengono dati perso-
nella vecchia versione del Codice Privacy (Dlgs. 196/2003). nali. Spesso, si sente dire che è interessato alla protezione
Erano i dati riguardanti la salute, l’orientamento sessuale, dei dati personali sono chi li tratta con strumenti elettronici.
l’orientamento religioso, e così via. Molti, invece, attribuiva- Anche questa è una falsa credenza: il GDPR, ma anche il Co-
no l’aggettivo sensi- dice Privacy, non fa
bile a dati personali distinzione tra dati
che non rientravano personali trattati
nella definizione del informaticamente e
Codice ma che rite- dati personali con-
nevano di dover trat- tenuti in documenti
tare con delicatezza: cartacei. E, oggi,
reddito annuo, pun- non basta, come
teggio ad un con- qualcuno continua
corso, ecc. Chiarito a credere, l’appli-
questo equivoco, cazione delle mi-
conviene sottoline- sure minime di si-
are due aspetti: non curezza contenute
è vero che occorre nell’allegato B del
proteggere solo i vecchio Codice Pri-
dati sensibili che il vacy. Oggi occorre
GDPR, oggi, chiama una valutazione del
particolari catego- rischio piuttosto
rie di dati personali; Dott. Luigi Pagliuca Dott. Elbano de Nuccio profonda per ogni
Presidente ODCEC Bari
tutti i dati devono Presidente CNPR processo di tratta-
essere protetti se mento. Questo, per
riferiti (o riferibili) ad esempio, ha indot-
una persona fisica. to il Garante per la
Quindi occorre pro- Protezione dei Dati
teggere i dati ana- Personali a rive-
grafici, le fotografie, dere i codici deon-
l’indirizzo e mail, tologici allegati al
ecc. a meno che vecchio Codice Pri-
non siano trattati in vacy. Questa ope-
ambito strettamente razione non è stata
personale; il primo solo di ridenomi-
paragrafo dell’art. 9 nazione da codici
del GDPR dice che deontologici in re-
è vietato trattare le gole deontologiche
particolari categorie (come previsto dal
di dati personali (gli Dlgs. 101/2018)
ex dati sensibili); per ma ha, di fatto,
fortuna, tuttavia, che cancellato ogni ri-
lo stesso articolo, al Avv. Giovanni Stefanì Ing. Roberto Masciopinto ferimento a prescri-
secondo paragrafo, Presidente Ordine Avvocati di Bari Presidente Ordine Ingegneri Bari zioni che potevano
fornisce alcune de- indurre il titolare
roghe che consento- del trattamento ad
no il trattamento. Quindi, la platea di soggetti che devono un mero comportamento adempitivo. Oggi il titolare del
porre attenzione alla protezione dei dati personali è molto trattamento deve avere un comportamento continuamente
estesa e. di fatto, riguarda tutti gli operatori economici ma proattivo per limitare i rischi per i diritti e le libertà degli inte-
anche la maggior parte degli operatori sociali (ONLUS, asso- ressati. Quest’ultimo falso mito, che circola ancora in molti
ciazioni religiose, ecc.). uffici, fornisce l’occasione per approfondire un aspetto del
Un altra frase che, spesso viene ripetuta dagli operatori è principio di responsabilizzazione (accountability) che costi-
“Non sono interessato dalla normativa sulla privacy perché tuisce la vera novità del GDPR. Il principio è apertamente
UNAGRACO.INFO 5
espresso al paragrafo 2 dell’art. 5. “Il titolare del trattamento fisica identificata o identificabile («interessato»); si conside-
è competente per il rispetto del paragrafo 1 e in grado di ra identificabile la persona fisica che può essere identificata,
comprovarlo («responsabilizzazione»)”. Molti si sono soffer- direttamente o indirettamente, con particolare riferimento a
mati sulla parte che obbliga il titolare (o il responsabile) del un identificativo come il nome, un numero di identificazione,
trattamento ad applicare il GDPR ed a saperlo comprova- dati relativi all’ubicazione, un identificativo online o a uno o
re. Certamente, il titolare deve garantire un ciclo continuo più elementi caratteristici della sua identità fisica, fisiolo-
di impegno nell’applicazione del GDPR e deve documentare gica, genetica, psichica, economica, culturale o sociale . Ai
il suo percorso. Ma pochi si sono soffermati sull’aggettivo punti 13 – 14 e 15 del citato Art. 4 si forniscono le definizio-
competente (responsible nella versione inglese) che, invece, ni dei dati genetici, di quelli biometrici e di quelli relativi alla
è centrale nell’interpretazione del singolo articolo oltre che salute. 13) «dati genetici»: i dati personali relativi alle ca-
dell’intero GDPR. L’aggettivo competente, in italiano, ha una ratteristiche genetiche ereditarie o acquisite di una persona
doppia semantica: vuol dire “capace, esperto, professiona- fisica che forniscono informazioni univoche sulla fisiologia
le, adeguato” ma anche “che ne ha il o sulla salute di detta persona fisica, e
compito esclusivo, che rientra nella che risultano in particolare dall’analisi
sua peculiare sfera d’azione”. Quindi, il di un campione biologico della persona
titolare del trattamento dei dati perso- fisica in questione; (C34); 14) «dati bio-
nali è il dominus nell’applicazione del metrici»: i dati personali ottenuti da un
GDPR secondo una professionalità da trattamento tecnico specifico relativi
acquisire direttamente (molto di rado) alle caratteristiche fisiche, fisiologiche
o indirettamente (affidandosi a spe- o comportamentali di una persona fisi-
cialisti della materia). E basta leggere ca che ne consentono o confermano l’i-
proprio il paragrafo 1 dell’art. 5 per dentificazione univoca, quali l’immagine
rendersi conto che la professionalità facciale o i dati dattiloscopici; (C51)
richiesta è di un livello quasi scono- 15) «dati relativi alla salute»: i dati per-
sciuto, almeno in Italia. L’analisi dei sonali attinenti alla salute fisica o men-
processi di trattamento, infatti, deve tale di una persona fisica, compresa la
allargarsi ad ambiti giuridici, informa- prestazione di servizi di assistenza sa-
tici ed organizzativi. In fondo, è pro- nitaria, che rivelano informazioni relati-
prio questo approccio a 360° che fa ve al suo stato di salute; (C35); Inoltre
del GDPR l’occasione per riesaminare l’art. 4 al punto n° 12 fornisce il signi-
i processi che ogni operatore svilup- Dott. Giovanni Lucatuorto ficato di «violazione dei dati personali»:
pa nell’ambito della propria attività; DPO Azienda Ospedaliero Universitaria la violazione di sicurezza che compor-
Policlinico di Bari
un’attenta attività di analisi, finalizzata ta accidentalmente o in modo illecito
a condurre il percorso di conformità la distruzione, la perdita, la modifica, la
sulla privacy, può indurre a rivedere i processi operativi e, in divulgazione non autorizzata o l’accesso ai dati personali
molti casi, a renderli più efficienti. Tutto questo ci dice che la trasmessi, conservati o comunque trattati; (C85). Tutto ciò
protezione dei dati personali deve estendersi su tanti aspetti premesso aiuta a porre in primo piano l’obiettivo principale
della vita di un’organizzazione e che la sua taglia sembra del GDPR: la protezione della persona fisica a cui si riferi-
essere una XXXL». scono i dati personali e la libera circolazione di tali dati. È
noto che le strutture sanitarie devono garantire il godimento
Giovanni Lucatorto, DPO Azienda Ospedaliero Universitaria almeno di due diritti fondamentali costituzionalmente rico-
Policlinico di Bari che ha iniziato la sua analisi partendo dal nosciuti: l’Art. 32 e l’art. 2. L’Art. 32 recita: La Repubblica
considerando n° 85, nel quale si citano le potenziali conse- tutela la salute come fondamentale diritto dell’individuo e
guenze di un data breach: «Una violazione dei dati personali interesse della collettività, e garantisce cure gratuite agli
può, se non affrontata in modo adeguato e tempestivo, pro- indigenti. Nessuno può essere obbligato a un determina-
vocare danni fisici, materiali o immateriali alle persone fisi- to trattamento sanitario se non per disposizione di legge.
che, ad esempio perdita del controllo dei dati personali che li La legge non può in nessun caso violare i limiti imposti dal
riguardano o limitazione dei loro diritti, discriminazione, fur- rispetto della persona umana. L’Art. 2 recita: La Repubbli-
to o usurpazione d’identità, perdite finanziarie, decifratura ca riconosce e garantisce i diritti inviolabili dell’uomo, sia
non autorizzata della pseudonimizzazione, pregiudizio alla come singolo sia nelle formazioni sociali ove si svolge la
reputazione, perdita di riservatezza dei dati personali pro- sua personalità, e richiede l’adempimento dei doveri inde-
tetti da segreto professionale o qualsiasi altro danno econo- rogabili di solidarietà politica, economica e sociale. (Il diritto
mico o sociale significativo alla persona fisica interessata. alla riservatezza, quale diritto della personalità dell’indivi-
È necessaria, quindi, una premessa prima di affrontare un duo vede il suo fondamento giuridico proprio nell’Art. 2 della
tema particolarmente complesso proprio in ambito sanita- Costituzione). Pertanto nelle attività svolte quotidianamente
rio, nel quale si trattano informazioni più intime dell’indivi- le strutture sanitarie devono operare contemperando i citati
duo. L’Art. 4 del GDPR fornisce le definizioni di alcuni termi- due diritti senza evidentemente sbilanciarsi o da un lato o
ni. In particolare al punto 1 si fornisce il significato di dato dall’altro. Il cittadino, nel nostro caso l’assistito, affida alla
personale: “qualsiasi informazione riguardante una persona struttura sanitaria la sua persona e le sue informazioni più
6 UNAGRACO.INFO
intime affinché i professionisti sanitari possano ripristinare tanto la prima fase dell’istruttoria parte con la segnalazio-
un bene inestimabile: la salute. Proprio in questo particolare ne, al titolare e al RPD, di colui il quale ha avuto il sospetto
momento della vita dell’individuo, il livello di attenzione sui o la certezza di aver riscontrato una violazione. Dopo una
suoi dati deve essere particolarmente elevato, in quanto la tempestiva prima analisi, al fine di individuare la presenza
distruzione, la perdita, la modifica, la divulgazione non au- o meno di una violazione, si procede con l’apertura di una
torizzata o l’accesso illecito ai dati personali dell’individuo segnalazione all’Autorità Garante per la Protezione dei
può compromettere irrimediabilmente la reputazione, può Dati Personali. Dopo lo svolgimento di tutta l’istruttoria,
discriminarlo, può esporlo a furti o usurpazione di identità in caso di una violazione dei dati, a seconda dell’entità del
o anche a perdite finanziarie o peggio a danni materiali e fi- danno, si procede con la comunicazione agli interessati
sici. A titolo meramente esemplificativo si riporta un evento e all’Autorità di controllo indicando i dati compromessi e
accaduto ad un giovane campano al quale non gli è stato le misure poste in essere per mitigare le conseguenze ed
concesso un mutuo in quanto l’ente creditizio è venuto a co- evitare il ripetersi nel futuro. Tutta l’attività istruttoria è
noscenza di un potenziale problema agevolata dalla presenza di un registro del-
di salute del suo cliente. Il comporta- le attività di trattamento, dal quale è evi-
mento della banca evidentemente ha denziabile la tipologia dei dati trattati, le
discriminato il giovane. Ma altrettan- modalità e le misure di sicurezza adottate.
to grave potrebbe essere la modifica, Pertanto concludendo, si invita a riflettere
accidentale o illecita di un parametro che un “maltrattamento” di un dato per-
vitale di un valore di un dispositivo sonale può causare danni irreparabili alla
sanitario o di un esame di laborato- persona fisica a cui si riferiscono i dati».
rio. Quanto brevemente esposto, ri-
percorre uno dei principi cardini del Tra i relatori anche Gaetano Mastropierro
GDPR secondo il quale si deve garan- del Comando Unità Speciali Gdf Roma che
tire la Confidenzialità, l’Integrità e la ha approfondito con un importante con-
Disponibilità dei dati. A tal proposito tributo l’aspetto della protezione dei dati
il GDPR all’art. 33 prescrive dei preci- personali: «un tema che sta diventando
si adempimenti in caso di violazione sempre più centrale nella società contem-
dei dati personali ed in caso appunto poranea e, per effetto dei continue innova-
di perdita della Confidenzialità, Inte- zioni tecnologiche, la sfera privata di ogni
grità e Disponibilità del dato. La pre- individuo diventa sempre più esposta a
disposizione di una procedura per la minacce di vario genere. Quotidianamen-
gestione delle violazione è stata una Gen. Gaetano Mastropierro te rendiamo pubblici i nostri dati personali
delle priorità indicate dall’Autorità Ga- Comando Unità Speciali Gdf Roma attraverso l’utilizzo dei diversi dispositivi
rante per la Protezione dei Dati Perso- informatici nonché tramite gli oggetti di
nali. A scopo informativo, con tale procedura si forniscono uso quotidiano sempre più connessi alla Rete. Tutto que-
le istruzioni operative da adottare in caso di una violazione sto favorisce la divulgazione delle nostre abitudini, delle
sospetta o certa di un dato personale. La procedura deve es- nostre preferenze e dei nostri stili di vita. L’acquisizione e
sere indirizzata a tutti coloro che trattano dati personali per l’illecito trattamento di tali dati può essere utilizzata in so-
conto del titolare ai quali è necessario fornire delle indica- stanza per definire la nostra reale personalità ed influen-
zioni su degli ipotetici incidenti. E’ fondamentale precisare zare le nostre scelte in tutti gli ambiti. Emerge con chia-
che una violazione di un dato personale può riguardare un rezza, quindi, quanto sia importante tutelare le persone
dato conservato su un supporto cartaceo o informatico. Ef- rispetto al trattamento dei propri dati definiti il “petrolio”
fettuata questa prima analisi si apre l’istruttoria necessaria del nuovo millennio. Proprio in quest’ottica l’Unione Euro-
per comprendere l’entità dell’incidente e a seconda del tipo pea in data 4 maggio 2016, dopo anni di discussioni, pro-
dei supporti interessati si costituisce un team composto da poste ed emendamenti, ha adottato il Regolamento Euro-
soggetti con competenze diverse. In pratica se l’incidente peo 679 (GDPR), entrato in vigore il 25 maggio 2018. Uno
si è verificato su un dato trattato informaticamente si dovrà dei temi di maggiore interesse e che ha creato un grande
interpellare il responsabile dell’ufficio informatico e l’ammi- dibattito tra gli addetti ai lavori (e grande “apprensione”
nistratore di sistema al fine di valutare le misure tecniche tra coloro che devono applicare la disciplina) è quello del-
ed organizzative adottate e la tipologia dell’atto perpetrato. le sanzioni irrogabili in materia di privacy. L’attenzione
Mentre se il dato compromesso è su un supporto cartaceo si esasperata sulle norme che indicano la “reazione” dell’or-
dovranno valutare le misure fisiche ed organizzative adotta- dinamento, in ordine a determinati comportamenti non in
te e di conseguenza valutare l’inosservanza di quale misura linea con le prescrizioni dettate dal legislatore, potrebbe
ha causato l’evento avverso. Infine, a titolo esemplificativo, però essere riduttiva se finalizzata solo a conoscere le
se è stato perso un dispositivo elettronico o un supporto di singole fattispecie in vista di un’applicazione meccanica
memorizzazione il team di valutazione dell’incidente dovrà e non ragionata di determinate sanzioni. In questi casi si
individuare il livello di rischio e di compromissione dei dati correrebbe il rischio di non comprendere in profondità un
e, per esempio, l’adozione di tecniche crittografiche atte a “mondo” molto più articolato di quello che appare. In tale
ridurre il rischio di perdita della confidenzialità dei dati. Per- mondo interagiscono, infatti, differenti soggetti che, in
UNAGRACO.INFO 7
quanto portatori di interessi contrapposti, attivano dinami- oppongono al “cambiamento” verso nuovi modelli di gestio- che a volte molto complesse. Viene perciò richiesta, in tali ne. Ovviamente il dato di partenza è quello giuridico perché circostanze, l’attenta e ponderata valutazione di ciascuna permette di definire gli esatti ambiti di operatività materiale situazione alla luce dell’evoluzione tecnologica e delle tec- e territoriale delle norme nonché i principi di riferimento a niche/strumenti utilizzati per trattare i dati personali. I prin- tutela dei diritti degli interessati. Altrettanto importanti ed cipi ispiratori di tutta la disciplina sulla protezione dei dati assolutamente innovativi in tale contesto si presentano altri personali e la filosofia che ispira tutta la materia richiedono aspetti come ad esempio: i richiami alla protezione dei dati a tutti gli attori di questo settore (controllori e controllati) personali mediante l’adozione di policies improntate ai cri- una particolare sensibilità nel saper individuare e cogliere teri del risk management (gestione del rischi);l’introduzione gli aspetti sostanziali di una normativa che, diversamente del principio della responsabilizzazione (cd accountability); dal passato, non prevede più il pedissequo rispetto di rego- l’attenzione all’adozione di adeguate misure di sicurezza; le formali o l’adesione a requisiti minimi ma l’adeguamento l’innovativa previsione della designazione, in talune circo- a modelli organizzativi ed operativi finalizzati ad una reale stanze, del Responsabile della Protezione dei Dati Perso- e concreta protezione dei dati personali. Il GDPR richiede, nali (Data Protection Officer). L’approccio verso l’area delle infatti, un atteggiamento proattivo da parte dei destinatari sanzioni come si può arguire deve caratterizzarsi da un ben degli adempimenti che devono essere in grado di modellare più ampia “sensibilità” verso la realtà delle singole organiz- la disciplina in oggetto alle singole e diverse caratteristiche zazioni. Ovviamente ad ogni operatore, oltre all’indispen- di ciascun contesto di riferimento. La nuova disciplina di cui sabile conoscenza delle singole fattispecie, viene richiesta al Regolamento UE 679/16 evita di imporre a priori regole l’adeguata conoscenza : degli organi di controllo (nazionali eccessivamente astratte e lontane da chi in concreto si trova ed europei) delle attività ispettive svolte dai suddetti organi ad effettuare attività che coinvol- di controllo, con riguardo specifico ai vari poteri, gono dati personali, per introdurre, agli strumenti operativi ed agli approcci ispettivi; attraverso valutazioni, effettuate dei procedimenti seguiti per la contestazione di caso per caso, una disciplina che violazioni e dei possibili rimedi amministrativi e possa adattarsi alle esigenze di giurisdizionali; dei rimedi risarcitori attivabili da- ciascuna realtà imprenditoriale gli interessati. Non a caso la privacy può definirsi per assicurare una tutela reale ed come “paradigma della complessità”». efficace dei dati personali. Pro- prio questi aspetti costituiscono Degno di grande interesse tecnico anche l’inter- i cardini sui cui definire sia i nuo- vento dell’avvocato barese, Antonio Matarrese, vi modelli di gestione sia i nuovi esperto in privacy e DPO che si è soffermato sugli approcci ispettivi. Il cambiamen- aspetti più importanti della materia: «Ogni real- to di prospettiva in questo senso tà economica ha delle sue peculiarità specifiche, richiede agli operatori del settore non ci sono quindi degli approcci ben precisi per competenze nuove e di tipo tra- analoghe attività; anche perché ciascuna realtà è sversale in grado di affrontare le guidata da “persone diverse” che inevitabilmente problematiche:non solo dell’area Avv. Antonio Matarrese compiono sui dati dei trattamenti completamen- giuridica, oggetto di continua evo- Partner di Lawapp.it - esperto in te diversi. In linea generale, tuttavia possiamo luzione e destinataria di contributi Privacy e DPO individuare delle macro attività che occorre ne- di differenti discipline relative ad cessariamente svolgere per “conoscere” la realtà ambiti strettamente collegati con la legislazione della prote- alla quale ci approcciamo. L’attività preliminare, nonché la zione dei dati personali; ma anche dell’area gestionale, con più complessa è l’attività conoscitiva. Molto spesso, infatti, riferimento agli assetti organizzativi, ai ruoli, alle funzioni, entriamo in aziende o PA che non ci conoscono personal- ai flussi informativi e alla gestione dei processi di lavoro; e mente; altre volte magari conosciamo l’imprenditore, ma dell’area informatica, avuto riguardo alle strategie di sicu- non i dipendenti dei singoli uffici. Quindi bisogna abbattere rezza aziendale, alle misure standard di protezione ed alle innanzitutto le barriere “psicologiche” di alcuni soggetti che policies di business continuity e disaster recovery. In questi non sono abituati a ricevere visite di consulenti “curiosi”, casi appare evidente quanto sia complesso sia il quadro di ovvero soggetti che devono necessariamente compiere un riferimento. Ma tutto ciò potrebbe non bastare. Nelle realtà numero elevato di domande per conoscere la realtà azien- organizzative più complesse potrebbero essere indispensa- dale. L’ideale è iniziare a porre domande specifiche inizian- bili anche ulteriori competenze riconducibili all’area delle do dal reparto amministrativo o da chi si occupa di privacy capacità cc.dd. “personali”. Quelle capacità che consentono, (reparto informatico o legale, ove siano presenti). Rivolgersi cioè, di dirigere e coordinare team multi-professionali. Saper poi ai vari uffici più “delicati”, ovvero qui settori che – per lavorare in gruppo, disporre di appropriate doti di leadership, loro natura e per il contesto in cui operano – effettuano nu- essere in grado di attivare adeguate forme di comunicazione merosi trattamenti su una discreta quantità di dati, come ad e ascolto, padroneggiare tecniche di problem solving e deci- es. risorse umane, reparto marketing e comunicazione, IT, sion making, sono infatti tutti tratti caratterizzanti di nuove legale. Il consulente deve riuscire ad ottenere quanto meno figure professionali che devono sapersi muovere con dutti- una mappatura completa (pur se generica) del modus ope- lità in ambienti difficili ove elevate sono le resistenze che si randi dell’azienda e, se possibile, la documentazione al mo- 8 UNAGRACO.INFO
mento utilizzata. Individuare quindi le aree più critiche, cioè entro un livello di accettabilità (es. pseudonimizzazione,
quelle che necessità di interventi immediati perché partico- cifratura, ecc.; ma anche semplice chiusura degli armadi a
larmente esposti (o perché si stanno svolgendo trattamen- chiavi). Infine è necessario avviare politiche di sensibiliz-
ti particolarmente illeciti); individuare gli eventuali gap da zazione, prima, e di controllo, poi, ai principi di privacy by
colmare, e iniziare a comprendere l’eventuale necessità di design e privacy by default (art. 25 GDPR); Sulla base dei
nomina del DPO. Potrebbe essere uno strumento utile dotar- risultati dell’analisi dettagliata dei flussi dei dati personali
si di una check list introduttiva, da far compilare facendosi – sia all’interno che all’esterno dell’organizzazione azienda-
supportare dai referenti aziendali competenti per settore; le – si potrà cominciare a: definire i contenuti dell’accordo
necessari sono in questa fase l’apparato amministrativo per con gli eventuali contitolari; individuare, dopo aver verificato
l’individuazione dei responsabili del trattamento, ovvero qui il possesso dei requisiti previsti dall’art. 28 del GDPR, i re-
soggetti che concorrono all’attività di trattamento dei dati sponsabili del trattamento e definire i contenuti vincolanti
(figure diverse però tra aziende private e PA); necessario è del contratto o altro atto giuridico; individuare gli eventuali
anche il responsabile IT per la precisa descrizione del patri- referenti interni per la gestione delle politiche aziendali in
monio informatico e relative funzionalità: anche in questo materia di protezione dei dati personali; definire un piano
caso pare una ovvietà, ma in moltissime realtà non è pre- formativo. Solo a seguito dello svolgimento di queste at-
sente un vero e proprio censimento della struttura informa- tività, si potrà procedere a redigere il “primo” registro dei
tiva (numero di pc fissi o portatili, presenza di altri device, trattamenti. All’inizio ci si potrà concentrare solo su ciò che
i programmi scaricati sui singoli dispositivi, antivirus, ecc. obbligatoriamente l’art. 30 del GDPR prevede; poi potrà via
ecc.). Dopo questa prima fase preliminare e conoscitiva si via ricomprendere tanti altri elementi utili per illustrare tutti i
passa all’ “incubo” di ogni realtà, ovvero l’Analisi dei tratta- trattamenti sviluppati dalla struttura di riferimento, in modo
menti: questa attività si caratterizza proprio dalla necessità da procedere oltre, con un approccio reale di accountability.
di censire con attenzione tutti i trattamenti di dati persona- Se dette attività sono state svolte correttamente, si passerà
li effettuati, tramite le cc.dd. “interviste” con i responsabili alla predisposizione dei documenti e quindi ad aggiornare la
dei vari processi aziendali; individuare documentazione esistente per render-
gli eventuali trasferimenti di dati perso- la conforme al GDPR (es. informative,
nali verso paesi extra UE e verificare il moduli di consenso, eventuali accor-
rispetto delle disposizioni di cui agli artt. di con contitolari, eventuali contratti
da 44 a 49 del GDPR; raccogliere tutte o altri atti giuridici con i responsabili
le informazioni e la documentazione ne- esterni, policy aziendali); predisporre
cessaria per la compilazione del registro la documentazione mancante; defini-
dei trattamenti (es. applicazioni, ser- re e integrare le procedure di incident
vizi esternalizzati, sistemi di controllo management per la gestione dei data
dei dati, durata della conservazione dei breach, implementare le procedure fi-
dati. ecc.). L’errore che può derivare da nalizzate ad agevolare l’esercizio dei
una scarsa conoscenza della materia è diritti da parte degli interessati; defini-
quella di volere immediatamente il “re- re le politiche di data retention. Solo
gistro dei trattamenti”. Ciò tuttavia non dopo aver svolto tutte le precedenti
è possibile, perché tale documento co- attività è necessario soffermarsi nuo-
stituisce proprio l’elaborato finale, ove vamente sulla figura del DPO: avremo
vanno raccolti e registrati i trattamenti infatti un quadro più completo della
censiti, con le relative ulteriori informa- realtà ove stiamo operando per poter
zioni che spesso l’azienda non conosce valutare se ci troviamo di fronte ad una
o quantomeno non ha sotto il proprio Dott.ssa Marcella Caradonna ipotesi di obbligo di nomina. Alterna-
Presidente ODCEC Milano
diretto controllo (ad es. le categorie dei tivamente – pur in caso di assenza di
soggetti interessati, i soggetti a cui i dati obbligo – ci sia auspica che i nostri
vengono comunicati o diffusi, la durata referenti aziendali abbiano acquisito
di ogni singolo trattamento, ecc.). una sensibilità maggiore per poter valutare se sia utile co-
Dopo aver effettuato la mappatura, è necessario individuare munque dotarsi di un DPO (anche al fine di manutenere il
i possibili ambiti di rischio che dovranno essere oggetto di lavoro che è stato compiuto).
valutazione. A tal riguardo, ancor prima di esaminare i rischi, In questo contesto, saremo in grado di redigere un ulteriore
occorre definire la “metodologia di analisi” dei rischi più e più completo registro delle attività di trattamento, aggiun-
adatta alla realtà organizzativa aziendale, con particolare gendo tutte le informazioni che prima non avevamo consi-
riferimento ai sistemi informatici. Successivamente occor- derando anche che la norma indica un “contenuto minimo”
re: analizzare (per ogni trattamento o per trattamenti simili) del suo contenuto, ma nulla impedisce di implementare il
sia i rischi connessi ai trattamenti effettuati senza l’utilizzo registro di tutte le informazioni necessarie. Da ultimo sa-
di strumenti elettronici, che quelli relativi alla configurazio- rebbe opportuno definire un sistema di controlli periodici
ne dei sistemi informativi e ai software utilizzati; censire le (audit) che consentano il costante monitoraggio del livello
attuali misure di sicurezza organizzative, fisiche e logiche; di compliance con il GDPR. Ciò può essere necessario per
definire le misure di sicurezza necessarie a ridurre il rischio tenere costantemente aggiornato il registro dei trattamenti
UNAGRACO.INFO 9
e per poter affrontare con immediatezze delle pericolosità difficile della consulenza è proprio la parte iniziale, quella che potrebbero essere venute fuori nel tempo o delle situa- conoscitiva, dove ogni realtà deve inevitabilmente non solo zioni – pur già conosciute – ma che i responsabili aziendali mettersi a disposizione ma effettuare un self assessment. hanno tralasciato o trattato con superficialità. Appare a chi È a tal riguardo necessario comprendere che prima ancora parla molto importante redigere un report finale dell’attività che il consulente possa elaborare un assessment, la realtà di consulenza, che possa descrivere – anche in via somma- aziendale e la PA devono effettuare un self assessment: solo ria quello che è stato fatto, ovvero il percorso che la realtà infatti chi opera concretamente può realizzare cosa fa con i ha compiuto dall’inizio alla fine dell’attività di consulenza. dati (descrivendo i trattamenti) e descrivere le varie dinami- Non sempre questo documento è facile da redigere, perché che dell’attività effettuata. Si perché la prima domanda che ci sono delle realtà assolutamente dinamiche che, nel corso porgo ai miei interlocutori quando effettuo l’intervista è: “Lei del tempo necessario per la messa a norma (spesso pas- cosa fa nel corso della sua giornata lavorativa? Qual è la sua sano mesi), mutano il loro aspetto e aumentano la gamma attività?” Ed è proprio in questo frangente che l’interlocutore dei trattamenti in maniera impressionante; diventa quindi medio incontra maggiori difficoltà, perché gli si chiede uno difficile effettuare una fotografia del “come eravamo e come sforzo in più che non vuole compiere: quindi si all’attività siamo”. Quanto all’impatto delle aziende con il GDPR, molte del consulente, ma no ad un coinvolgimento personale (non di primo acchito lo hanno visto con l’ennesimo adempimen- solo per un discorso di invadenza del consulente, ma anche to in un certo senso “imposto” dall’apparato burocratico e per l’adempimento stesso che evidentemente è ulteriori ri- che, come conseguenza immediata, comporta un dispendio spetto all’attività aziendale); da ultimo ci sono gli “indiffe- di danaro. renti”, ovvero le realtà dove il GDPR non è arrivato, non lo si Tuttavia ci sono sempre delle realtà virtuose. Di certo, alla conosce, ovvero pur avendone sentito parlare si ritiene che prima visita, il mio interlocutore – alla domanda che tipo di non sia applicabile alla propria realtà. Naturalmente dopo un trattamento di dati effettuate – ha sempre risposto: “pochis- primo approccio, in cui si comprende che la norma è appli- simi trattamenti, di dati ne trattiamo pochi”. Naturalmente si cabile trasversalmente, l’atteggiamento non cambia. Inutile può solo immaginare il mio imbarazzo nel dover invece spie- evidenziare che in queste realtà è difficilissimo lavorare, il gare che le cose non stanno (spesso) come ci si immagina, consulente fa una fatica enorme a svolgere il proprio com- ma che la realtà è ben più complessa. La difficoltà iniziale è pito anche perché, ad un management aziendale per nulla pertanto far comprendere cosa sono i trattamenti, dove essi sensibile, corrisponde una realtà aziendale impenetrabile, avvengono, quali sono le criticità o i possibili rischi; tanto poco affidabile dove qualsiasi sforzo compiuto sarà inevita- più se si considera che spesso non conosciamo il nostro bilmente reso vano dopo poco tempo. Appare evidente che il interlocutore né le dinamiche della sua attività aziendale o ruolo del consulente - soprattutto in questa ultima categoria quant’altro. Quindi si può affermare con certezza che il “per- - è molto molto importante: se infatti si vuole svolgere una cepito” è distante dal “reale”. Molto spesso, inoltre, non solo consulenza di qualità, occorrono consulenti responsabili in ambito di primo incontro, ma anche successivamente (nel che sappiamo ben informare i propri clienti delle necessarie corso stesso della consulenza) sono emersi dei trattamenti attività da compiere. Sottolineo questo aspetto perché mi assolutamente non considerati al principio e che purtroppo è capitato di imbattermi in realtà che hanno scelto consu- non sono stati valutati per la elaborazione del preventivo. lenti i quali hanno parlato di adempimenti facili, di modelli Secondo la mia personale esperienza, quindi, possiamo indi- agevolmente adattabili ad ogni realtà, di soluzioni software viduare tre tipologie di reazioni: ci sono le realtà che si sono che “fanno tutto”. In sostanza, parrebbe possibile affrontare dimostrate assolutamente “pronte” al cambiamento, ovvero il GDPR con soluzioni pronte, pacchettizzate, anche senza quelle che già sapevano che la privacy era un elemento fon- l’ausilio di un consulente, ma magari con supporto del ge- damentale e imprescindibile del business, ed hanno colto la store del servizio informatico (che magari ha fatto un corso palla al balzo per poter non solo mettersi a norma, ma anche di 4 ore sull’argomento). per realizzare un set up delle funzioni aziendali ed un up- Chi conosce il GDPR sa che ciò non è possibile; affronta- grade delle misure di sicurezza. Generalmente queste realtà re la novità normativa non è affatto semplice, ci vogliono hanno un management più giovane, già predisposto al tema competenze elevate con diversi settori di specializzazioni privacy, che utilizza i social ed il web in maniera quotidiana (legale ed informatico più degli altri, a mio avviso). Non ci ed ha quindi una sensibilizzazione maggiore rispetto ad al- si può affatto improvvisare, non solo perché le norme sono tri. Naturalmente questi sono gli interlocutori migliori perché molto complesse e rigorose, ma anche perché le sanzioni coinvolgono il consulente in tutte le attività e sono maggior- sono elevate. E’ evidente a tal riguardo che si auspica che ci mente predisposti ad accettare suggerimenti o soluzioni. siano controlli in tutte le realtà, ove il GDPR è stato affronta- Inoltre, inutile sottolineare che ove il management aziendale to con superficialità affinché si possa definitivamente porre è più sensibile, anche i singoli operatori sono maggiormen- fine ad un approccio di questo genere che, non solo è poco te motivati e meno resistenti al necessario cambiamento; professionale, ma non consenti al sistema di operare come ci sono poi le realtà con una reazione di tipo “medio”: sono dovrebbe, cioè come una macchina perfetta capace di non quelle dove, a seguito di un impatto iniziale timido, viene incepparsi in alcuno dei propri ingranaggi». compresa l’importanza di un adeguamento e la necessità di approfondire l’argomento. Sono quindi contenti di aver Il contributo di Ilaria Rizzo, DPO Comune di Bari, si è foca- conosciuto il consulente, apprezzano la loro figura, tuttavia lizzato, invece, sulla sua fondamentale esperienza sul Data sono poco collaborativi. Come sopra accennato, la parte più Protection Officer negli enti locali: « Quando l’Amministra- 10 UNAGRACO.INFO
zione mi ha nominato Responsabile della Protezione dei comma 1 dell’art. 28 del GDPR, diventano molto critiche
Dati Personali del Comune di Bari ho da subito avvertito la già in fase di avvio delle procedure di gara; infatti, quando
delicatezza e l’importanza del ruolo soprattutto perché nel si tratta di mettere a gara un servizio nell’ambito del qua-
trattamento dei dati personali bisogna ridurre al minimo gli le saranno trattati dati personali (per esempio, il servizio di
errori. Perché sono in ballo i diritti e le libertà fondamenta- gestione delle entrate comunali), il contraente dovrà essere
li dei cittadini. Sotto tale profilo le Linee guida n. 243 del designato come responsabile del trattamento e, quindi, do-
WP29 adottate definitivamente il 5 aprile 2017 ribadiscono vranno essere valutate, già in sede di candidature, le “ga-
un concetto fondamentale: gli interessati, ovvero le perso- ranzie sufficienti per mettere in atto misure tecniche e orga-
ne fisiche di cui si trattano i dati personali, sono bisognose nizzative adeguate in modo tale che il trattamento soddisfi
di protezione soprattutto quando hanno i requisiti del GDPR”. Significa che,
un margine esiguo di decisione rispetto per evitare la culpa in eligendo, bi-
al trattamento dei loro dati. Ed è proprio sognerà definire il disciplinare di
quello che accade nel caso degli organismi gara richiedendo al candidato una
pubblici: esistono norme che impongono ai specifica sezione della proposta
soggetti pubblici di trattare dati personali tecnica volta a spiegare come pro-
dei cittadini. Questi ultimi non possono teggerà i dati che l’ente pubblico
sottrarsi e, quindi, necessitano di una tu- intende fargli trattare; le norme
tela maggiore che viene garantita, appun- sulla digitalizzazione, di cui al Co-
to, dal DPO. Il naturale corollario di questa dice dell’Amministrazione Digitale
circostanza è che il DPO, nelle pp.aa. deve (CAD); il DPO dovrà agire in stretto
conoscere le norme che regolano l’ambi- contatto con il Responsabile per la
to pubblico. È un lavoro, quindi, molto più Transizione Digitale, figura previ-
impegnativo del DPO in ambito privato per sta dall’art. 17 del CAD, che, tra le
almeno un paio di motivi: il quadro nor- altre attività, ha compiti di “indiriz-
mativo cambia continuamente e, poiché il zo, pianificazione, coordinamen-
GDPR impone la privacy by design, ogni va- to e monitoraggio della sicurezza
riazione impone una revisione dei processi informatica relativamente ai dati,
di trattamento, almeno per verificare che i Avv. Ilaria Rizzo ai sistemi e alle infrastrutture”; le
cambiamenti negli aspetti operativi siano DPO Comune di Bari - Direttore della norme sulla tutela dei beni cultura-
conformi ai principi previsti dalla prote- Ripartizione Segreteria Generale li, di cui al Dlgs. 42/2004 (Codice
zione dei dati personali; l’ambito privato è dei beni culturali e del paesaggio);
meno vincolato dal quadro normativo; il soggetto privato si non bisogna dimenticare che i dati personali sono ancora
autodetermina e si auto-vincola per rispondere a logiche di molto presenti sui documenti cartacei e che questa speci-
mercato cioè decide autonomamente quali sono i processi fica normativa prevede, all’art. 10, comma 2, che sono beni
di business e come condurli; quindi, non deve inseguire nes- culturali “gli archivi e i singoli documenti dello Stato, delle
suno e, già in fase di progettazione, può modellare i processi regioni, degli altri enti pubblici territoriali, nonche’ di ogni
di business affinché il trattamento dei dati personali rispetti altro ente ed istituto pubblico”; questo principio deve essere
i principi del GDPR e sia condotto, a regime, con maggiore coniugato efficacemente con il principio di limitazione della
semplicità. conservazione previsto dal GDPR. A questo quadro norma-
Per un DPO in ambito pubblico, le norme da rendere compa- tivo, di carattere generale, si aggiungono le specificità degli
tibili con il GDPR e con il Codice Privacy (recentemente ag- enti pubblici locali (Dlgs. 267/2000) che complicano il lavo-
giornato dal Dlgs. 101/2018) sono tante e richiedono, quin- ro rendendolo, tuttavia, ancora più affascinante».
di, un approccio olistico: le norme sulla trasparenza, cioè
il Dlgs. 33/2013, volte a favorire forme diffuse di controllo
sulle pubbliche amministrazioni, sono una fonte continua di
impegno nel bilanciamento tra la casa di vetro e la privacy
delle persone; non a caso, il Garante per la Protezione dei
Dati Personali è spesso impegnato ad esprimere pareri sulle
istanze dei Responsabili della Prevenzione della Corruzio-
ne e della Trasparenza di enti locali a fronte di richieste di
riesame proposte da soggetti che volevano esercitare l’ac-
cesso generalizzato (previsto dal comma 2 dell’art. 5) agli
atti della pubblica amministrazione; e, non a caso, l’ANAC
ha prodotto ed aggiornato apposite le linee guida, concorda-
te con il Garante, sia sugli obblighi di pubblicità sia sull’ac-
cesso generalizzato; le norme anticorruzione che, spesso,
costringono a trattamenti che sono piuttosto invasivi della
privacy delle persone; le norme sulla scelta del contraente,
di cui l Codice dei Contratti Pubblici, che, incrociate con il
UNAGRACO.INFO 11Puoi anche leggere
