Maggiori responsabilità per i sindaci, una nuova figura all’interno dei Comuni che curi la corretta gestione dei dati personali, ma anche nuove procedure per monitorarne il trattamento. Ecco alcune delle novità introdotte dal regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini, sia all’interno che all’esterno dei confini dell’Unione. Il testo diventerà esecutivo in tutti i Paesi dell’Ue dal 25 maggio. I sindaci, da quella data, dovranno essere in grado di assicurarne e dimostrarne l’applicazione. Per quanto riguarda gli strumenti, scatterà l’istituzione del registro delle attività di trattamento. Nuove attività formative saranno disposte per il personale dei Comuni, mentre cambieranno i processi per individuare i rischi collegati al trattamento dei dati. Novità raccolte dall’Anci nell’11° Quaderno operativo della propria collana editoriale “Manuali tecnici per gli Amministratori”.
Che cosa prevede il nuovo regolamento. Il regolamento sulla protezione dei dati personali introduce la “responsabilità diretta” del titolare del trattamento, cioè il sindaco, che viene affiancato da una nuova figura obbligatoria: il responsabile della protezione dei dati. È suo il compito di assicurare una gestione corretta dei dati personali negli enti. Una figura che può essere individuata tra il personale dipendente in organico oppure con un affidamento all’esterno, in base a un contratto di servizi. Nel registro delle attività, che verrà istituito, dovranno essere descritti i trattamenti effettuati e le procedure di sicurezza adottate dall’ente. Un iter particolare dovrà essere attuato quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. I Comuni dovranno compiere in questo caso, prima di procedere al trattamento, una valutazione di impatto sulla protezione dei dati.
Gli attori nella gestione dei dati negli enti locali. Al vertice della piramide amministrativa vi è il titolare del trattamento dei dati personali raccolti o meno in banche dati, automatizzate o cartacee. Ruolo ricoperto dal sindaco o da un suo delegato. Dovrà rispondere della liceità, della correttezza e della trasparenza del trattamento, ma anche della limitazione della finalità, dell’esattezza e della riservatezza. È suo compito definire le tecniche per garantire che il trattamento dei dati personali sia effettuato in modo conforme al regolamento. Il responsabile del trattamento è, invece, un dirigente con il compito di gestire le banche dati personali: deve garantire che i trattamenti siano effettuati in conformità al regolamento. È consentita la nomina di sub-responsabili del trattamento per specifiche attività. Le operazioni possono essere effettuate solo da incaricati che operano sotto la diretta autorità del responsabile, attenendosi alle istruzioni ricevute.
Nasce nei Comuni il “responsabile della protezione dei dati personali”. È la principale novità del regolamento europeo: la nascita della figura del responsabile della protezione dati personali. Un ruolo con un ventaglio di compiti all’interno e all’esterno dell’amministrazione comunale. È suo il compito di informare e fornire consulenza al titolare, al responsabile e ai dipendenti, che eseguono il trattamento dei dati. Il responsabile può anche indicare le attività di formazione interna per i dipendenti che trattano dati personali e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato. A lui spetta anche la raccolta di informazioni per individuare i trattamenti svolti e il compito di analizzarli e verificarli. Il responsabile della protezione dei dati avrà anche ruolo di sorveglianza: sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo avviate dal titolare e dal responsabile del trattamento. Dovrà anche verificare la tenuta dei registri. All’esterno dell’ente il suo interlocutore sarà il Garante per la protezione dei dati personali con cui dovrà confrontarsi in rappresentanza del Comune di appartenenza.
Nuovi strumenti per la tenuta dei dati personali. Nuove figure e nuovi strumenti vengono introdotti dal regolamento dell’Unione europea, che mira al potenziamento del controllo, dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali.
Prevista l’istituzione di un registro delle attività di trattamento svolte dal Comune, che dovrà presentare le finalità degli interventi, oltre alla descrizione delle categorie degli interessati, cioè cittadini, utenti, dipendenti o amministratori, e le categorie dei dati personali: identificativi, genetici, biometrici, relativi alla salute.
Una sezione sarà rivolta alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati. Un altro registro, invece, riguarderà le categorie di attività trattate da ciascun responsabile. Quattro le informazioni, in questo caso, necessarie: il nome ed i dati di contatto del responsabile del trattamento, le tipologie dei trattamenti effettuati da ciascun responsabile, l’eventuale trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale e, infine, il richiamo alle misure di sicurezza del trattamento. Proprio quest’ultimo aspetto racchiude la ‘ratio’ del regolamento. L’obiettivo di fondo è quello di fornire una maggiore protezione dei dati personali. E in quest’ottica vengono disposte alcune procedure come la mappatura delle operazioni.
Filippo Passantino