Regolamento UE 2016/679 e Pubblica Amministrazione

Con l’entrata in vigore a maggio 2016[1] del Regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), l’Unione Europea si avvia verso una stagione di  nuove regole per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Il Regolamento UE 2016/679

Il Regolamento UE 2016/679 non contiene una formale bipartizione tra titolari [2] pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si  occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art.9, comma 2, per i dati sensibili), anche se poi, come vedremo tra breve, alcune di esse riguardano esclusivamente lo svolgimento di attività pubbliche.

Il nuovo Regolamento, quindi, non si sofferma sulla natura pubblica o privata del titolare del trattamento, ma sulla tipologia di trattamento, che scaturisce dall’attività svolta dal titolare.

La differenza con il Codice Privacy

Infatti, a differenza del Codice Privacy (D.lgs n.196/2003), il nuovo regolamento europeo non contiene la suddivisione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici, come accadeva con il Capo II del Codice Privacy, dove, ad eccezione del settore sanitario, si menzionava l’istituto del consenso quale elemento distintivo tra titolari privati e titolari pubblici.

Così,  tra le cause di liceità del trattamento comuni a qualsiasi titolare sancite dall’articolo 6 del Regolamento, rinveniamo una tipica causa di liceità propria dei soggetti pubblici, quale l’esecuzione di compiti di interesse pubblico o l’esercizio di pubblici poteri (art. 6, comma 1, lett. e)).

L’esecuzione di compiti di interesse pubblico o l’esercizio di pubblici poteri

Sul punto, è interessante notare che esistono diverse attività, svolte da soggetti pubblici, che non sono tecnicamente qualificabili come “compiti”, ed è questo il caso, sottolineano i Garanti europei, dell’attività di videosorveglianza di strutture pubbliche. In questi casi, premesso che non si tratta di veri e propri compiti,  c’è da domandarsi quale sia la condizione di liceità che consente ai soggetti pubblici di svolgere attività di videosorveglianza. Il gruppo dei Garanti Europei, già nell’aprile 2014, affrontò il problema con riferimento alla Direttiva 95/46/Ce, stabilendo che tale attività risultava lecita quando rispondeva ad un interesse pubblico riconducibile ai punti e) o f) dell’articolo 7 della suindicata direttiva.[3]

A questa considerazione, oggi, si può aggiungere quanto indicato dal regolamento europeo in tema di dati sensibili, che consente lo svolgimento di attività, che non possono qualificarsi come veri e propri compiti, in tutti quei casi in cui il relativo trattamento sia “necessario per motivi di interesse pubblico rilevante”. (art. 9, comma 2, lett. g) Reg. UE.).

Posto che il regolamento non contiene un set di  norme specifiche per il settore pubblico, per comprendere le diverse novità che investiranno anche il settore della Pubblica Amministrazione si dovrà esaminare l’intero corpo normativo regolamentare. Non essendo questa la sede per una disamina dei molteplici profili di impatto privacy del nuovo regolamento sulle P.A.,  merita soffermarsi sull’obbligo di comunicazione di eventuali violazioni dei dati personali, (non previsto nella precedente direttiva 95/46/CE): la c.d. data breach notification.   Ai sensi degli articoli 33 e 34 Reg. UE, il Titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) – senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza – all’Autorità nazionale di protezione dei dati.

Quali novità?

Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Già da questa “novità” si intuisce la necessità, anche da parte dei soggetti pubblici, di dotarsi di persone competenti nella gestione dei modelli privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti.  Da qui, si comprende la portata di un’altra “novella” di rilievo e cioè l’introduzione obbligatoria della figura del Data Protection Officer.  Si tratta di una figura professionale, che, come sottolineato anche dal Gruppo dei Garanti Europei c.d “Articolo 29” nel parere emanato il 13 dicembre 2016, rappresenta una figura chiave del nuovo Regolamento europeo. [4]

[1] Il Regolamento si applicherà dal 25 maggio 2018 (art. 99 Reg. UE 2016/679).

[2] Il titolare del trattamento  è definito all’art.4, primo paragrafo, punto 7 Reg. UE “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

[3] Vedi pag. 27 WP 217 – Opinion 06/2014 on the notion of legitimate interest of the data controller under article 7 of Directive 95/46/EC.

[4] Data Protection Officers will be at the heart of this new legal framework for many organisations, facilitating compliance with the provisions of the GDPR. WP 243 – Guidlines on Data Protection Officers – adopted on 13 December 2016.

Marco Soffientini

Scrivi un commento

Accedi per poter inserire un commento