Privacy: sempre più necessaria una rete diffusa di competenze

Il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato il 14 aprile 2016, dà tempo alle amministrazioni pubbliche per mettersi in regola sino al 25 maggio 2018. Sembrano tanti due anni, ma si tratta di una trasformazione importante. Per questo l’Autorità Garante per la protezione dei dati personali ha avviato un’attività di supporto ai titolari del trattamento appartenenti al settore pubblico. Delle novità introdotte dal Regolamento e del percorso di accompagnamento avviato ci parla in questa intervista Francesco Modafferi, Dirigente del Dipartimento libertà pubbliche e sanità dell’Autorità Garante, che interverrà a S@lute 2017 (Roma, 20-21 settembre) al convegno “L’informazione come garanzia ed opportunità per il cittadino, le strutture sanitarie, le imprese“, organizzato in collaborazione con il Ministero della Salute.

Cosa cambierà dal maggio del prossimo anno in tema di privacy per le PA? Quali le principali novità introdotte dal Regolamento 2016/679/UE e le criticità che si prospettano?
Il cambiamento è maggiore di quanto venga generalmente percepito ed è quindi fondamentale comprenderne il senso più profondo del regolamento, evitando di focalizzarsi solo sugli aspetti più superficiali o sui singoli adempimenti. Il principale aspetto su cui centrare l’attenzione è l’introduzione del principio di “responsabilizzazione” (accountability); esso comporta non solo il rispetto delle regole formali, dei principi applicabili al trattamento dei dati personali, dei diritti degli interessati e la definizione chiara dei ruoli e delle responsabilità, ma anche la capacità di comprovare tutto ciò.
Il nuovo regolamento lascia maggiori margini di autonomia ai titolari del trattamento pubblici e privati, rispetto al passato, diminuendo gli adempimenti preventivi al trattamento (eliminata la notificazione del trattamento) e le autorizzazioni preventive da parte dell’Autorità (la consultazione del Garante avverrà solo nei casi nei quali la valutazione di impatto privacy, effettuata dal titolare del trattamento, evidenzia che il trattamento può comportare rischi elevati per i diritti e le libertà delle persone fisiche). Questa maggiore autonomia è compensata dal dovere di dimostrare, ogni qual volta si renderà necessario, la compatibilità al regolamento delle decisioni assunte.
Ciò comporterà quindi l’esigenza di disporre di qualificate risorse in grado di orientare le decisioni dei titolari del trattamento. In questo senso l’introduzione anche in Italia del Responsabile della protezione dei dati (RPD) costituisce una grande opportunità. Questa figura chiave, obbligatoria per i trattamenti effettuati dalle autorità pubbliche o da organismi pubblici, sarà chiamata a facilitare l’osservanza delle disposizioni sulla protezione dei dati personali e dovrà svolgere un complesso ruolo di interfaccia fra il titolare o il responsabile del trattamento, gli interessati e il Garante. In uno scenario sempre più caratterizzato, anche in ambito pubblico, da un utilizzo di dati personali senza precedenti, la formazione di una rete diffusa di competenze in materia di privacy potrà rivelarsi essenziale per assicurare il rispetto del diritto alla protezione dei dati personali.

L’Autorità Garante per la protezione dei dati personali ha avviato un percorso per raccontare il nuovo regolamento UE alle Amministrazioni Pubbliche. Ci può spiegare in cosa consiste?
La nuova disciplina richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018. Per sostenere il cambiamento in atto, il Garante, con una lettera inviata dal presidente Soro ai vertici della Pubblica amministrazione italiana (Presidenti di Autorità indipendenti, Ministri, Presidenti di Regioni, Presidenti di enti centrali, ecc.), ha avviato un’attività di supporto ai titolari del trattamento appartenenti al settore pubblico. Con la comunicazione, inviata il 24 maggio 2017 (a 365 giorni dall’applicazione delle nuove regole, prevista per il 25 maggio 2018), le pubbliche amministrazioni sono state invitate a partecipare a una serie di incontri; lo scopo principale dell’Autorità era quello di “ascoltare” la PA e di rendersi disponibili a ricevere, con riferimento all’applicazione del regolamento UE, le richieste, i suggerimenti e le esigenze degli enti.
Nell’introdurre i lavori il Garante ha indicato alla PA tre priorità: identificazione del responsabile della protezione dei dati personali-RPD; implementazione delle procedure interne per l’istituzione dei registri dei trattamenti; definizione delle procedure necessarie alla rilevazione, registrazione e comunicazione, quando necessario, delle violazioni dei dati personali (data breach).

Quali feedback dai primi incontri?
Ai tre incontri tenutisi nel mese di giugno hanno partecipato 136 tra dirigenti e funzionari, in rappresentanza dei 64 soggetti pubblici. E’ stato riscontrato un diffuso apprezzamento per l’iniziativa e una rilevante partecipazione alla discussione, con la formulazione di numerosi quesiti e richieste di approfondimento operativo.
A seguito di ogni evento, a ogni rappresentante è stato chiesto di inviare all’Ufficio del Garante un promemoria con indicazioni specifiche al fine di avere un primo quadro generale dello stato di avanzamento dei lavori di adeguamento della pubblica amministrazione al nuovo Regolamento Ue e individuare puntualmente le richieste di chiarimento.
Al di là dei chiarimenti forniti nel corso degli incontri, i quesiti sottoposti dalla PA al Garante saranno elaborati al fine di adottare, quanto prima, dei documenti di orientamento che possano consentire di superare le prime difficoltà interpretative.

Concluso questo percorso, avete in programma altre iniziative sul tema?
Sulla base delle informazioni e dei quesiti ricevuti nel mese di giugno, il percorso di supporto della PA proseguirà, a partire da ottobre, attraverso ulteriori incontri da tenersi, questa volta, presso le amministrazioni centrali e locali (regioni). Per questo è stata chiesta e acquisita un ampia disponibilità, da parte degli enti intervenuti, a organizzare e promuovere gli incontri presso le proprie strutture.

Tutte le informazioni relative ai prossimi appuntamenti saranno rese disponibili attraverso il sito dell’Autorità nel quale è stata anche creata una pagina dedicata all’iniziativa del Garante per le Pubbliche amministrazioni.