GDPR e trasparenza amministrativa Schermata 2017-06-17 alle 15.55.15 La Protezione dei Dati Personali nel Pubblico Avv. Rocco Panetta alla luce del Regolamento (UE) 2016/679 Anticorruzione e Trasparenza Monitoraggio, rendicontazione e implementazione dei Piani Milano, 5 ottobre 2018
GDPR: una panoramica
GDPR: una panoramica I soggetti che trattano i dati e i loro compiti Codice Privacy Artt. 28, 29 e 30 Regolamento Europeo Artt. 24, 26, 27, 28 e 29 Titolare Responsabile Definizione formale non cambia rispetto al Codice Privacy, tuttavia vengono introdotte regole e principi volti a rafforzare l autonomia negoziale delle parti nell esatta allocazione delle responsabilità di ogni soggetto privacy Incaricato Art. 29 del GDPR: chiunque agisca sotto l autorità di titolare o del responsabile non può trattare i dati se non opportunamente istruito in tal senso.
GDPR: una panoramica La figura del Joint Controller (Contitolare del trattamento) Codice Privacy Artt. 4, comma 1, lett. f) Regolamento Europeo Art. 26 Vengono chiariti e formalizzati alcuni aspetti fondamentali: Quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono da considerarsi contitolari del trattamento. Le rispettive responsabilità possono essere definite mediante accordo interno tra le parti, con particolare attenzione a: (i) informativa; (ii) raccolta consensi; e (iii) esercizio dei diritti degli interessati. L interessato può esercitare i propri diritti contro uno qualunque dei contitolari, potendo anche avere accesso all accordo tra gli stessi e valutare le proprie opzioni di conseguenza.
GDPR: una panoramica Informativa Le informazioni da rendere agli interessati Codice Privacy Regolamento Europeo Art. 13 Art. 13 Documento finalizzato a mettere a disposizione dell interessato tutti gli elementi necessari a valutare i trattamenti dei propri dati, tra cui in particolare: (i) modalità di svolgimento e natura obbligatoria o facoltativa trattamento (ii) identificazione precisa del titolare e degli eventuali responsabili (iii) conseguenze del rifiuto a fornire dati (iv) limiti alla comunicazione e alla diffusione dei dati (v) destinatari o categorie di destinatari (vi) finalità trattamento e presupposti di legittimità (vii) modalità di esercizio diritti individuali (viii) trasferimenti dati e garanzie tutela (ix) Periodo di conservazione dei dati o i criteri per determinarlo (x) Contatti del Data Protection Officer (xi) eventuali interessi legittimi del titolare (Uniche vere novità)
GDPR: una panoramica Anonimizzazione e pseudonimizzazione Il GDPR consente di usare tecniche come la pseudonimizzazione, l'anonimizzazione, la crittografia e protocolli per le comunicazioni anonime nell ambito di trattamenti di dati legati anche all utilizzo dei Big Data. La Commissione e la European Data Protection Board collaboreranno e vigileranno con gli Stati Membri e le autorità di vigilanza al fine di garantire che si diffonda il più possibile l adozione di queste tecniche. ANONIMIZZAZIONE Benché sia metodo non esplicitamente definito dal GDPR, ci si riferisce a qualsiasi tecnica che renda i dati non più riferibili, in qualsiasi modo e da parte di chiunque, ad un interessato, neanche attraverso il confronto o l arricchimento con dati in possesso di terze parti (deidentificazione irreversibile) PSEUDONIMIZZAZIONE Trattamento dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni siano acquisite e trattate in modo lecito. Si tratta di una misura di strong security, ma non di anonimizzazione. IL REGOLAMENTO NON SI APPLICA AL TRATTAMENTO DI INFORMAZIONI ANONIME, ANCHE PER FINALITÀ STATISTICHE O DI RICERCA. RAGIONEVOLE PROBABILITÀ DI IDENTIFICARE LA PERSONA FISICA, DEVE CONSIDERARE COSTI E TEMPO NECESSARIO PER L'IDENTIFICAZIONE, TECNOLOGIE DISPONIBILI E LORO SVILUPPO FUTURO.
GDPR: una panoramica Il principio di accountability Codice Privacy Regolamento Europeo - Considerando n. 85 e Art. 5 Un corrispondente formale del principio di accountability impropriamente tradotto nella versione italiana del GDPR con il termine responsabilizzazione o rendicontazione non è mai stato definito all interno del corpus normativo del D. Lgs. 196/2003. Secondo questo principio delineato a partire dal 2010 grazie a orientamenti dell Article 29 Working Party e dell OCSE, la compliance privacy di natura preventiva è una delle chiavi di volta del GDPR. Il Codice Privacy, infatti, prevede un sistema di responsabilità civili, penali e amministrative e una serie di adempimenti formali obbligatori (es. informativa, consenso, notificazione al Garante, misure minime e idonee) ma non un generale approccio di responsabilizzazione preventiva funzionale alla compliance. Il titolare del trattamento dovrebbe dunque essere in grado di dimostrare di avere adottato un insieme complessivo di misure (i) giuridiche, (ii) organizzative, (iii) tecniche e (iv) amministrative per la protezione dei dati trattati coerentemente alle disposizioni del Regolamento, similmente agli attuali modelli ex D. LGS. 231/2001.
Le regole base per PA e società pubbliche sulla Data Protection Un trattamento legittimo è basato su fondamenti normativi solidi e ben definiti. Trattare i dati nel solco della legge garantisce all interessato trattamenti dei suoi dati in piena sicurezza e rispetto dei suoi diritti; al titolare di svolgere la sua attività senza scontrarsi con sanzioni e blocco della sua attività principale. Principi applicabili al trattamento dei dati personali: LICEITÀ CORRETTEZZA TRASPARENZA LIMITAZIONE DELLE FINALITÀ MINIMIZZAZIONE DEI DATI ESATTEZZA LIMITAZIONE DELLA CONSERVAZIONE INTEGRITÀ RISERVATEZZA
Le regole base per PA e società pubbliche sulla Data Protection GDPR & PA Art. 6 GDPR Liceità del trattamento Affinché il trattamento sia considerato lecito è necessario che questo rispetti determinati presupposti e principi diffusi in tutto il GDPR: consenso dell interessato per una o più specifiche finalità; necessario per adempiere obblighi di contratti di cui l interessato è parte o misure precontrattuali richieste dallo stesso; necessario per adempiere obblighi legali a cui il titolare è soggetto; necessario per salvaguardia interessi vitali dell interessato o altra persona fisica; necessario per esecuzione di compito di interesse pubblico o connesso all esercizio di pubblici poteri di cui è investito il titolare; Riserva di legge Gli obblighi legali e i compiti di interesse pubblico o connesso all esercizio dei pubblici poteri secondo i quali possono essere posti in essere dei trattamenti sono stabiliti da: Diritto dell Unione europea; Diritto dello Stato membro cui è soggetto il titolare del trattamento. necessario per perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano interessi o diritti e libertà fondamentali dell interessato che richiedono la protezione dei dati personali, in particolare se minore. Non si applica per quei trattamenti effettuati dalle autorità pubbliche nell esecuzione dei loro compiti.
Le regole base per PA e società pubbliche sulla Data Protection Trattamenti in ambito pubblico In ambito amministrativo, il tema principale ricade sull accesso a documenti amministrativi e all accesso civico. Le normative di riferimento sono: GDPR; Titolo IV del Codice Privacy (Trattamenti in ambito Legge 7 agosto 1990, n. 241; D. Lgs. 14 marzo 2013, n. 33; Regole deontologiche. Il trattamento di tali dati è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso pubblico); Focus: dati relativi alla salute, vita sessuale o orientamento sessuale Specifiche disposizioni anche per i trattamenti in ambito sanitario, per finalità di tutela della salute e incolumità fisica dell interessato o terzo o della collettività ai documenti almeno pari amministrativi ai diritti è di rango dell interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale. Art. 60 Codice Privacy Il Garante promuove, ai sensi dell art. 2-quater del Codice, l adozione di regole deontologiche per il trattamento di dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l associazione di dati provenienti da più archivi, tenendo presenti le pertinenti Raccomandazioni del Consiglio d Europa. Art. 61 c. 1 Codice Privacy
La Data Protection Impact Assessment (DPIA) Il titolare deve eseguire un attenta e dettagliata valutazione dell impatto (Data Protection Impact Assessment DPIA ) che i trattamenti che intende svolgere, soprattutto se basati su nuove tecnologie, sono in grado di produrre, quando dagli stessi possono derivare rischi rilevanti per la sicurezza e per i diritti e le libertà delle persone coinvolte. In particolare obbligatoria per attività di: Valutazione sistematica e globale, compreso il profiling; Trattamento su larga scala di categorie particolari di dati personali. Elementi minimi della DPIA: una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se applicabile, l'interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare i rischi, con specifica indicazione delle garanzie, misure di sicurezza e meccanismi adottati per garantire la protezione dei dati personali e dimostrare il rispetto del GDPR.
Il DPO e il suo ruolo nella Pubblica Amministrazione Obbligo di nomina L art. 37 c. 1 lett. a) del GDPR prevede la designazione sistematica del DPO quando il trattamento è effettuato da un autorità pubblica o da un organismo pubblico, eccezion fatta per le autorità giurisdizionali. Un DPO per più enti Le autorità pubbliche o organismi pubblici possono designare un unico DPO per più autorità pubbliche o organismi pubblici. Profilo del Data Protection Officer Il Data Protection Officer deve rispecchiare determinati requisiti soggettivi e oggettivi: Deve possedere comprovate conoscenze specialistiche adeguate al suo ruolo; Deve essere munito di una completa autonomia funzionale; Non deve ricoprire ruoli che siano incompatibili con la funzione di controllo di DPO; Non può essere rimosso o penalizzato per l adempimento dei propri compiti ex GDPR; Relazione diretta con i vertici dell ente; Coinvolto tempestivamente in tutte le questioni riguardanti la protezione dei dati.
Il DPO e il RPCT: confronto Responsabile della Protezione dei Dati Introdotto dall art. 37 ss. GDPR. Autonomia ed effettività del ruolo e messa a disposizione di tutte le risorse necessarie allo svolgimento del proprio ruolo; Diretta relazione con i vertici e tutta la struttura dell ente; Compiti Informare e fornire consulenza al titolare o responsabile trattamento e ai dipendenti che eseguono trattamenti; Sorvegliare osservanza del GDPR e altre disposizioni su protezione dati, compresa attribuzione responsabilità, sensibilizzazione e formazione del personale; Cooperare con autorità di controllo e fungere da punto di contatto. Responsabile della Prevenzione della Corruzione e della Trasparenza Istituito ai sensi dell art. 1 c. 7 della L. 190/2012 (riforma: D.Lgs. 97/2016). Autonomia ed effettività del ruolo attraverso la messa a disposizione di strutture e mezzi adeguati al compito; Diretta relazione con i vertici e tutta la struttura dell ente; Compiti Proporre all organo di indirizzo politico approvazione e modifiche del Piano triennale di Prevenzione della corruzione; Riferire all organo di indirizzo politico sull attività svolta; Definire procedure appropriate per selezionare e formare i dipendenti; Controllo su costante adeguamento alla normativa di riferimento e rotazione incarichi negli uffici preposti.
Relazione tra Protezione dei Dati e Trasparenza amministrativa Il Decreto trasparenza D. Lgs. 33/2013 Pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, anche attraverso la Rete (siti istituzionali). Linee guida Provv. del 15 maggio 2014 n. 243 Dopo aver verificato la sussistenza dell obbligo di pubblicazione dell atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono dati particolari o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa. È vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.
Avv. Rocco Panetta Managing Partner Panetta & Associati Country Leader Italia IAPP Via Arenula, 83 Roma, 00186 r.panetta@panetta.net www.panetta.net www.iapp.org 15