SEZIONE: TECNOLOGIA E INNOVAZIONE
GDPR

Brescia e privacy un approccio organizzato e sistematico

18 Luglio 2018
 

di Luca Mattiello, Coordinatore del Gruppo di lavoro privacy del Comune di Brescia

 

Con riferimento all’adozione ed all’entrata in vigore del Regolamento UE 2016/679 in materia di privacy, il Comune di Brescia ha ritenuto di seguire un percorso di studio ed adeguamento avviato con largo anticipo rispetto alla data di applicazione del regolamento, fissata dal medesimo al 25 maggio 2018.

Già nel mese di novembre 2017 si è reso operativo un gruppo di lavoro interno nominato dal Direttore generale dr. Giandomenico Brambilla, con lo scopo di individuare ed approfondire le novità introdotte dalla nuova normativa europea e di individuare interpretazioni e modalità applicative agli uffici dell’Ente.

Il gruppo di lavoro è stato composto da dipendenti dell’Ente rappresentativi delle aree più significative sotto il profilo delle criticità e della delicatezza nella materia del trattamento dei dati personali (informatica, sicurezza, segreteria generale, scuola, sociale, appalti) e si è avvalso, nelle riunioni specifiche, anche di altri colleghi appartenenti ad ambiti lavorativi diversi e coinvolti in merito a specifiche problematiche applicative.

Il gruppo di lavoro è supportato da un legale esterno con conoscenza specialistica sui temi della privacy.

 

Dalla teoria alla pratica

Ne è derivato un lavoro che dal dato puramente teorico-normativo si è calato nelle specifiche realtà lavorative e di contatto con i cittadini. L’aver avviato il processo di adeguamento con largo anticipo ha consentito di affrontare i singoli aspetti in modo sistematico e organizzato.

La concretezza delle attività del gruppo ha trovato espressione anzitutto nell’elaborazione di disposizione organizzative interne, approvate dalla Giunta comunale il 22 maggio 2018 con l’assessore proponente Federico Manzoni, al fine di definire internamente al Comune i diversi ruoli definiti dal Regolamento UE e l’applicazione pratica dei singoli istituti e procedure.

L’adozione delle disposizioni organizzative in ambito privacy da parte della Giunta ha rappresentato un segnale d’attenzione ed un indirizzo rispetto alle tematiche in questione, evidenziando i seguenti tratti salienti:

- la privacy come approccio culturale che caratterizza sia l’avvio di nuovi trattamenti sia il costante monitoraggio dei trattamenti in corso;

- la gestione “organizzata” dei diversi ruoli della privacy e delle rispettive competenze;

- il ruolo primario del direttore generale quale vertice gestionale, evidenziato dai poteri di nomina del Responsabile della protezione dei dati, dalla competenza all’approvazione di modelli ed all’attivazione di controlli e percorsi formativi;

- il mantenimento in capo alla dirigenza di una funzione di presidio dei trattamenti di competenza (nonostante il Reg. UE consideri ora il Responsabile del trattamento solo figura “esterna” all’Ente);

- la declinazione, in chiave organizzativa, dei nuovi istituti e figure quali il responsabile della protezione dei dati, i registri del trattamento, la valutazione di impatto, la procedura in caso di violazione dei dati;

- la previsione di un documento che individui le misure di sicurezza adottate in ambito informatico all’interno dell’Ente;

- la proporzionalità delle misure di sicurezza e dell’informativa rispetto alla tipologia di trattamenti;

- la declinazione del ruolo del responsabile della protezione dei dati con accenno sulla sua funzione collaborativa all’interno del Comune;

- un’attenzione particolare ai casi di trasferimento di dati a soggetti esterni.

 

Condividere modelli e pratiche

E’ stata quindi costituita una sezione “intranet” accessibile da tutti i dipendenti, quale contenitore comune e condiviso di documenti, modelli, norme, linee guida, istruzioni in materia di privacy; uno strumento in continuo aggiornamento al servizio di tutti gli uffici.

La sezione contiene anche il registro dei trattamenti diviso in 35 sezioni.

Con circolare del 23 maggio 2018 a firma del Direttore generale e del Segretario generale, si sono comunicate in modo sintetico a tutte le unità organizzative dell’Ente le novità introdotte dal Regolamento, con la specifica delle implicazioni pratiche che interessano l’operatività quotidiana degli uffici.

 

Il ruolo dell’informatica

Con riguardo ai sistemi informativi esistenti all’interno del comune di Brescia è stato predisposto un unico documento denominato “Documento relativo alle misure di sicurezza in ambito informatico” che descrive le misure di sicurezza adottate dal Settore Informatica e Smart City in riferimento ai dati e agli archivi che risiedono nel Data Center del Comune con la descrizione delle misure di sicurezza di base del sistema nonché quelle specifiche ed ulteriori.

E’ chiaro che la partita del processo di digitalizzazione sempre più evoluta si intreccia con quella del trattamento dei dati, sua sicurezza e tutela della riservatezza delle persone fisiche. La sempre maggiore digitalizzazione del Comune sarà accompagnata da un’attenzione alla sicurezza dei trattamenti. All’interno delle disposizioni organizzative interne un ruolo fondamentale viene assegnato proprio all’informatica.

Tuttavia l’approccio al tema ha tenuto in considerazione l’ancor presente imprescindibile “modalità cartacea” nel trattamento e conservazione dei dati personali.

 

I nuovi istituti della privacy

Il nuovo Regolamento UE introduce alcune novità non presenti nella precedente normativa privacy.

Ciò ha comportato un’analisi interpretativa del Regolamento che si è avvalsa della guida emessa dal Garante privacy, dei commenti reperiti da siti specialistici e dell’esperienza dei singoli componenti del gruppo di lavoro.

I nuovi istituti si affiancano ad istituti già esistenti modificandone però contenuti e modalità di approccio. I principi “privacy by design” e “privacy by default” introdotti dal Regolamento evidenziano la necessità di progettare le modalità di trattamento dei dati prima ancora dell’avvio e di mantenere condizioni di sicurezza adeguata per tutta la durata del trattamento.

 

Il registro dei trattamenti

Il Registro dei trattamenti costituisce uno dei nuovi adempimenti introdotti dal regolamento europeo

L’impostazione e la predisposizione del  Registro dei trattamenti ha tenuto conto dell’individuazione dei dirigenti quali figure collocate a presidio del corretto trattamento dei dati secondo le disposizioni organizzative adottate dalla Giunta.

E’ stato quindi predisposta una sezione di registro del trattamento per ogni unità organizzativa.

Complessivamente sono state previste n.35 sezioni. Il Gruppo di lavoro ha prestato ausilio agli uffici comunali per la predisposizione.

Nell’impostazione del modello di registro si sono seguiti i seguenti indirizzi:

- completezza rispetto a quanto richiesto dall’art.30 del Regolamento;

- sintesi per la compilazione da parte degli uffici;

- categorie standard elencate nel registro;

- spazi per eventuali annotazioni, specifiche o chiarimenti da parte delle singole unità organizzative;

- stretta coerenza con l’organizzazione del Comune;

- rinvio ad un documento unico, distinto, per quanto concerne gli aspetti di sicurezza in ambito informatico, tema trasversale rispetto a tutto l’ente;

- rinvio  alla vigente normativa in materia di conservazione dati/documenti della pubblica amministrazione per quanto concerne il periodo di conservazione dei dati

 

Le sezioni del Registro sono predisposte in formato digitale e con firma digitale.

 

Le valutazioni di impatto

Altro nuovo adempimento introdotto dal Regolamento è la valutazione di impatto, da predisporre con riferimento ai trattamenti da considerare “a rischio elevato”.

In attesa che, come previsto dal Regolamento, il Garante privacy nazionale definisca le tipologie di trattamenti da sottoporre a tale misura, il Gruppo di lavoro ha predisposto nove valutazioni di impatto, con riferimento alle tipologie di trattamenti comprensive di dati relativi alla salute, videosorveglianza, dati giudiziari.

Il modello di valutazione di impatto adottato rappresenta un percorso guidato che parte dalla descrizione dei trattamenti effettuati e delle misure di sicurezza adottate per arrivare ad una gradazione della probabilità e gravità del rischio.

Il modello utilizzato consente alle singole unità organizzative una predisposizione agile secondo uno schema logico prefissato.

Il Gruppo di lavoro ha prestato ausilio agli uffici comunali per la predisposizione.

 

Il responsabile della protezione dei dati

Figura nuova introdotta dal Regolamento UE, il responsabile della protezione dei dati (RPD)  ha sostanzialmente una funzione di consulenza, controllo e contatto con il Garante.

Può essere figura interna o esterna all’Ente.

Il Comune di Brescia ha ritenuto di nominare temporaneamente, prima della scadenza dell’entrata in vigore del Reg.UE, un RPD interno, nella persona del coordinatore del gruppo di lavoro privacy interno.

Si ritiene di procedere con cautela in merito alla scelta di un soggetto esterno per ricoprire tale figura, in relazione alla novità della previsione ed al non ancora chiaro quadro del mercato di riferimento per tale tipologia prestazionale.

 

L’informativa agli interessati

L’informativa è lo strumento di contatto con i cittadini.

A decorrere dall’entrata in vigore del Regolamento si è proceduto con il rinnovo dell’informativa privacy con la specifica dei contenuti richiesti, utilizzando un linguaggio accessibile e rimandando alle ulteriori informazioni rilasciabili direttamente da parte dei singoli uffici.

L’aggiornamento dell’informativa ha riguardato il sito del Comune, la modulistica utilizzata, i contratti, i bandi tutte le tipologie di atti che relazionano Comune e cittadini.

Per garantire uniformità di utilizzo, i modelli di informativa sono stati pubblicati, a beneficio degli uffici, sulla sezione intranet.

 

La violazione dei dati

Altro tema introdotto dalla norma europea è la “violazione dei dati”.

Ai sensi del Regolamento costituisce “violazione dei dati personali” una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”

Con le disposizioni organizzative approvate dalla Giunta comunale è stata disciplinata la procedura interna che, quando si verifica una violazione dei dati che comporti dei possibili rischi per i diritti e le libertà delle persone fisiche, porta alla notifica della violazione al Garante della privacy (Autorità di controllo) ed una comunicazione agli interessati.

E’ previsto che, in tali casi, internamente all’Ente vengano analizzate le motivazioni e le cause che hanno determinato la violazione.

 

La formazione

Il processo di introduzione delle nuove regole in tema di privacy è stato accompagnato da un percorso formativo interno dedicato a dirigenti, posizioni organizzative e referenti privacy delle singole unità organizzative del Comune.

La formazione ha riguardato gli istituti nuovi, le nozioni di base ma anche aspetti particolari quali il rapporto tra privacy e trasparenza/diritto di accesso.

 

Prossimi obiettivi

Dopo aver predisposto entro l’entrata in vigore del Regolamento quanto richiesto dal medesimo ed aver dotato gli uffici comunali degli strumenti lavorativi, dal mese di settembre si perseguiranno nuovi obiettivi di miglioramento, quali il confronto con altri enti pubblici e con l’associazionismo degli enti territoriali, l’individuazione di una figura esterna altamente qualificata per la nomina a Responsabile della protezione dei dati, l’inserimento dell’informativa specifica sul portale on line dei servizi del Comune.

La nuova normativa nazionale (sostitutiva o correttiva dell’attuale Codice privacy) della quale si è in attesa e che attuerà e completerà le norme del Regolamento fornirà sicuramente nuovi spunti di approfondimento ed elaborazione, con applicazione di riflesso sugli uffici comunali

In conclusione si ritiene che il Comune di Brescia abbia ottemperato alle novità introdotte dal Regolamento UE 2016/679 in una prospettiva di metodo e di organizzazione, con un ampio coinvolgimento della struttura comunale tenendo conto dell’ampia diversificazione delle tipologie di attività e di funzioni svolte dal Comune.

 

 

Leggi anche...
INNOVAZIONE

Tra i progetti introdotti ci sono il completamento della rete di fibra ottica e la videosorveglianza.

SOSTENIBILITA'

I partner lavoreranno per dimostrare l'efficacia della carica induttiva dinamica senza contatto.

BUONE PRATICHE

I cittadini di Magliano Alpi (Cn) coinvolti in prima persona, insieme al Comune, in un approccio sostenibile in senso ampio.

Strategie Amministrative online,
periodico di informazione registrato
al Tribunale di Milano al n° 328/2002
in data 27 maggio 2002
ANCILAB © Copyright 2024 - P.Iva 12790690155