Il primo dei tre eventi organizzato da Ancitel in occasione della XXXV Assemblea Nazionale ANCI di Rimini ha avuto l’obiettivo di fare il punto sulla normativa Privacy a 5 mesi dall’entrata in vigore del Regolamento EU 2016/679.

Una folta affluenza, grazie alla partecipazione di decine e decine di tecnici comunali ampiamente rappresentativi sia delle varie realtà geografiche del Paese che dello spettro di funzioni chiamate in causa dal tema (funzionari, istruttori, dirigenti, responsabili di polizia municipale, responsabili di area tecnica, segretari comunali, DPO, ecc. Presenti anche diversi amministratori locali) ha fatto da cornice a una serie di interventi mirati a chiarire i diversi e complessi aspetti della normativa e delle sue implicazioni organizzative. Il taglio scelto non è stato quello strettamente seminariale giuridico e “frontale”, previlegiando invece gli aspetti operativi e tentando di dare voce ai Comuni, fornendo una sintesi delle esperienze sin qui raccolte da Ancitel e lasciando spazio agli interventi dei partecipanti, che non sono mancati.

L’apertura dei lavori ha visto il saluto dell’amministratore delegato di Ancitel Franco Minucci, che ha ricordato l’importanza del tema oggetto di discussione e le grandi difficoltà incontrate dai Comuni, soprattutto quelli di piccola dimensione. Ancitel -ha ricordato Minucci- già nel 1996 fu protagonista nel “primo soccorso” agli Enti Locali ai tempi dei primi testi di legge in materia di Privacy, sviluppando competenze e una tradizione che si sono consolidate nel 2003 e in tutti i passaggi successivi che hanno visto evolvere il tema fino ai giorni nostri. L’Ad ha concluso il suo intervento ricordando come già nell’Assemblea ANCI 2017 Ancitel avesse organizzato un appuntamento nazionale sulla Privacy, lanciando un warning sulla futura entrata in vigore della normativa europea e lanciando una prima indagine online rivolta ai Comuni per rilevarne il livello di consapevolezza e di compliance. E facendo seguire una seconda tornata di raffronto dell’indagine stessa da maggio 2018 alle scorse settimane.

I risultati di queste due rilevazioni sono quindi stati illustrati dalla responsabile della Direzione Commerciale Ancitel Anna Rita Marocchi.

Una prima riflessione su cui la relatrice ha fatto mente locale con i presenti è stato quello cronologico: dopo il grande sforzo di adeguamento che si è dispiegato nei Comuni tra il 1996 e il 2003, il tema privacy è, di fatto, via via trascolorato per più di un decennio. Un eloquente indicatore è costituito dal fatto che le due indagini Ancitel rivelano un prima e un dopo rispetto all’entrata in vigore del GDPR il 26 maggio 2018: prima bel il 71% dei Comuni sondati non aveva figure di riferimento al proprio interno dedicate alla privacy. A 5 mesi dall’entrata in vigore, invece, l’82% ha individuato e nominato una figura esterna all’Ente in qualità di Responsabile Protezione Dati.

Altro dato su cui Marocchi si è soffermata è quello della spesa annuale (indicatore indiretto anche dell’effettivo volume delle attività) destinata alla privacy: ancora molto contenuta, dato che in oltre il 50% dei Comuni rilevati essa risulta inferiore ai 5.000 euro.

Tre macroproblemi sono poi stati rilevati: le dinamiche organizzative (ostacolo principale alla piena attuazione della normativa per il 74% degli intervistati), la formazione (carente e disomogenea tra i vari settori comunali anche nei casi in cui viene fatta) e gli aspetti di information technology.

L’adeguamento alla normativa è per ora avvenuto con una dose massiccia (il 41%)  di metodologie di tipo tradizionale (cartaceo, excel ecc), con qualche tentativo di sviluppo di applicativi propri (9,6%) e con un deciso ricorso al mercato e ad applicativi esterni nel quasi 50% rimanente.

L’ultimo aspetto che emerge dall’indagine è quello relativo alle aspettative dei Comuni relative ad Ancitel/ANCI: vengono richiesti principalmente supporti per una corretta analisi organizzativa, per una puntuale mappatura e analisi del rischio e per il registro dei trattamenti.

Tutti aspetti, ha evidenziato Marocchi, su cui Ancitel sta già dando risposte grazie al proprio LABORATORIO PRIVACY, le cui soluzioni principali sono gratuite per i Comuni fino a 3.000 abitanti.

Gli interventi successivi sono stati svolti da Vincenzo Russo (Vicesegretario generale del Comune di Gubbio che ha portato con notevole pathos l’esperienza del proprio ente parlando di Privacy by design e privacy by default rispetto alla pubblicazione degli atti) , da Fabrizio Brignolo (Responsabile Protezione dati per diversi piccoli Comuni del Piemonte, che ha portato una serie di esperienze  e casi pratici relativi appunto agli enti di minor dimensione demografica) e da Andrea Vertua (Data Protection Consultant, che ha riflettuto sull’organizzazione e l’analisi del rischio e sugli effetti del GDPR sulla PA).

La sessione di lavoro ha trovato la migliore e più autorevole delle conclusioni con la lettura di un indirizzo di saluto, ricco di preziosi stimoli, fatto pervenire dal dott. Francesco Modafferi, dirigente del Dipartimento Realtà pubbliche dell’Autorità Garante per la protezione dei dati personali, impossibilitato a partecipare in presenza.

“Sono molto dispiaciuto di non poter prendere parte alla discussione odierna. Ci tenevo molto ad un confronto con tutti i soggetti che, all’interno degli enti locali, sono impegnati in questa complessa opera di adeguamento delle attività di trattamento ai principi contenuti nel Regolamento (UE) 679/2016 e nel d.lgs 101/2018.

Ci sono molteplici aspetti che avremmo potuto discutere insieme ma, nell’impossibilità di farlo, segnalo due temi alla vostra attenzione che devono essere tenuti in particolare considerazione:

1. è fondamentale ricordarsi sempre, quando si affronta la tematica della protezione dei dati personali, che il punto di partenza è rappresentato dalla corretta applicazione dei principi, ora contenuti nell’art. 5 del Regolamento. In sostanza, rispetto a un singolo trattamento, dobbiamo sempre porci nelle condizioni di saper rispondere a tutte queste domande:

   LICEITÀ: Quale è la base giuridica in funzione della quale effettuiamo  il trattamento?

   FINALITÀ: Quali sono le finalità, per le quali i dati sono trattati?

   TRASPARENZA: Abbiamo previsto le modalità attraverso le quali informare l’interessato sul trattamento?

   CORRETTEZZA: C’è congruenza tra quanto prospettato all’interessato e il trattamento che faremo?

   MINIMIZZAZIONE: I dati che tratteremo sono adeguati, pertinenti e limitati a quanto necessario rispetto alle nostre finalità?

   ESATTEZZA: Abbiamo previsto  tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ?

   CONSERVAZIONE: Abbiamo previsto che i dati siano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità?

   INTEGRITÀ E RISERVATEZZA: Abbiamo adottato misure tecniche e organizzative adeguate per proteggere i dati da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali?

   La risposta corretta ad ognuna di queste domande rappresenta la parte più significativa per verificare l’adeguatezza del nostro trattamento DOPO, SOLO DOPO, PENSARE AGLI ADEMPIMENTI CHE DOBBIAMO ADOTTARE! Partire dagli adempimenti nell’affrontare il tema privacy è un atteggiamento sbagliato che rischia spesso di farci perdere di vista aspetti molto importanti;

2. con riferimento invece ai RPD richiamo quanto ho recentemente scritto in un articolo pubblicato su Agenda digitale. In merito sottolineo soprattutto che i RPD dovrebbero cercare di non isolarsi all’interno delle singole realtà organizzative, ma confrontarsi e dialogare con i colleghi che operano nel medesimo settore (ad esempio enti di ricerca, ministeri, regioni, comuni, società in house, ecc.) nella consapevolezza che spesso i problemi, o le difficoltà, che si devono affrontare sono simili. Un atteggiamento cooperativo consente, da un lato, di rendere il processo di adeguamento più rapido e, dall’altro, di essere più sicuri rispetto alla correttezza delle decisioni che si devono assumere.

   Diventa anche più facile l’interazione con l’Autorità di controllo, che potrebbe essere coinvolta solo su questioni che non hanno trovato un’adeguata soluzione all’interno della rete dei RPD, risultando molto più semplice ed efficace fornire chiarimenti generali, utili a un intero settore.

   Questa è stata anche l’indicazione emersa nell’ambito del primo incontro tra il Garante e i RPD, tenutosi a Bologna il 24 maggio ultimo scorso, che speriamo possa trovare pratica attuazione nei prossimi mesi, con una missione ben precisa: accorciare rapidamente la distanza tra la prassi in atto e le nuove regole!”

La mattinata di oggi  è la prima tappa di un percorso che vedrà Ancitel impegnata su una serie di workshop tesi a rafforzare la rete dei DPO.

Le aree tematiche che verranno trattate riguarderanno principalmente:

• scelta del modello organizzativo ;
• pubblicazione e accesso agli atti;
• assessment e analisi del rischio;
• iter per la DPIA.

I primi due appuntamenti sono in corso di programmazione a Roma (metà novembre) e a Bologna (metà dicembre).