Anche Comuni ed Enti Locali sono tenuti, a partire dal 25 maggio 2018, a conformarsi alle regole del Regolamento Generale sulla Protezione dei dati personali (Regolamento UE 679/2016 – “RGPD” o “GDPR”).
Diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il DPO, la trasparenza del responsabile trattamento e altre misure.
Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l’Italia all’adozione del Codice Privacy (D. Lgs. n. 196/2003), norme adottate in un contesto tecnologico completamente diverso, prima che internet, social media, cloud e servizi in rete cambiassero definitivamente il nostro modo di vivere e lavorare.
Le nuove norme, tra le altre cose, mirano proprio ad adeguare il livello di protezione dei dati all’evoluzione degli strumenti utilizzati in un’amministrazione che voglia dirsi digitale.
I soggetti coinvolti all’interno dell’Ente locale
Dal punto di vista dei soggetti coinvolti, nell’Ente locale si distinguono 4 soggetti.
Il Titolare del trattamento
L’autorità pubblica (il Comune o altro ente locale) che singolarmente o insieme ad altri determina finalità e mezzi del trattamento di dati personali.
Il Responsabile del trattamento
Il Dirigente/Responsabile P.O., oppure il soggetto pubblico o privato, che tratta dati personali per conto del Titolare del trattamento.
Il Sub-Responsabile del trattamento
Il dipendente della struttura organizzativa del Comune, incaricato dal Responsabile del trattamento, per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento (elabora o utilizza materialmente i dati personali).
Il Responsabile per la protezione dati – RPD
Il dipendente della struttura organizzativa del Comune, il professionista privato o impresa esterna, incaricati dal Titolare o dal Responsabile del trattamento.
I primi obblighi per i comuni nell’attuazione del regolamento privacy
Schematicamente, i primi adempimenti che è necessario porre in essere in un Comune (teoricamente prima del 25 maggio 2018) sono:
– la nomina del RPD;
– l’adozione del Registro dei trattamenti di dati personali (obbligatorio per il Titolare) e del Registro delle categorie di attività trattate da ciascun Responsabile del trattamento, che hanno contenuti obbligatori previsti specificamente dal RGPD. I registri possono comprendere anche altre informazioni non obbligatorie, al fine di garantire il perfetto allineamento con i principali “oggetti” (mappa dei processi, organigramma dell’ente, portafoglio fornitori, mappa degli applicativi);
– la mappatura dei processi.
Scarica esempio trattamenti enti pubblici per il software privacy