PA e regolamento privacy: un vademecum
Su Agenda Digitale è stato pubblicato un vademecum a firma di Ernesto Belisario dedicato ai passaggi che le pubbliche amministrazioni dovranno compiere per adeguarsi a quanto richiesto dal nuovo Regolamento europeo in materia di dati personali. L’abstract recita quanto segue: “diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il DPO, la trasparenza del responsabile trattamento e altre misure. Ecco la guida completa”
Innanzitutto - scrive Belisario introducendo la questione - è importante comprendere che il 25 maggio 2018 è solo la data in cui le amministrazioni – come tutti gli altri soggetti giuridici – inizieranno ad applicare il regolamento e diventeranno cogenti le responsabilità e le sanzioni previste dal GDPR.
Attenzione, quindi, a non cadere nella tentazione (purtroppo frequente nel settore pubblico) di approcciare alla scadenza come qualcosa di cui preoccuparsi in modo formalistico e burocratico. Tale approccio consiste nel “mettere le carte a posto” entro il giorno previsto dal legislatore per poi disinteressarsi delle tematiche privacy.
Ebbene, il GDPR mal si presta a questa “cultura dell’adempimento”, essendo basato sul principio di accountability (tradotto in italiano come “responsabilizzazione”) in virtù del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali effettuato è conforme al GDPR (art. 5, par. 2).
Questo significa che – ammesso anche di aver provveduto all’adeguamento entro il 25 maggio 2018 – l’amministrazione dovrà comunque costantemente garantire, anche dopo tale data, la conformità di tutte le proprie attività alle regole europee.
È quindi importante comprendere che i processi innescati in queste settimane non esauriscono gli sforzi delle amministrazioni, ma rappresentano solo un’attività preparatoria a quanto gli enti dovranno porre in essere proprio a partire dalla data di piena applicabilità del GDPR…