In questi ultimi mesi e in queste ultime settimane è grande il fermento nei comuni italiani per quanto riguarda l’adeguamento al Regolamento Generale per la Protezione dei Dati personali (Gdpr) che sarà completamente efficace a partire dal 25 Maggio.
Ogni Amministrazione sta procedendo alla modifica del proprio assetto organizzativo anche per integrare questa nuova figura prevista dalla normativa europea: il Responsabile per la Protezione dei Dati. Molti Comuni – almeno in questa prima fase transitoria – sono orientati sulla nomina esterna per avere il tempo necessario ad individuare internamente una risorsa che risponda ai requisiti previsti dal Gdpr.
Nel frattempo è iniziata una prima fase di analisi e catalogazione dei trattamenti in essere negli Enti Locali, finalizzata alla predisposizione de registro dei trattamenti. Da parte dei sindaci, dei segretari e dei dirigenti, c’è sempre più attenzione per la pubblicazione di atti e documenti amministrativi che, da un lato vanno verso la tanto auspicata trasparenza oltre che rispondere a precisi obblighi di legge, dall’altro scopre il fianco delle Amministrazioni per quanto riguarda la tutela della privacy.
Come Ancitel, la struttura tecnica dell’Anci, abbiamo costituito una task-force proprio per supportare i Comuni in questo percorso di adeguamento alle nuove regole privacy ideando anche un servizio specifico per le amministrazioni locali (www.privacy.ancitel.it ). Sono stati condotti, fin dallo scorso anno, dei webinar gratuiti a tutti gli Enti Locali per illustrare le novità introdotte dal Regolamento. Al termine di questo primo percorso info-formativo, più di 1000 operatori comunali hanno potuto affrontare con maggiore chiarezza il processo di adeguamento alle nuove regole privacy.
Se da un lato c’è una forte preoccupazione per l’impellenza di questi adempimenti che riguarderanno tutti i 7954 comuni, le provincie, le unioni, le città metropolitane, dall’altro si cerca di guardare oltre la cogenza normativa, iniziando a costruire le basi di quello che dovrebbe essere un vero salto culturale nella protezione dei dati personali.
Uno dei punti di innovazione del Regolamento è la privacy by-design e by-default, cioè la progettazione e protezione dei dati per impostazione predefinita. E’ noto che nella scrittura di molti atti amministrativi viene spesso meno il principio di non eccedenza dei dati personali, la cosiddetta minimizzazione definita all’articolo 5 nel Gdpr. Questo perché, seppur gli atti vengono prodotti al giorno d’oggi con strumenti di office automation, la struttura formale su cui si basano risale a molto tempo fa, quando gli obblighi di pubblicazione non tenevano in considerazione la rete. Con l’avvento dell’informatica si è fatta una semplice trasposizione della struttura dell’atto cartaceo nel formato digitale ma il passaggio dal sistema analogico a quello digitale ha incrementato i rischi dal punto di vista della privacy. Difatti le minacce per la violazione dei dati personali a cui era soggetta una copia cartacea, erano nettamente inferiori a quelle di una copia elettronica; il risultato è che il fattore di rischio, calcolato in termini di gravità (l’impatto per l’interessato) e probabilità (la facilità che l’evento si possa concretizzare), tende a salire con la pubblicazione on-line di questi atti.
Come bilanciare, quindi, gli obblighi di pubblicazione online per finalità di trasparenza indicati nel d.lgs. 33/2013 con le nuove regole della privacy previste dal Regolamento (UE) 2016/679? E’ chiaro che questo richiede un’attività di verifica e di anonimizzazione che deve essere svolta a posteriori rispetto alla scrittura dell’atto e comunque preliminare alla sua pubblicazione. Una mole di lavoro non trascurabile per gli uffici comunali che si trovano già in gravi situazioni di sottorganico.
La completa entrata in vigore del Regolamento sulla tutela dei dati personali deve consentire di aprire una riflessione attenta sul concetto di privacy by-default dell’atto amministrativo che si può interpretare come la necessità di ripensare la struttura formale degli atti per minimizzare “ab origine” i dati personali, in modo da ridurre l’attività di anonimizzazione da fare prima della pubblicazione. Potrà essere sicuramente d’ausilio a questo cambiamento culturale lo sviluppo e l’utilizzo di piattaforme per la redazione di atti “well-formed” dal punto di vista della legittimità, così come l’applicazione dei codici di condotta previsti dal Gdpr che potrebbero essere un ottimo strumento di regolamentazione e standardizzazione per gli atti della Pubblica Amministrazione.
