05/06/2019 – Molti Comuni non sono ancora in regola con il GDPR

 05/06/2019 

La situazione è grave. Non si tratta di allarmismo inutile, difatti il discorso privacy all’interno della Pubblica Amministrazione della penisola è tutt’altro che definito, questo mette in serio pericolo i dati personali dei cittadini, che andrebbero protetti e tutelati come stabilito dalla Carta dei diritti fondamentali dell’Unione Europea, rafforzata dal GDPR.

Facciamo qualche passo indietro, il GDPR (General Data Protection Regulation) è il nuovo regolamento europeo relativo alla protezione delle persone fisiche, ponendo una maggiore attenzione sul trattamento e la circolazione dei dati personali. L’approvazione di questo regolamento risale ormai al lontano 27 Aprile 2016, l’effettiva entrata in vigore per evitare traumi negli iter burocratici è stata fissata per due anni dopo, precisamente il 25 maggio 2018.

I criteri fondanti l’impianto di questo nuovo regolamento non sono molti, ma di importanza fondamentale. Partiamo dalla portabilità dei dati, l’introduzione del diritto inderogabile di trasferire i propri dati personali da un Titolare del Trattamento ad altri. Tale regola fa eccezione nei casi in cui gli stessi siano contenuti in archivi pubblici, come le anagrafi comunali, in questo particolare caso non sarà possibile richiedere ed esercitare tale diritto. Non sarà nemmeno possibile trasferire i propri dati verso Paesi non europei o organizzazioni internazionali che non hanno aderito al GDPR.

Un’altra novità degna di nota è il principio di responsabilizzazione (accountability), quest’ultimo obbliga i titolari del trattamento a considerare i rischi che una gestione poco attenta dei dati personali altrui potrebbe portare a conseguenze più o meno gravi per i diritti e le libertà dei diretti interessati.

Il Regolamento UE 679/2016 ha anche introdotto la figura del DPO (Data Protection Officer), tradotto in italiano come RPD (Responsabile della Protezione dei Dati). Questa figura è di elevata importanza, in quanto incaricato di controllare che nelle imprese o negli Enti i dati personali vengano gestiti in conformità alla normativa vigente. Il DPO o RPD è un soggetto totalmente indipendente, in quanto non riceve istruzioni di alcun tipo, esso inoltre riferisce direttamente al vertice segnalando le incongruenze e incitando l’Ente a modificare comportamenti abitudinari e non conformi al nuovo regolamento privacy. Questa figura, deve essere individuate analizzando le qualità professionali e la conoscenza in profondità della normativa.

Ultima novità, ma non per importanza è la gestione dei Data Breach (Violazione dei Dati). L’approccio adottato fino ad ora è spesso ricco di falle e poco incisivo, ecco perché con il nuovo impianto normativo è richiesto un approccio maggiormente cooperativo tra le parti in causa, partendo dal Titolare del Trattamento. Infatti, quest’ultimo dovrà comunicare prontamente al Garante della Privacy le eventuali violazioni e porre in essere tutte le misure possibili per evitare la distruzione e/o esfiltrazione dei dati.

Vista l’enorme mole di modifiche che l’impianto burocratico degli Enti Pubblici avrebbe dovuto adottare, il Governo aveva deciso tramite il D.Lgs 101/2018 di fornire un “periodo di grazia” di 6 mesi, il quale avrebbe permesso di applicare tutte le novità prevista dal Regolamento UE 679/2016.

Una serie di controlli effettuati da Federprivacy ha riportato che su 3000 siti web di Comuni tra ottobre 2018 e marzo 2019, solo un quarto si è adeguato alla normativa. Infatti ben 1079 siti non presentavano i dati di contatto del DPO, impedendo ai cittadini di sapere come esercitare i diritti riconosciuti dal Regolamento UE. Il 34% dei Comuni inoltre non possiede alcuna informativa sul trattamento dei dati personali.

Purtroppo molti Comuni italiani, non hanno nemmeno ottemperato a mettere in sicurezza i propri siti web, difatti ben 1.435 di essi non posseggono il protocollo https, permettendo così agli hacker di intercettare i dati personali trasmessi.

La mancata adesione o rispetto della nuova normativa europea non solo comporta gravi multe (fino ai 20 milioni di euro), ma anche un danno alla collettività, in quanto nel mondo attuale anche un il furto di un singolo dato potrebbe comportare conseguenze indesiderate.