Regolamento Ue: a Milano l’iniziativa del Garante privacy per le Pubbliche amministrazioni

MILANO – “Il nuovo Regolamento UE in materia di protezione dei dati personali. Sviluppi e impatti per i soggetti pubblici”. Era questo il titolo di una giornata di formazione che l'Autorità Garante, nella consapevolezza che l'impatto sulla Pubblica Amministrazione sarà “una partita di difficile gestione” come ha esordito Giovanna Bianchi Clerici, intervenuta all'incontro in rappresentanza del Garante, ha organizzato a Milano lo scorso 4 dicembre.

Obiettivo: promuovere la conoscenza delle nuove norme, supportare nell'attuazione degli adempimenti tutti i soggetti, pubblici e privati, che effettuano trattamenti di dati per l'esecuzione di un compito di interesse pubblico, offrire elementi in grado di dare fiducia e di far cogliere il valore di grande opportunità che il Regolamento stesso, in genere guardato con una certa, crescente apprensione, data la mole di obblighi e attività che reca con sé, in realtà possiede.

Oltre 1400 gli iscritti all'evento, organizzato in collaborazione con la Regione Lombardia e accolto (anche in videoconferenza) presso la sede della Regione. I vari relatori che si sono alternati nell'arco della giornata hanno offerto una visione di ampio respito su aspetti importanti, che rappresentano elementi di novità che investiranno anche il settore destinatario dell'iniziativa: la Pubblica Amministrazione, il cui approccio nel trattamento dei dati dovrà essere diverso e che sarà chiamata a osservare nuovi adempimenti e a completare l'attività di adeguamento preliminare all'applicazione del Regolamento stesso. Come ha osservato Maria Pia Redaelli, Privacy Officer della Regione Lombardia,nel suo discorso introduttivo “dal punto di vista istituzionale l'obiettivo finale è in fondo abbastanza semplice, sia pur non facilmente perseguibile: quello di trovare un equilibrio tra diritto alla trasparenza e diritto alla privacy dei cittadini”.

Molteplici i profili di impatto privacy del nuovo regolamento sulle P.A, soprattutto legati al principio di responsabilizzazione (accountability), alla valutazione d'impatto privacy e alla nomina del Responsabile della protezione dei dati (RPD). Come è noto, il Regolamento diventerà definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni in esso contenute. Il tema dell'adeguamento della normativa statale, nel nostro paese già piuttosto precisa su alcuni punti, è stato oggetto delle prime trattazioni, che si sono brevemente soffermate sui principali elementi di novità, offrendo raccomandazioni e approcci specifici perché le PA possano intraprendere da subito azioni fondate su disposizioni del regolamento.

L'incontro formativo ha quindi puntato l'attenzione sulle conseguenze che alcuni di questi principi avranno sulle amministrazioni. Antonio Caselli, dell'Unità documentazione internazionale e revisione quadro normativo UE, ha chiarito il ruolo e i compiti della nuova figura del Responsabile della protezione dei dati – RPD (artt.37-39), fulcro del processo di attuazione del principio di responsabilizzazione e per la cui nomina è necessario tenere in attenta considerazione i requisiti normativi in merito a: posizione (riferisce direttamente al vertice), indipendenza, autonomia. Tra le priorità per le PA sono state individuate anche l'istituzione del Registro delle attività di trattamento (art. 30 e cons.171) e la notifica delle violazioni dei dati personali (cd. Data breach, art. 33-34).

Un accenno è stato fatto al diritto alla portabilità dei dati, in relazione a quanto previsto dal Regolamento UE e dalle Linee Guida del WP29. Si tratta di un diritto innovativo, previsto dall'articolo 20 del Regolamento che consente all'interessato di ricevere i dati personali forniti da un titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. I vantaggi sono quelli di facilitare il passaggio da un fornitore di servizi all'altro e consentire la creazione di nuovi servizi, nel quadro della strategia UE per il mercato unico digitale.

Una pubblica amministrazione proiettata nella digitalizzazione

“La pubblica amministrazione è proiettata nella digitalizzazione, ma spesso non ha consapevolezza delle conseguenze, dei danni, che possono essere anche pesanti, che l'innovazione tecnologica porta con sé” - ha osservato Cosimo Comella, Dirigente Dipartimento libertà pubbliche e sanità. Per questo la parola chiave deve essere “competenza”. La Pubblica Amministrazione deve essere moderna, dotata di competenze diffuse, a livello tecnico\informatico, legislativo, organizzativo, amministrativo, gestionale. Il cittadino apprezza e anzi esige innovazione, che indubbiamente porta con sé gratificazione, ma un'amministrazione “smart” deve saper pensare agli effetti, a medio e a lungo termine, non sempre percepibili immediatamente, abbandonando quindi un approccio “burocratico” e tenendo sempre conto del fatto che trattare dati di altri comporta grande responsabilità. Accanto alla mera competenza, occorrono – e questo è un fatto decisamente nuovo – anche “passione ed entusiasmo, vero interesse ed energia positiva, essenziali, accanto al rispetto delle norme, per realizzare il cambiamento, di cui il Regolamento costituisce, come a sui tempo lo definì lo stesso Garante, il “vero architrave” o meglio, il tentativo del Legislatore Europeo di rincorrere l'innovazione tecnologica.”

La giornata formativa non ha trascurato temi quali quello delle sanzioni, con Claudio Filippi (dirigente Dipartimento attività ispettive, sanzioni), il principio della valutazione di impatto e consultazione preventiva, con Irene Fraganello, nel cui intevento (“Data protection by default and by design”) ha considerato questo necessario e innovativo approccio concettuale da utilizzare in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali, come il “futuro della privacy”, in grado di stimolare positivamente anche chi offre soluzioni e prodotti.

Un dibattito conclusivo ha posto fine all'incontro, che avrà un'altra tappa a Bari, il 15 gennaio del 2018. L'intento dell'iniziativa è il medesimo: accompagnare il processo di adeguamento alle nuove norme dei soggetti pubblici e fornire indicazioni utili, raccogliere le eventuali esigenze di chiarimento e le azioni messe già in atto, condividere gli approfondimenti svolti e le riflessioni eventualmente già maturate, in vista della “fatidica data” del 25 maggio prossimo.