Anche Comuni ed Enti Locali sono tenuti, a partire dal 25 maggio 2018, a conformarsi alle regole del Regolamento Generale sulla Protezione dei dati personali (Regolamento UE 679/2016 – “RGPD” o “GDPR”).
Vai allo Speciale GDPR nelle PA.
Con il Quaderno operativo dell’ANCI su “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali”, l’Anci ha elencato una serie di istruzioni tecniche, linee guida, note e modulistica utili all’ente locale nel districarsi nella nuova normativa in tema di privacy.
L’applicazione della normativa europea ricade sul titolare del trattamento dei dati, ovvero il Sindaco nei comuni, che dovrà ottemperare sostanzialmente tre obblighi:
- viene istituita la figura obbligatoria del Responsabile della protezione dei dati, incaricato di assicurare una gestione corretta dei dati personali negli enti. Tale figura può essere individuata tra il personale dipendente in organico, oppure è possibile procedere a un affidamento all’esterno, in base a un contratto di servizi;
- viene introdotto il Registro delle attività del trattamento ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate dall’ente. Il Registro dovrà contenere specifici dati indicati dal RGPD;
- viene richiesto agli enti l’obbligo, prima di procedere al trattamento, di effettuare una valutazione di impatto sulla protezione dei dati. Tale adempimento è richiesto quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. (Si pensi, ad esempio, ai dati ottenuti dalla sorveglianza di zone accessibili al pubblico).
I soggetti coinvolti all’interno dell’Ente locale
Dal punto di vista dei soggetti coinvolti, nell’Ente locale si distinguono 4 soggetti.
Il Titolare del trattamento
L’autorità pubblica (il Comune o altro ente locale) che singolarmente o insieme ad altri determina finalità e mezzi del trattamento di dati personali.
Il Responsabile del trattamento
Il Dirigente/Responsabile P.O., oppure il soggetto pubblico o privato, che tratta dati personali per conto del Titolare del trattamento.
Il Sub-Responsabile del trattamento
Il dipendente della struttura organizzativa del Comune, incaricato dal Responsabile del trattamento, per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento (elabora o utilizza materialmente i dati personali).
Il Responsabile per la protezione dati – RPD
Il dipendente della struttura organizzativa del Comune, il professionista privato o impresa esterna, incaricati dal Titolare o dal Responsabile del trattamento.
I primi obblighi per i comuni nell’attuazione del regolamento privacy
Schematicamente, i primi adempimenti che è necessario porre in essere in un Comune (teoricamente prima del 25 maggio 2018) sono:
– la nomina del RPD;
– l’adozione del Registro dei trattamenti di dati personali (obbligatorio per il Titolare) e del Registro delle categorie di attività trattate da ciascun Responsabile del trattamento, che hanno contenuti obbligatori previsti specificamente dal RGPD. I registri possono comprendere anche altre informazioni non obbligatorie, al fine di garantire il perfetto allineamento con i principali “oggetti” (mappa dei processi, organigramma dell’ente, portafoglio fornitori, mappa degli applicativi);
– la mappatura dei processi.
