GDPR e comunicazione nella giungla della PA, tutti gli alibi da spazzar via | Agenda Digitale

REGOLAMENTI

GDPR e comunicazione nella giungla della PA, tutti gli alibi da spazzar via

Garantire la privacy nella rete degli enti pubblici è talvolta improbo. Ma troppo spesso l'”interesse pubblico” viene utilizzato come paraurti per autorizzare operazioni non allineate alla tutela dei dati personali. Ecco i limiti e le eccezioni previste per i Comuni, e come il DPO può orientare le decisioni

28 Apr 2020
Manuel Salvi

DPO GRC Team


La comunicazione all’interno dell’intricata rete di soggetti che compongono la PA presenta problematiche spesso di difficile soluzione. Soprattutto quando ci sono in gioco dati personali la cui gestione è regolamentata dal GDPR. Analizziamo lo status quo in particolare per quanto riguarda i Comuni. E come risolvere i nodi principali.

Una dei fattori più complessi e intricati per la gestione della privacy all’interno degli Enti comunali italiani è la loro intricata relazione con l’apparato statale, regionale e provinciale.

Dati anche “sensibilissimi”, si sarebbe detto prima del GDPR, transitano e vengono gestiti da una pletora di soggetti talvolta legittimati a farlo da supporti normativi e legislativi, talvolta non legittimati a farlo, se non da prassi consuetudinarie. I servizi sono talvolta delicati, spesso rivolti a minori e soggetti deboli; i dati trattati sono spesso particolari.

I Comuni, muovendosi all’interno di un sistema molto più ampio, comunicano tali dati a soggetti nazionali, regionali, locali, pubblici, para-pubblici, misto privati, partecipati, a soggetti del terzo settore, a associazione di volontariato e altro ancora.

Dinamiche di comunicazione dei dati, responsabilità, archiviazioni e infrastrutture informatiche di questa pluralità di soggetti sono tutte possibili elementi di criticità, che non possono essere trascurate. Inutile dire che garantire la privacy in questa giungla di soggetti, spesso con risorse inadeguate, è talvolta improbo.

La gerarchia e le organizzazioni esterne

I Comuni non sono entità autonome e isolate ma bensì uno dei tanti piccoli ingranaggi che permettono al complicato apparato burocratico di girare. Questo sistema ampio e complesso prevede un continuo e reciproco scambio di informazioni. Individuare le reciproche responsabilità e definire quando trattamenti e comunicazioni siano leciti non è semplice.

Il Garante ne è ben consapevole e nel “Il Manuale del RPD” (pag 163 e 164) sottolinea l’importanza “di chiarire tutti i legami esterni”, che l’ente ha con altre organizzazioni pubbliche. Il Manuale individua 3 tipologie:

  • organizzazioni pubbliche (sorelle/madri/figlie) con le quali si hanno legami formali.
  • organizzazioni pubbliche esterne che appartengono a altre categorie gerarchiche.
  • Fornitori esterni ex Art. 28.

I legami con organizzazioni pubbliche

Figurativamente parlando le organizzazioni (sorelle/madri/figlie) sono quelle che appartengono al medesimo silos/famiglia dell’ente (il legame è verticale e di subordinazione). Sono quelle con le quali il Comune ha legami ampiamente definiti dal diritto formale, con i suoi diversi livelli: Costituzione, legge positiva, atti normativi ordinanze e circolari ministeriali, accordi amministrativi. Un Comune infatti così come una qualunque autorità locale ricade all’interno di un più complesso ordine gerarchico, di cui è un soggetto intermedio all’interno dell’ordinamento statuale, che dal Ministero dell’Interno scende attraverso diversi livelli giù giù fino al Comune. Il Comune interagisce quindi con soggetti gerarchicamente superiori (es: Ministero dell’Interno), soggetti di pari livello (es: altri Comuni per comunicazioni varie) e soggetti di livello inferiore, tutti compresi nel medesimo silos/famiglia operativa.

Legami con organizzazioni esterne

Le organizzazioni al di fuori della struttura gerarchica silos/famiglia appena menzionata, sono le altre autorità pubbliche che si collocano in una differente gerarchia (il legame è trasversale). Il Comune ha infatti rapporti con le istituzioni scolastiche (es: invio elenco obbligati allo studio) con quelle dedicate al welfare (es: sostegni economici per soggetti bisognosi), con quelle di polizia (es: accessi agli impianti di videosorveglianza), con il sistema sanitario (es: gestione soggetti fragili) e molte altre ancora. Anche in questo caso, i rapporti con tali enti sono (o dovrebbero essere) disciplinati da norme di legge o da altre intese o accordi formali.

Il Data Protection Officer dovrebbe acquisire piena conoscenza di tali accordi ogni volta che essi implichino il trattamento di dati personali e dovrebbe di fatto riesaminarli, per verificare se riflettono, confermano e implementano i requisiti del GDPR. Qualora emerga che la normativa sia lacunosa sotto l’aspetto protezione dei dati personali, il Garante invita i DPO a dargliene comunicazione ogni qualvolta i rapporti e la cooperazione tra entità formalmente distinte siano fondate su accordi informali e non pubblici.

WHITEPAPER
Data warehouse nel cloud: 6 considerazioni per un passaggio efficace
Big Data
Cloud

Gia il Working Party 29 se ne era occupato sottolineando: [Esiste] una crescente tendenza alla differenziazione organizzativa nella maggior parte dei settori interessati… Nel settore pubblico una differenziazione sta avendo luogo nell’ambito del decentramento o della separazione dei servizi politici e delle agenzie esecutive. Viene accordata sempre più importanza allo sviluppo di catene di prestazione di servizi o alla prestazione di servizi inter-organismi, e al ricorso al subappalto o all’esternalizzazione di servizi per beneficiare di specializzazione e di eventuali economie di scala. Il risultato è un proliferare di vari servizi, e i prestatari che li offrono non sempre si considerano responsabili o tenuti a rendere conto del proprio operato. In funzione delle scelte organizzative delle imprese (e dei loro appaltatori o subappaltatori), le banche dati rilevanti possono trovarsi in uno o più paesi nell’Unione europea o al di fuori.

Rapporti con fornitori esterni

I fornitori esterni (del settore pubblico e privato) di beni o servizi, dai trattamenti dati in outsourcing, alla contabilità e gestione del sito web, alla fornitura di pasti mensa, manutenzione e riparazioni, supporto medico e benessere del personale, ecc. Tali attività si fondano su contratti (ordinari contratti di diritto privato o contratti di partenariato pubblico-privato) e prevedono la Nomina a Responsabile Esterno. Sui Responsabili esterni non aggiungerò altro essendo tema già ampiamente dibattuto, anche se vista l’eterogeneità di soggetti che interagiscono con la P.A. molto altro si potrebbe dire.

Comunicazione fra amministrazioni pubbliche

Sovente muovendomi all’interno delle pubbliche amministrazione come DPO o Consulente per il GDPR mi imbatto in solerti funzionari, che sbandierano l’articolo 50 del CAD, quasi fosse un lasciapassare per qualsivoglia comunicazione di dati all’interno della Pubblica Amministrazione.

Nel D.Lgs. 82/2005, Codice dell’Amministrazione Digitale (nel seguito indicato con l’acronimo CAD), è stata data particolare attenzione ai dati delle pubbliche amministrazioni ai fini della condivisione e della fruibilità degli stessi ma ponendo una serie di eccezioni che non possono essere ignorate.

L’Art. 50, comma 1 del CAD sottolinea …“restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico”.

L’Art. 50, comma 2 del CAD dice: “Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui all’articolo 2, comma 6, salvi i casi previsti dall’articolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l’utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell’amministrazione richiedente…”

E quali sarebbero queste normative in protezione di dati personali a cui il CAD fa rifermento e quali limiti previsti al rendere accessibile e fruibile i dati delle pubbliche amministrazioni a altre P.A.? L’Art. 2-ter del D.Lgs. 196/2003 fa al caso nostro e dice: Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

  • La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.
  • La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all’articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all’articolo 10 del Regolamento, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati.
  • La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1.
  • Si intende per “comunicazione” il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione.

Attenzione: L’art. 2 ter dice chiaramente che la comunicazione di dati fra titolari è ammessa solo se legittimata da una norma di legge. Le eccezioni sono: L’Art. 9 e 10 del GDPR oppure il silenzio assenso del Garante dopo 45 giorni dalla comunicazione.

Comunicazione fra PA: il GDPR

Talvolta muovendomi all’interno delle pubbliche amministrazione solerti funzionari mi sventolano di fronte “la finalità istituzionale dell’Ente” quasi che quest’affermazione di per sé fosse sufficiente a dipanare qualsivoglia dubbio sulla libera gestione dei dati personali all’interno dell’Ente e della loro libera circolazione all’interno della P.A.

Il banale fraintendimento in cui spesso cadono i non addetti ai lavori è pensare che l’ente comunale sotto il cappello della finalità istituzionale possa fare qualsiasi trattamento di dati personali. Ma la pubblica amministrazione per ogni trattamento, che quotidianamente esegue, deve definire una finalità ben circoscritta e individuare la base giuridica specifica, che le consenta di adire il trattamento in questione. Una comunicazione a altri soggetti anche all’interno della P.A., come visto poc’anzi, deve essere espressamente previsto per legge.

L’Articolo 6, paragrafo 1 lettera c) ed e), richiamato anche dall’Art. 2-ter del D.Lgs. 196/2003, sottolinea quali siano le basi giuridiche appropiate per le funzioni istituzionali di un ente pubblico:

  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

Inoltre l’Articolo 6, paragrafo 3 lettera b del GDPR afferma che “la base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: dal diritto dell’Unione; o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

Questo concetto è ribadito anche nel Manuale del RPD nelle indicazioni operative relative alla corretta compilazione di un Registro di Trattamenti, sottolineando non solo la necessità di evidenziare quale sia la corretta base giuridica ma anche la legge specifica sottostante.

Consigli pratici per relazioni intra pubbliche

Identificata e individuata la rete di relazione, si dovrebbe procedere a:

  • Definire quali sono le responsabilità delle diverse organizzazione e predisporre accordi di Titolarità e contitolarità, qualora non vi siano specifici elementi normativi, che identifichino la liceità non solo del trattamento ma anche della comunicazione a altra organizzazione.
  • Individuare l’architettura di tecnologie interne ed esterne; e se ciò comporta servizi o mezzi tecnologici esterni (compreso il cloud computing), individuando eventuali criticità e carenza a livello di sicurezza sia essa organizzativa che tecnica.
  • Riportare nel Registro delle attività di trattamento le relazioni fra diverse organizzazioni anche se pubbliche. Sovente i Registri, qualora ci sia comunicazione di dati con altre organizzazioni pubbliche si limita a darne evidenza fra i destinatari. Ma qualora tale passaggio di dati sia fondato su accordi informali e non pubblici ciò è evidentemente scorretto.

L’interesse pubblico non può autorizzare tutto

Le comunicazioni fra le diverse pubbliche amministrazioni devono essere fatte in conformità con la normativa privacy GDPR e D.Lgs. 196/2003. Queste evidenziano che la legittimità di uno scambio di dati personali fra P.A. dev’essere giustificata da una legge o, nei casi previsti dalla legge, di regolamento.

In assenza di una legge o in situazione di normativa lacunosa si dovrebbe operare alla stregua di un qualsiasi trattamento esercitato verso un organizzazione esterna alla P.A. valutando finalità, base giuridica, principio di limitazione del trattamento, accordi di contitolarità, misure di sicurezza e via discorrendo.

In concreto la pratica, a volte abusata, di battezzare con l’interesse pubblico qualsivoglia attività svolta all’interno della P.A. è palesemente in violazione del GDPR. Un amico avvocato ogni qualvolta sollevo questo dubbio mi risponde: “figurati se all’interno del Diritto Amministrativo non c’è una qualche leggina a cui possiamo far riferimento per giustificare questo trattamento”. Ogni volta che sento questa risposta o una sua variante, penso: “Il nostro lavoro non dovrebbe essere giustificare comportamenti consuetudinari per ‘aggiustarli’ alla luce del GDPR. Non dovrebbe essere piuttosto rendere le organizzazioni rispettose del diritto modificando quei comportamenti che non lo sono?”.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

@RIPRODUZIONE RISERVATA

Articoli correlati