La tutela dei dati personali nella Pubblica amministrazione: obblighi in vigore e prospettive

di Alessandra Foschetti, Comune di Bologna (Semplificazione amministrativa e promozione della cittadinanza attiva), contributor D&L

Il 12 novembre u.s., con provvedimento n. 513 il Garante è intervenuto sui temi riguardanti il trattamento dei dati biometrici, dettando altresì le linee guida in materia di firma grafometrica. Tali disposizioni mirano ad agevolare la chiarezza su questa materia, in considerazione di una possibile adozione di soluzioni tecnologiche basate sul riconoscimento biometrico e sulla firma grafometrica da parte della Pubblica Amministrazione. Chiamato a esprimere il parere sul riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni (il decreto trasparenza, D.Lgs. n. 33/2013)[1] il Garante aveva già indicato (quali “limiti alla trasparenza”) la necessità di armonizzare tali disposizioni con il principio di necessità, di pertinenza e non eccedenza dei dati personali, oltre a quello di indispensabilità del trattamento di dati sensibili e giudiziari.

Con la successiva Delibera del 15 maggio 2014 – -provvedimento n. 243 – “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” – il Garante ribadisce ancora la sopravvivenza di detti principi[2] nel trattamento dei dati pubblicati, riducendo al minimo i dati personali e i dati identificativi pubblicati, stabilendo che le amministrazioni devono comunque attenersi alle disposizioni di cui all’art. 19 comma 3 del Codice sulla privacy (D.Lgs 196/2003, da ora “Codice”) e quindi pubblicare tali dati solo per espressa disposizione di legge o regolamento.

Si continua quindi a indicare alle amministrazioni il principio della “privacy by design”, ossia la progettazione dei propri applicativi conformemente alle regole sulla privacy, così come anche anticipato dal pacchetto di norme contenute nel “Regolamento europeo” in fase di approvazione da parte della Commissione europea, attualmente sottoposto a un non velocissimo esame del Consiglio. Il Regolamento europeo sarà direttamente applicabile in tutti i Paesi membri UE e proporrà sanzioni e regole più severe rispetto alle quali le autorità nazionali di protezione dei dati avranno maggiori poteri. La riforma globale della normativa sulla protezione dei dati andrà a sostituire la direttiva 95/46/CE che evidentemente ha bisogno di essere aggiornata rispetto al nuovo contesto tecnologico: si afferma così che ci sono diritti sovranazionali e la protezione dei dati viene adattata alle innovazioni tecnologiche[3]. Gli aspetti inerenti alla tutela dei dati personali si pongono già con urgenza e richiedono una visione sistemica all’interno della PA, fatta di adempimenti di base rispetto al Codice e di individuazione di professionalità adeguate a presidio della materia. Ad maiora, la necessità di consentire il dialogo tra amministrazioni tramite la cooperazione applicativa (art. 58 del CAD), obbligatoria già dal prossimo anno, non riguarderà soltanto la definizione di standard comuni di connettività e interoperabilità.

Il trattamento di un dato biometrico, come gli adempimenti sulla trasparenza o la cooperazione applicativa in rete, richiama le amministrazioni a essere in linea con le previsioni in vigore sul trattamento dei dati personali e che il venir meno dell’obbligo dell’elaborazione e dell’aggiornamento del Documento programmatico di sicurezza – DPS (in quanto, secondo il Consiglio dei Ministri, il documento, “oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo”[4]) ha fatto passare in secondo piano in molte PA. Caduto l’obbligo dell’elaborazione e tenuta del DPS, infatti, sono comunque sopravvissute le prescrizioni di cui all’art. 34 del Codice, così come pure sono da applicarsi, nel trattamento dei dati, le misure minime di sicurezza descritte nell’ all. B e tutta una serie di adempimenti obbligatori che in passato erano assolti unitamente alla redazione del DPS stesso. Come spesso accade, in assenza di controlli e di obblighi, la materia è stata poco presidiata dalle pubbliche amministrazioni e il nuovo Regolamento europeo, atteso per il 2015, richiederà un impegno organizzativo e strutturale importante in tempi brevissimi.

Gli adempimenti previsti dal Codice sulla privacy
Attualmente il “trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, accessi non consentiti e determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari”[5].
Gli adempimenti connessi alla tutela dei dati personali che restano ad oggi in vigore, cui gli enti pubblici devono adempiere sono:
1. redazione delle informative (Art. 13 DLgs 196/2003) per:

– dipendenti e collaboratori, candidati all’assunzione;

– clienti e potenziali clienti, fornitori e in generale terzi;

– utenti dei siti web;

2. nomina degli Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003):

– redazione del documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa[6];

– redazione lettere d’incarico per ciascun incaricato al trattamento dati personali;

3. nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29 DLgs 196/2003)

– redazione, adozione e diffusione nomina formale per ciascun responsabile al trattamento dati personali;

– analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda;

– analisi dei flussi di dati intra ed extra Unione Europea;

– individuazione del rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dei dati personali;

4. prescrizioni in tema di nomina degli Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008):

– adempimenti procedurali e redazione della documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante della privacy

5. formazione del personale

6. prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010);

7. adozione del Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003; Provvedimento Garante 1° Marzo 2007):

8. gestione Privacy e Policy dei sito web, Newsletter e Servizi interattivi:

– procedure di gestione dati personali degli utenti dei siti web;

– procedure di attivazione e gestione servizio Newsletter;

– procedure di attivazione e accesso aree riservate;

9. redazione di un piano di emergenza per assicurare la continuità operativa e per le procedure di disaster recovery (art. 50bis, co.4 CAD);

10. aspetti di sicurezza e privacy connessi all’accesso dei dati delle PA e alla cooperazione applicativa (artt. 50 e 58 CAD).

11. adozione di un “Regolamento sul trattamento dei dati sensibili e giudiziari” per l’individuazione dei tipi di dati sensibili e giudiziari e di operazioni eseguibili, ai sensi dell’ art. 20, comma 2, e dell’art. 21, comma 2, del Codice Privacy, nell’ambito dei trattamenti di dati personali “effettuati per le finalità di interesse pubblico”.

Il corretto e puntuale adempimento a questi obblighi e l’individuazione di un nucleo di competenza sulla materia renderà più semplice per la PA l’adeguamento al Regolamento europeo, ad esempio per rispettare l’obbligo di (secondo il testo attualmente in bozza):
- realizzare un vero e proprio Privacy Impact Assessment (una versione evoluta del DPS da noi abrogato!);
- comunicare all’autorità di controllo nazionale le violazioni alla sicurezza dei dati, se possibile entro 24 ore, e se la violazione può ripercuotersi negativamente sulla tutela dei dati personali o sulla vita privata degli Interessati;
- comunicare la violazione di dati personali agli interessati, senza ritardo;
- individuare una figura professionale, con competenze specifiche nella materia, cui sarà attribuita la responsabilità del rispetto della normativa.
[1] Parere n. 49 del 7 febbraio 2013 – http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2243168

[2] Principi di finalità, necessità, pertinenza e non eccedenza con gli scopi della loro pubblicazione.

[3]. http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm [4] Comunicato stampa del Consiglio dei Ministri del 27/01/2012 che illustra il Decreto in materia di semplificazione e sviluppo – http://www.governo.it/Governo/ConsiglioMinistri/dettaglio.asp?d=66448

[5] Art. 34 del Codice in materia di protezione dei dati personali.

[6] Non occorre un atto di nomina per ogni incaricato, ma, come indicato dal comma 2 dell’art. 30 “…Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.”

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

La tutela dei dati personali nella Pubblica amministrazione: obblighi in vigore e prospettive

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Il regime giuridico dei dati della sperimentazione critica. Privatizzazione della conoscenza vs scienza aperta

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco