GDPR: tre cose da fare subito per le pubbliche amministrazioni

ROMA - Tre cose da fare subito per la p.a. alle prese con il Regolamento Ue sulla privacy n. 2016/679/Ue: nominare il responsabile della protezione dei dati, istituire il registro dei trattamenti e predisporre la procedura delle comunicazioni in caso di violazione dei dati (data breach). È quanto indicato dal Garante della privacy in una informativa diffusa sul sito internet dell'autorità di controllo italiana.

L'articolo 37 del Regolamento europeo impone a tutte le p.a. la designazione del Responsabile della protezione dei dati (Rpd o Dpo). È una figura da scegliere per le qualità professionali e per la conoscenza specialistica della normativa e della prassi in materia di protezione dati. Il Rpd/Dpo deve essere coinvolto tutte le questioni che riguardano la protezione dei dati personali, fino dalla fase transitoria. Inoltre riferisce direttamente al vertice istituzionale, opera in condizioni di indipendenza e di autonomia. Può essere un dipendente dell'ente pubblico o un soggetto esterno, anche una persona giuridica o un ente. In ogni caso bisogna rispettare il divieto di conflitto di interessi, che significa coinvolgimento nel trattamento dei dati.

Obblighi e adempimenti

È prevedibile che i tempi dei procedimenti di nomina possano essere non brevi, soprattutto se si deve fare una gara pubblica per affidare il servizio. Comunque bisogna predisporre un regolamento interno e dotare l'ufficio del Rpd/Dpo degli strumenti necessari. Anche qui non si tratta di adempimenti istantanei e le p.a. devono calcolare i tempi tecnici per l'affidamento del servizio, per la predisposizione dell'ufficio interno, per la definizione delle modalità dello svolgimento dei compiti. I tempi, poi, possono allungarsi se più enti decidono di unirsi o consorziarsi per nominare un unico responsabile della protezione dei dati. 

L'articolo 30 del Regolamento Ue obbliga l'ente pubblico a istituire il registro dei trattamenti. Serve per censire i trattamenti e le loro caratteristiche: finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte). A prescindere dalla disponibilità di moduli di registri, la p.a. dovrà cominciare a fare il lavoro di catalogazione.

Gli articoli 33 e 34 del Regolamento Ue obbligano le p.a. alla notifica delle violazioni dei dati personali (data breach). Gli enti devono avere pronte procedure organizzative per monitorare gli attacchi alle reti e le violazioni degli archivi e per darne notizia al garante entro 72 ore e, nei caso di possibili danni alle persone, anche agli interessati. Si tratta, quindi, di verificare le procedure in caso di attacco informatico, smarrimento o furto di dispositivi o dati. In ogni caso anche delle violazione dei dati bisogna tenere un registro (articolo 33, ultimo paragrafo del Regolamento Ue). L'adempimento riguarda la sicurezza degli archivi informatici e cartacei e deve essere accompagnata da istruzioni al personale su come garantirla: non a caso, ai sensi dell'articolo 39 del Regolamento Ue, sussiste l'obbligo di fare corsi di formazione ai dipendenti autorizzati a trattare dati.

Articolo a cura di Nicola Bernardi, presidente di Federprivacy