Vuoi essere informato su tutte le novità che riguardano PA Digitale?
Semplificazione, trasparenza, prevenzione della corruzione, digitalizzazione, nuovo Codice dei contratti: queste alcune delle sfide con le quali gli uffici pubblici stanno facendo i conti.
Sfide importanti alle quali bisogna aggiungerne un’altra di cui si parla ancora poco, ma che incombe come una spada di Damocle su tutti gli uffici pubblici e riguarda molto da vicino il processo di innovazione digitale.
Si tratta del nuovo Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”).
Il Regolamento ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” e disciplina – senza necessità di recepimento – i trattamenti di dati personali, sia nel settore privato chee nel settore pubblico.
Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l’Italia all’adozione del vigente Codice Privacy (D. Lgs. n. 196/2003), norme adottate in un contesto tecnologico completamente diverso, prima che internet, social media, cloud e servizi in rete cambiassero definitivamente il nostro modo di vivere e lavorare. Le nuove norme, tra le altre cose, mirano proprio ad adeguare il livello di protezione dei nostri dati all’evoluzione degli strumenti che utilizziamo.
Il Regolamento è già in vigore e diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018. Non manca quindi molto tempo, tenendo conto delle complesse attività di adeguamento che devono essere effettuate da chiunque tratti dati personali.
Numerose le novità con cui prendere confidenza nei prossimi mesi, ecco le principali.
Trasparenza
Gli utenti devono essere informati in modo semplice e chiaro (specialmente nel caso di dati di minori) sulle finalità, modalità e ambito del trattamento. E queste informazioni devono essere date per iscritto, anche per consentire agli interessati di esercitare in modo più semplice i propri diritti.
Tutte le novità in tema di trasparenza in questo volume:
Oblio
Viene rafforzato il diritto all’oblio, la possibilità – cioè – di richiedere, per motivi legittimi, la cancellazione dei propri dati (si tratta di una norma che avrà un impatto assai rilevante per tutti gli adempimenti relativi agli obblighi di pubblicazione per finalità di trasparenza sui siti istituzionali).
Per saperne di più in tema di Diritto all’oblio si consiglia il seguente volume:
Diritto all’oblio: responsabilità e risarcimento del danno
Attraverso i contributi della giurisprudenza nazionale ed europea, l’opera ricostruisce i contorni del diritto all’oblio e delle relative forme di tutela, responsabilità e risarcimento del danno.Di taglio pratico, il testo garantisce all’operatore i mezzi necessari per l’esercizio di un diritto di non ancora facile definizione, illustrando gli strumenti di tutela dei dati personali presenti in rete.Il volume è completato da un’appendice normativa, una ricca rassegna di giurisprudenza nazionale ed europea, dalla raccolta dei provvedimenti significativi del Garante per la protezione dei dati personali e da indicazioni operative su come cancellare i dati dall’indicizzazione automatica dei principali motori di ricerca.Andrea Sirotti GaudenziÈ avvocato e docente universitario. Patrocina davanti alla Corte europea dei Diritti dell’Uomo e alla Corte di Giustizia dell’Unione europea, innanzi alle quali ha ottenuto alcuni significativi provvedimenti. È chiamato a svolgere attività di insegnamento presso vari Atenei. Dirige il “Notiziario giuridico telematico” ed è responsabile di INFCON (Istituto Nazionale per la Formazione Continua), dell’ADISI di Lugano e di altri enti scientifici. È autore di numerosi volumi, tra cui “Il nuovo diritto d’autore”, “Trattato pratico del risarcimento del danno”, “Codice della proprietà industriale”. È presidente del Cesdet, Centro Studi di Diritto Europeo delle Telecomunicazioni. Collabora a diverse testate ed è editorialista della rivista “Guida al Diritto del Sole 24 Ore”.
Andrea Sirotti Gaudenzi | 2017 Maggioli Editore
25.00 € 23.75 €
Privacy by design e Privacy by default
Le amministrazioni, come ogni titolare, sono tenute ad adottare misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati (si pensi, ad esempio, all’erogazione di servizi on line e all’implementazione del sistema pubblico di identità digitale). Inoltre, va garantito l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.
Data breach
Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali (“data breach”).
Questo significa che – nel caso di incidenti di sicurezza relativi ai sistemi usati dalla PA – l’amministrazione dovrà organizzarsi per procedere alla notificazione al Garante Privacy senza ritardo (e, comunque, entro le 72 ore). Inoltre, la comunicazione dovrà essere data a tutti gli interessati, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (ipotesi assai probabile per molti dei dati trattati dalle amministrazioni, basti pensare – ad esempio – a quelli sanitari).
Valutazione d’impatto e registro dei trattamenti
Le amministrazioni, inoltre, sono obbligate ad una valutazione preliminare di impatto sulla tutela dei dati (c.d. “privacy impact assessment”), con una precisa analisi dei rischi con particolare attenzione ai profili della gravità e probabilità dell’evento.
Inoltre, gli enti sono tenuti all’adozione di un registro delle attività di trattamento con descrizione delle misure di sicurezza; si tratta di un adempimento che si rivelerà particolarmente ostico per la gran parte delle amministrazioni che aveva adottato il DPS (Documento programmatico sulla sicurezza) solo come adempimento formale, non curandosi dell’attuazione ed aggiornamento dello stesso.
Data protection officer
Il Regolamento prevede poi l’obbligo per le pubbliche amministrazioni di nominare un DPO – Data Protection Officer (ovvero il responsabile della protezione dei dati personali)
Si tratta di una figura che deve possedere dei requisiti specifici (ad esempio in termini di esperienza e competenza) e deve occuparsi della corretta applicazione della normativa, curando con particolare attenzione della formazione del personale.
Gli enti devono quindi procedere ad individuare il DPO (che può essere interno o esterno) e a dotarlo delle risorse adeguate.
Adeguamento e sanzioni
La protezione dei dati personali, trattata fin qui da molti enti come mero adempimento (se non come alibi per bloccare i tentativi di trasparenza ed innovazione), acquista quindi nuova centralità anche per le pubbliche amministrazioni, chiamate a definire in pochi mesi un percorso di adeguamento efficace che consenta loro di farsi trovare pronte alla scadenza del 25 maggio 2018, evitando così le sanzioni (inasprite rispetto alla disciplina precedente).
Ma, a ben vedere, l’adeguamento delle PA non serve solo ad evitare sanzioni e responsabilità, ma anche – e forse soprattutto – a garantire quello che, nella società dell’informazione, è un diritto fondamentale degli individui. Un diritto necessario per rinsaldare l’ormai compromesso rapporto di fiducia tra le amministrazioni e i cittadini ed evitare il definitivo fallimento del processo di digitalizzazione.
Scopri qui la Videoconferenza su:
Nuovo regolamento privacy: quali obblighi per la pubblica amministrazione digitale?
Scrivi un commento
Accedi per poter inserire un commento