Diritto all’oblio e Pubblica amministrazione

Come noto, il Regolamento UE 2016/679 (c.d. GDPR: General Data Protection Regulation)  prevede all’articolo 17 il diritto all’oblio, ossia il diritto alla cancellazione dei propri dati personali. Questo diritto prevede l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato, ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione gli altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).

In tema di Pubblica Amministrazione questa disciplina va coordinata con le linee guida emanate dall’Autorità Garante nel maggio 2014 (provv. n. 243 del 15.05.2014) in materia di trattamento di dati personali (che siano contenuti anche in atti e documenti amministrativi), trattamento effettuato sul web per finalità di pubblicità e trasparenza da soggetti pubblici e da altri enti obbligati.

Secondo questa disciplina la Pubblica Amministrazione, anche nelle ipotesi di pubblicazione di atti o documenti ai sensi del D.Lgs n.33/2013, deve  rispettare i principi in tema di protezione dei dati personali, tra cui il principio di necessità, in base al quale il soggetto pubblico è tenuto a pubblicare i soli dati necessari per raggiungere le specifiche finalità di trasparenza perseguite con la pubblicazione on line dei documenti e degli atti amministrativi.

Il rispetto dei principi c.d “privacy” e il coordinamento della disciplina regolamentaria in tema di diritto all’oblio con i provvedimenti amministrativi dettati dall’Autorità Garante per la protezione dei dati personali sono, da soli, elementi tali che consentono di comprendere la ratio legis dell’obbligatorietà del c.d. Data Protection Officer per i soggetti pubblici.

Come noto, ai sensi dell’articolo 37, paragrafo 1, lettera a) GDPR, il titolare del trattamento designa sistematicamente un responsabile della protezione dei dati (c.d. D.P.O) ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.

Competenza, professionalità, conoscenza della normativa “privacy” e del settore in cui trova applicazione sono alcune delle skills che connotano la figura del D.P.O. Si pensi, a titolo esemplificativo, all’articolo 17 in tema di diritto all’oblio; quest’ultimo ha un campo di applicazione più ampio di quello di cui all’art. 7, comma 3, lettera b), del Codice Privacy (D.Lgs 196/2003), poiché  l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo la revoca del consenso al trattamento.

In questi termini l’articolo 17, paragrafo 1, lettera b), secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento.

In conclusione, anche la Pubblica Amministrazione dovrà adottare un approccio “data protection by default and by design” nella pubblicazione di atti o documenti amministrativi per finalità di trasparenza, ossia dovrà   configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento  e tutelare i diritti degli interessati.

In altri termini, significa in primis effettuare una valutazione di impatto privacy su cosa pubblicare e poi su come pubblicare e solo una figura particolarmente competente potrà garantire il rispetto della disciplina e tutelare il titolare del trattamento da possibili sanzioni.

Consigliamo la lettura di

Marco Soffientini

Scrivi un commento

Accedi per poter inserire un commento