Quaderno del 29 marzo 2018

Il titolare è definito all’art. 4 del Regolamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Lo stesso non viene designato o nominato, ma diventa tale nel momento in cui raccoglie dati personali con l’intento di trattarli per finalità lecite, come previsto all’art. 6, e decide le modalità di trattamento.

Il titolare è responsabile del rispetto del GDPR all’interno del proprio ente e deve mettere in atto tutte le misure tecniche ed organizzative idonee a dimostrare la conformità allo stesso.

Di seguito si sintetizzano i nuovi adempimenti che il Regolamento pone a suo carico, fornendo dei suggerimenti operativi in merito al ruolo delle Regioni nel loro complesso (generalmente titolari del trattamento) e alle azioni che le AdG possono mettere in campo con specifico riferimento ai trattamenti effettuati in ambito FSE.

Punto a. Designare un responsabile della protezione dei dati (RPD).

La scelta potrà ricadere su una professionalità interna all’amministrazione oppure su un consulente esterno. Nel primo caso occorrerà formalizzare un apposito atto di designazione a “responsabile della protezione dei dati”; nell’ipotesi, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante del contratto di servizi redatto in conformità all’art. 37 del Regolamento. L’atto di designazione, ove opportuno, potrà essere strutturato in conformità al modello elaborato dal Garante per la privacy.

Indipendentemente dalla natura e dalla forma dell'atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del Regolamento) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

Nell'atto di designazione o nel contratto di servizi devono risultare sinteticamente indicate anche le motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, c. 5 del Regolamento (conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, capacità di assolvere ai compiti di cui all’art. 39).

Il responsabile della protezione dei dati deve essere unico per amministrazione/ente, al fine di evitare rischi di sovrapposizioni o incertezze sulle responsabilità. Cionondimeno possono essere individuate più figure di supporto, con riferimento a settori diversi, che facciano però riferimento ad un unico soggetto responsabile sia che la scelta ricada su un soggetto interno sia che ci si avvalga di un consulente esterno. Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del RPD che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del Responsabile della protezione dei dati, anche operando (se del caso) quali componenti del suo gruppo di lavoro (5).

Le amministrazioni potranno, d’altra parte, scegliere di avvalersi dell’opzione offerta dall’art. 37, c. 3 del Regolamento designando un unico RDP comune a diverse autorità pubbliche (es. Regione e Comuni); in tal caso bisognerà prestare particolare attenzione a che non si determini una situazione di conflitto d’interessi o che il responsabile della protezione dei dati non sia in grado di assolvere ai propri compiti. Conseguentemente, sarà opportuno che nell’atto di designazione o nel contratto il RPD fornisca adeguate garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

I dati del RDP devono essere pubblicati sul sito web dell’Ente, esplicitati nell’informativa fornita all’interessato e comunicati all’autorità di controllo (Garante).

La prima azione del RPD, seguente alla sua nomina, è quella di analizzare i meccanismi di raccolta e conservazione dei dati in atto. Dopo aver valutato probabilità di perdite e tutti i possibili rischi, in relazione ai sistemi impiegati e alla particolare natura dei dati custoditi, egli produce un documento nel quale evidenzia anche l’eventuale necessità di un adeguamento tecnologico o di correttivi da apportare alle procedure in atto. Una volta mappata la realtà esistente, il RPD si fa carico della redazione di un piano di aggiornamento e manutenzione dei sistemi (6).

Suggerimenti per le AdG FSE

Fermo restando che il RDP deve essere unico per l’Amministrazione e le AdG non hanno un ruolo al riguardo, le stesse potrebbero individuare una persona di supporto al responsabile della protezione dei dati designato a livello regionale (es. con DGR) per assisterlo nell’analisi delle procedure messe in atto per la raccolta e conservazione dei dati personali relativi ai partecipanti agli interventi cofinanziati dal FSE.

Punto b. Predisporre e implementare un registro delle attività di trattamento.

Il titolare del trattamento dovrà tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità che contenga, ai sensi dell’art. 30, c. 1, almeno: i riferimenti del titolare e del responsabile della protezione dei dati, le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati sono stati/saranno comunicati. Ove possibile potranno essere indicati i termini previsti per la cancellazione delle diverse categorie di dati e una descrizione generale delle misure di sicurezza tecniche ed organizzative.

Suggerimenti per le AdG FSE

Le AdG individuate come titolari del trattamento dovranno predisporre ed implementare un registro delle attività di trattamento effettuate sotto la propria responsabilità che contenga gli elementi di cui all’art. 30, c. 1 del Regolamento.

Punto c. Effettuare un’analisi del rischio ed adottare le misure di sicurezza adeguate. 

Al fine di progettare misure tecniche ed organizzative adeguate a garantire un elevato livello di sicurezza (contro i rischi di perdita, distruzione, violazione dei dati, ecc.) le amministrazioni dovrebbero preventivamente predisporre un documento di analisi dei rischi. Ove disponibili si potrà procedere all’aggiornamento di analisi esistenti per adeguarle alle disposizioni del Regolamento UE, qualora siano stati introdotti nuovi trattamenti o siano avvenute variazioni sostanziali su quelli in essere. L’adeguatezza delle misure adottate, a protezione dei dati, potrà essere dimostrata anche facendo riferimento ad eventuali meccanismi di certificazione (ex art. 42 GDPR).

Suggerimenti per le AdG FSE

Le AdG individuate come titolari dei trattamenti dei dati relativi alle operazioni cofinanziate dal FSE dovrebbero predisporre un documento di analisi dei rischi, o aggiornare eventuali analisi esistenti, e valutare l’adeguatezza delle misure di sicurezza messe in atto per proteggere i dati.

Punto d. Eseguire la valutazione d’impatto sulla protezione dei dati personali (DPIA). 

La DPIA deve essere condotta dal titolare, insieme al RPD e al responsabile (o ai responsabili) del trattamento nella fase di progettazione del trattamento. La sua conduzione materiale può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.

Lo svolgimento di una DPIA non è obbligatorio per ogni singolo trattamento, tale valutazione è infatti necessaria solo se il trattamento “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Una DPIA può riguardare un singolo trattamento; tuttavia come previsto dall’art. 35 del Regolamento è possibile utilizzare un’unica DPIA per valutare più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.

Il Regolamento individua tra le fattispecie per le quali tale valutazione è obbligatoria il trattamento, su larga scala, di dati sensibili o di natura estremamente personale (art. 35, c. 2b) nonché quelli relativi a interessati vulnerabili quali: minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc. (Considerando 75).

La DPIA è, d’altro canto, uno strumento importante di ausilio al titolare per dimostrare l’adozione di misure idonee a garantire il rispetto delle prescrizioni del Regolamento UE in materia di privacy. Pertanto anche laddove la necessità di una DPIA non emerga con chiarezza, il gruppo europeo per la protezione dei dati raccomanda di farvi comunque ricorso in quanto essa contribuisce all’osservanza delle norme in materia di protezione dati da parte dei titolari di trattamento (8).

Lo stesso gruppo ha precisato, ad ogni modo, alcuni casi in cui tale valutazione non è necessaria. Tra questi si possono annoverare le ipotesi in cui: il trattamento trova la propria base legale nel diritto dell’UE o di uno Stato membro, la base legale in questione disciplina lo specifico trattamento, ed è già stata condotta una DPIA all’atto della definizione della base giuridica suddetta (art. 35, c. 10); il trattamento è compreso nell’elenco facoltativo (redatto dall’autorità di controllo ai sensi dell’art. 35, c. 5) dei trattamenti per i quali non è necessario procedere alla DPIA (9).

Per i trattamenti in corso l’obbligo di condurre una DPIA vige nel caso in cui possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche e ove siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.

Nelle circostanze in cui la tipologia di trattamento richiederebbe una valutazione d’impatto sulla protezione dei dati, in quanto ricorrono i presupposti previsti dal Regolamento, ma il titolare ritiene che non “può presentare un rischio elevato”, egli dovrà motivare e documentare la scelta della mancata conduzione della DPIA, allegando o annotando l’opinione del responsabile della protezione dei dati (10).

In ordine alle modalità di realizzazione della valutazione d’impatto, il Regolamento fissa le caratteristiche basilari di una DPIA all’art. 35, c. 7 e nei Considerando 84 e 90. Ulteriori indicazioni si rinvengono (inoltre) nelle pertinenti linee guida, laddove l’allegato 1 contiene esempi di metodologie per la valutazione di impatto sulla protezione dei dati e sulla privacy.

Suggerimenti per le AdG FSE

In considerazione dell’ampio ventaglio di interventi supportati dal FSE destinati a gruppi particolarmente vulnerabili, che richiedono la rilevazione e il trattamento di numerosi dati anche sensibili, tenuto conto (inoltre) che la registrazione di tali informazioni avviene in linea di massima attraverso sistemi di archiviazione informatizzati, l’obbligo di procedere alla valutazione d’impatto dei rischi per i diritti e le libertà delle persone fisiche sembrerebbe (in astratto) sussistere anche per i trattamenti effettuati in ambito FSE.
Cionondimeno, alla luce delle indicazioni fornite dal Gruppo Europeo sulla protezione dei dati, tale valutazione potrebbe non essere necessaria in quanto le operazioni di trattamento effettuate in relazione agli interventi finanziati dal FSE trovano la loro base giuridica nel Diritto UE (segnatamente nel Regolamento 1304/2013) e si presume dunque che una valutazione in merito ai potenziali impatti sul diritto alla protezione dei dati dei destinatari sia già stata condotta all’atto della definizione della base giuridica suddetta.
Ad una interpretazione chiara ed univoca del disposto regolamentare, con riferimento ai trattamenti effettuati in tale ambito, si potrebbe (auspicabilmente) giungere a seguito della pubblicazione (facoltativa) da parte del garante nazionale della lista dei trattamenti esclusi dall’obbligo di DPIA, o a fronte di un suo parere, nonché a seguito della elaborazione di eventuali guide orientative da parte del Comitato europeo per la protezione dei dati (CEPD).
Ad ogni modo, qualora si rendesse comunque necessario/opportuno procedere ad una DPIA anche per i trattamenti in ambito FSE, questa dovrebbe essere condotta dalle AdG se individuate come titolari del trattamento. Diversamente qualora l’AdG rivesta il ruolo di responsabile del trattamento dovrebbe collaborare con il titolare e il responsabile della protezione dei dati per la realizzazione della valutazione.