PA digitale: a che punto siamo? Mercato e PA a confronto
Dopo il successo dell'appuntamento tenutosi lo scorso 13 ottobre, ANORC Professioni, con il Patrocinio di AIFAG, ha organizzato il 9 febbraio 2017 a Roma (Auditorium sede centrale dell’INAIL - P.le Pastore, 6) un secondo incontro per PA e mercato anche alla luce delle recenti modifiche del Codice dell'Amministrazione Digitale, apportate dal D. Lgs. n. 179/2016.
Durante la giornata si è tenuto il confronto tra importanti amministrazioni centrali e i referenti del mercato IT, che si occupano di conservazione digitale e firme elettroniche, su:
modelli di governance adeguati a sostenere questo cambiamento
definizione dell'organigramma delle competenze necessarie e livelli di professionalità indispensabili a costituire i team di trasformazione digitale
clausole contrattuali più opportune per definire al meglio le reciproche responsabilità
verifica della questione grave, delicata e intricata della certificazione dei conservatori accreditati
L'evento è stato patrocinato da AgID (Agenzia per l'Italia digitale) e dal Garante per la protezione dei dati personali.
2. Ø Il Regolamento UE 2016/679 rovescia la prospettiva della
disciplina in materia di protezione dei dati personali in quanto
tutto il nuovo quadro normativo è prevalentemente incentrato sui
doveri e sulla responsabilizzazione del titolare del trattamento
(accountability);
Ø Il titolare, quale soggetto che determina le finalità del
trattamento, ha maggiore discrezionalità nel decidere come
conformarsi alle disposizioni del nuovo regolamento, ma ha
l’onere di dimostrare le ragioni a supporto di tali decisioni e le
motivazioni per cui ritiene che le medesime siano compliance con
il regolamento.
3. IL CONCETTO DI ACCOUNTABILITY (Art. 5)
Ø Paragrafo 1 - I dati personali sono:
• trattati in modo lecito, corretto e trasparente;
• raccolti per finalità determinate, esplicite e legittime;
• adeguati, pertinenti e limitati;
• esatti e, se necessario, aggiornati;
• conservati per un tempo non superiore al conseguimento
delle finalità per cui sono stati raccolti;
• trattati in modo da garantire un’adeguata sicurezza;
Ø Paragrafo 2 - “Il titolare del trattamento è competente per il
rispetto dei suddetti principi e in grado di comprovarlo
(responsabilizzazione).
4. IL CONCETTO DI ACCOUNTABILITY (Art. 24)
Ø Paragrafo 1 - Tenuto conto della natura, dell’ambito di
applicazione, del contesto e delle finalità del trattamento, nonché
dei rischi aventi probabilità e gravità diverse per i diritti e le
libertà delle persone fisiche, il titolare del trattamento mette in
atto misure tecniche e organizzative adeguate per garantire,
ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono
riesaminate e aggiornate qualora necessario;
Ø Paragrafo 2 - Se ciò è proporzionato rispetto alle attività di
trattamento, le misure di cui al paragrafo 1 includono
l’attuazione di politiche adeguate in materia di protezione dei
dati da parte del titolare del trattamento.
5. LE PRINCIPALI OBBLIGAZIONI DI COMPLIANCE IN MATERIA DI
PROTEZIONE DEI DATI PERSONALI PREVISTE NEL
REGOLAMENTO (UE) 2016/679
Privacy by
design e privacy
by default
Art. 25
Registri delle
attività di
trattamento
Art. 30
Responsabile
della protezione
dei dati (DPO)
Artt. 37, 38 e 39
Consultazione
preventiva
Art. 36
Notifica e
comunicazione
“data breach”
Artt. 33 e 34
Sicurezza dei
dati
Art. 32
Valutazione
d’impatto sulla
protezione dei dati
Art. 35
6. IL RESPONSABILE DELLA PROTEZIONE DEI DATI
(Data Protection Officer – DPO) – art. 37 - designazione
La designazione del DPO da parte del titolare e del responsabile è
obbligatoria quando il trattamento:
Ø è effettuato da un’autorità pubblica o da un organismo pubblico,
eccettuate le autorità giurisdizionali;
Ø consiste in attività di monitoraggio regolare e sistematico su larga
scala;
Ø riguarda categorie particolari di dati personali (art. 9) e dati
relativi a condanne penali e a reati (art. 10) su larga scala;
Il diritto dell’Unione o degli Stati membri possono prevedere altri
casi per i quali è obbligatorio designare un DPO
7. IL RESPONSABILE DELLA PROTEZIONE DEI DATI
(Data Protection Officer – DPO) – art. 37 - designazione
Nei seguenti casi è possibile designare un unico DPO
Gruppo di
imprese
(paragrafo 2)
Più autorità
pubbliche o
organismi
pubblici
(paragrafo 3)
Associazioni
di categoria
(paragrafo 4)
A condizione che sia facilmente raggiungibile
da tutte le sedi operative delle imprese
Tenuto conto della struttura organizzativa e
della dimensione (es. piccoli comuni)
Può agire per dette associazioni e altri organismi
rappresentanti i titolari o i responsabili del
trattamento
8. IL RESPONSABILE DELLA PROTEZIONE DEI DATI
(Data Protection Officer – DPO) – art. 37 - designazione
Ø è designato in funzione della conoscenza specialistica della
normativa in materia di protezione dei dati personali e della
qualificata esperienza sull’applicazione della stessa;
Ø può essere un dipendente del titolare o del responsabile del
trattamento oppure un professionista o una società sulla base di
un contratto di servizi (assenza conflitto di interessi);
Ø I dati di contatto del DPO devono essere resi pubblici e
comunicati all’autorità di controllo.
9. IL RESPONSABILE DELLA PROTEZIONE DEI DATI
(Data Protection Officer – DPO) – art. 38 – posizione
Ø deve essere tempestivamente e adeguatamente coinvolto in tutte le
questioni riguardanti la protezione dei dati personali;
Ø deve essere sostenuto nell’esecuzione dei suoi compiti con le necessarie
risorse umane, tecnologiche e finanziarie;
Ø non deve ricevere alcuna istruzione per quanto riguarda l’esecuzione dei
propri compiti;
Ø non può essere rimosso o penalizzato per l’adempimento dei propri
compiti;
Ø riferisce direttamente al vertice gerarchico;
Ø funge da punto di contatto per gli interessati per tutte le questioni relative
al trattamento dei loro dati personali e all’esercizio dei loro diritti.
10. IL RESPONSABILE DELLA PROTEZIONE DEI DATI
(Data Protection Officer – DPO) – art. 39 – compiti
Il DPO è incaricato almeno dei seguenti compiti:
Ø informare e fornire consulenza al titolare o al responsabile del trattamento, nonché
ai dipendenti in merito agli obblighi derivanti dal regolamento o da altre norme
dell’Unione o degli Stati membri in materia di protezione dei dati personali;
Ø sorvegliare l’osservanza delle leggi e delle politiche adottate dal titolare o dal
responsabile del trattamento in materia di protezione dei dati personali, compresi
l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale
che partecipa ai trattamenti e alle connesse attività di controllo;
Ø fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione
dei dati e sorvegliarne lo svolgimento;
Ø cooperare con l’autorità di controllo;
Ø fungere da punto di contatto per l’autorità di controllo per questioni connesse al
trattamento, tra cui la consultazione preventiva di cui all’articolo 36 (la valutazione
d’impatto ha evidenziato un rischio elevato);
11. LINEE GUIDA DEL GRUPPO DI LAVORO WP29 SUL DATA
PROTECTION OFFICER DEL 13/12/2016
In considerazione che il Regolamento europeo attribuisce al DPO un
ruolo chiave nel nuovo sistema di governance per la protezione dei
dati personali, lo scopo di queste linee guida è quello di:
Ø chiarire le disposizioni contenute negli artt. 37, 38 e 39 al fine
non solo di aiutare i titolari e i responsabili del trattamento al
loro rispetto, ma anche di assistere il DPO nell’esercizio dei suoi
compiti;
Ø fornire utili raccomandazioni sulle best practies, sulla base
dell’esperienza acquisita in alcuni Stati membri dell’Unione
europea (Germania, Svezia, Paesi Bassi, Francia e Lussemburgo)