Tag Archives: pubblica amministrazione

17 Nov 2017
This is image included in the post content

Regione Lombardia e Lombardia Informatica S.p.a. su impulso dell’Autorità Garante per la protezione dei dati personali organizzano il convegno dal titolo “IL GARANTE INCONTRA LA PUBBLICA AMMINISTRAZIONE: Il nuovo Regolamento UE in materia di protezione dei dati personali – Sviluppi e impatti per i soggetti pubblici”.

L’evento si terrà il 4 dicembre 2017 dalle ore 9.00 alle ore 17.30 presso la sede di Regione Lombardia Piazza Città di Lombardia. Il convegno è rivolto a tutte le Pubbliche Amministrazioni del Nord Italia (Regioni, Enti e società del sistema regionale, Comuni, Province. Comunità Montane, Università e Enti sanitari) e altri soggetti pubblici interessati secondo le indicazioni suggerite dall’Autorità Garante per la protezione dei dati personali.

(http://www.regione.lombardia.it/wps/portal/istituzionale/HP/istituzione/Agenda/DettaglioEvento/Istituzione/attivita-istituzionali/garante-incontra-pa)

18 Set 2017

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

 

Potrebbe Interessarti: http://www.patriziameo.it/privacy/il-nuovo-regolamento-europeo/

 

10 Lug 2017

L’Autorità Garante privacy ha avviato delle iniziative dedicate alle pubbliche amministrazioni in vista dell’applicazione del Regolamento europeo sulla protezione dati, prevista dal 25 maggio 2018. La prima di queste è la pubblicazione di una scheda informativa in cui vengono indicate le prime priorità che la PA dovrà mettere in atto.

SCHEDA INFORMATIVA
REGOLAMENTO 2016/679/UE: LE PRIORITA’ PER LE PA

La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Al fine di fornire un primo orientamento il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità:

1. la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate);

2. l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)

Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171);

3. la notifica delle violazioni dei dati personali (cd. data breach, art. 33 e 34)

Fondamentale appare anche, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.

(Fonte Garante Privacy)

13 Dic 2016

Il Garante ha dato il via libera ad un sistema di videosorveglianza intelligente da attivare presso l’edificio che ospita la sede della Città Metropolitana di Roma Capitale, volto a garantire la sicurezza degli accessi e la tutela del patrimonio.

Nel richiedere la verifica preliminare la Città Metropolitana ha motivato la necessità del sistema stante l’impossibilità  di vigilare 24 ore su 24 gli accessi e le uscite d’emergenza per mancanza di risorse umane ed economiche.

Esaminate le caratteristiche del sistema il Garante ha ritenuto proporzionato e quindi ammissibile il trattamento dei dati personali che la Città Metropolitana intende effettuare.

Le telecamere intelligenti, che controlleranno un edificio di trenta piani, destinato ad ospitare un numero molto elevato di dipendenti,  si attiveranno solo in caso di scavalco dei tornelli o di effrazione delle  uscite di emergenza. Nel caso di tentativo di accesso non autorizzato, rilevato da appositi sensori, il sistema invierà un segnale di allarme alla control room dell’edificio, presidiata 24 ore su 24 per tutto  l’anno da personale specializzato e adeguatamente formato.

La Città Metropolitana ha, inoltre, dichiarato che:

-“il sistema non rileva i percorsi degli interessati”;

-“le telecamere “intelligenti” sono spente nelle fasce orarie diurne e lavorative, più precisamente dalle ore 06:30 alle ore 20:30 dal lunedì al venerdì e si accendono in automatico al verificarsi di una effrazione. Nelle altre fasce orarie e nelle giornate non lavorative le telecamere in questione sono attive”;

-“sono state adottate le misure minime di sicurezza (artt. 31-36 del Codice in materia di protezione dei dati personali – d.lgs. 30 giugno 2003, n. 196 e disciplinare tecnico All. B al medesimo Codice)”;

-“agli interessati sarà fornita adeguata informativa”; i cartelli sono “apposti prima del raggio di azione delle telecamere, in posizione tale da garantirne la lettura anche nelle ore notturne”;

-“il sistema non ha alcuna finalità di controllo a distanza dell’attività dei lavoratori essendo interamente ed esclusivamente dedicato a garantire la sicurezza dell’edificio, dei lavoratori e dei beni dell’Ente oltre a quelli privati”;

-“il periodo di mantenimento delle immagini registrate è di 24 ore, a ricoprimento automatico tramite le funzioni rese disponibili dalla specifica piattaforma software che ne gestisce l’archiviazione”.

La Città metropolitana ha dichiarato che il sistema non ha alcuna finalità di controllo a distanza dell’attività dei lavoratori e non rileverà i percorsi degli interessati.

Roma Capitale ha inoltre dichiarato di aver adottato le misure minime di sicurezza, che fornirà agli interessati adeguata informativa e che conserverà le immagini solo per 24 ore.

2 Set 2016

Stop alla pubblicazione sul portale della Regione Basilicata dei dati personali di chi aspira a ricevere contributi per interventi di risparmio energetico, ma la cui domanda non è stata accolta, e dei dati di chi si trova in situazioni di disagio economico. A deciderlo il Garante della Privacy, che a seguito della segnalazione di un cittadino, ha stabilito che la Regione ha messo on line dati personali di migliaia di persone senza avere una idonea base normativa che glielo consentisse.

Gli obblighi di trasparenza previsti per legge stabiliscono infatti che vengano pubblicati on line solo i nominativi dei destinatari di sovvenzioni superiori a mille euro.

Dall’istruttoria del Garante è emerso, invece, che la Regione ha pubblicato, in graduatorie visibili a tutti, anche dati (il nominativo del richiedente, il codice identificativo, il costo preventivato complessivo, il contributo concedibile e, in alcuni casi, il motivo dell’esclusione) di persone che non avevano neanche ricevuto il contributo economico. Complessivamente sono stati messi on line, scaricabili e liberamente accessibili, dati personali relativi a oltre 10 mila persone di cui solo 935 beneficiari di contributi salvo scorrimento della graduatoria.

Le graduatorie, inoltre, essendo state formate in base all’Isee dei partecipanti, dando priorità ai soggetti che si trovano in condizioni di disagio economico, potrebbero rivelare situazioni di indigenza dei beneficiari collocati nei primi posti. L’Autorità privacy ha dunque vietato la diffusione in Internet dei dati personali riferiti a soggetti che non risultano destinatari del contributo economico (perché la relativa istanza è stata respinta o perché è ancora in fase istruttoria), nonché di quelli riferiti a soggetti la cui collocazione in graduatoria potrebbe rivelare una situazione di disagio economico.

La Regione dovrà conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni del Codice privacy,  prevedendo, ove necessario, un accesso alle informazioni delle graduatorie da parte degli interessanti mediante credenziali di autenticazione in aree ad accesso selezionato del sito web istituzionale, come previsto anche nelle Linee guida in materia di trasparenza e pubblicità (doc. web. 3134436).

Dopo l’intervento dell’Autorità la Regione ha dichiarato di aver provveduto alla cancellazione dei dati.

(Fonte Garante Privacy)

20 Mar 2016

Il Garante per la protezione dei dati personali ha espresso un parere condizionato sullo schema di decreto legislativo recante il riordino della disciplina sugli obblighi di pubblicità, trasparenza e informazioni da parte della pubbliche amministrazioni.

L’Autorità ritiene necessario, in primo luogo, sviluppare alcuni criteri di delega non adeguatamente articolati. Si propone quindi di razionalizzare e rimodulare gli obblighi di pubblicazione in funzione di tre criteri essenziali: grado di esposizione dei singoli titolari di funzioni pubbliche al rischio corruttivo, funzionalità del dato da pubblicare rispetto alla effettiva necessità di conoscenza da parte dei cittadini e bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati.

La trasparenza della P.A. deve garantire il diritto dei cittadini di essere informati sulla funzione pubblica ed il suo esercizio, rispettando la disciplina in materia di privacy. Il tema dell’applicazione delle disposizioni sulla trasparenza da parte della PA è, infatti, particolarmente complesso e necessita di un approccio equilibrato per evitare che i diritti fondamentali alla riservatezza e alla protezione dei dati possano essere gravemente pregiudicati da una diffusione, non adeguatamente regolamentata, di documenti che riportino delicate informazioni personali. Occorre quindi tenere in considerazione i rischi per la vita privata e per la dignità delle persone interessate che possono derivare da obblighi di pubblicazione sul web di dati personali non sempre indispensabili a fini di trasparenza. Rischi che emergono ancora di più in considerazione della delicatezza di alcune informazioni e della loro facile reperibilità grazie ai motori di ricerca.

L’Autorità ha anche chiesto di precisare meglio l’estensione degli obblighi di trasparenza, definendoli in maniera puntuale e non con un generico ed indeterminato rinvio alla “normativa vigente”.

A parere del Garante è irragionevole estendere automaticamente gli obblighi di trasparenza (come il mantenimento sul web per cinque anni, l’obbligo di indicizzazione, la vigilanza dell’Anac) e le relative sanzioni a tutti i dati, documenti, e informazioni resi pubblici sulla base di obblighi giuridici regolati da specifiche norme di settore, aventi spesso finalità notevolmente diverse (si pensi, ad esempio, alle pubblicazioni matrimoniali).

Alcune modifiche sono poi suggerite rispetto alla disciplina dell’accesso modellata sull’esempio del FOIA (Freedom of Information Act) anglosassone che, salvo alcune eccezioni, sancisce il diritto di chiunque di accedere a dati e documenti detenuti dalle pubbliche amministrazioni, anche senza motivazione.

Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche, chiunque «ha diritto di accedere ai dati e documenti detenuti dalle pubbliche amministrazioni», senza alcuna limitazione quanto alla legittimazione soggettiva del richiedente e senza motivazione, salvo le eccezioni previste dall’art. 5-bis (che prevedono ipotesi in cui l’accesso civico debba essere rifiutato perché reca pregiudizi a interessi pubblici e privati).

Anzitutto, ove si richieda di accedere a dati personali, il Garante propone di accogliere l’istanza solo se funzionale a un interesse ritenuto prevalente rispetto al diritto alla riservatezza, ovvero oscurando i dati personali presenti. L’Autorità propone anche di escludere l’accesso a dati sensibili, giudiziari o di minori, in ragione della tutela rafforzata che l’ordinamento riconosce a tali dati.

Si suggerisce poi di demandare a un regolamento attuativo l’individuazione, nel dettaglio, delle categorie di dati e documenti suscettibili di accesso e dei casi di rigetto dell’istanza a fini di tutela delle persone interessate. Questo per evitare, in assenza di parametri certi, interpretazioni difformi da parte delle singole amministrazioni, tali da poter determinare un diverso grado di tutela della riservatezza e un’ ingiustificata disparità di trattamento per i cittadini.

In assenza delle modifiche richieste dal Garante vi è, infatti, il rischio di errate interpretazioni da parte delle diverse amministrazioni, suscettibili di comportare conseguenze paradossali.

Si pensi all’accoglimento di una richiesta di accesso alla lista nominativa dei bambini iscritti a una scuola, corredata dagli ulteriori dati di cui questa dispone (dal domicilio alla composizione o allo stato reddituale della famiglia, a eventuali disabilità). O si consideri un’istanza di accesso all’anagrafe tributaria, ove confluiscono, tra gli altri, tutti i dati relativi a saldi, movimenti e giacenza media dei conti correnti dei cittadini. Per non pensare all’ostensione, a chiunque ne faccia richiesta, di informazioni sulla salute o la vita sessuale dei singoli, detenuti da strutture ospedaliere e di cura.

Per quanto riguarda la durata degli obblighi di pubblicazione, lo schema indica un termine generale di pubblicità dei dati di 5 anni, decorrenti dal 1° gennaio dell’anno successivo a quello da cui decorre l’obbligo di pubblicazione, seppur con l’indicazione tre deroghe che giustificano l’ostensione anche allo scadere e/o a prescindere dal termine di 5 anni. Il Garante ha osservato che tale termine, applicabile indiscriminatamente a qualunque tipo di dato, non è compatibile con il principio, di origine comunitaria, di proporzione tra il tempo in cui l’atto rimane pubblico e le finalità per le quali esso è reso noto o trattato, principio peraltro recepito dal Codice in materia di protezione dei dati personali all’art. 11, c. 1, lett. d) ed e) ed all’art. 7, c. 3, lett. b).

L’Autorità suggerisce, infine, di disciplinare con criteri di maggiore proporzionalità gli obblighi di pubblicazione dei dati patrimoniali per il personale pubblico (e i relativi coniugi e parenti entro il secondo grado), modulando gli obblighi di trasparenza a seconda del ruolo e della carica ricoperta. Lo scopo è quello di evitare che – con la prevista estensione ai dirigenti degli obblighi stabiliti per i titolari di incarichi politici – si determinino ingerenze eccessive nella vita privata di un ambito vastissimo di dipendenti pubblici (sarebbero oltre 140 mila i dirigenti tenuti alla pubblicazione della situazione patrimoniale, senza contare coniugi e parenti fino al secondo grado).

 

(Parere 3 marzo 2016 Garante Privacy)