Dal 25 maggio scorso in tutti gli Stati dell’Unione è applicabile il “Regolamento europeo (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, noto anche come GDPR (General Data Protection Regulation), che si pone come nuova fase del processo di armonizzazione del diritto applicabile nell’Unione Europea in materia di tutela della privacy.

Come le organizzazioni private, anche la Pubblica Amministrazione è chiamata ad adeguarsi alle nuove disposizioni e, a dire il vero, gran parte degli enti pubblici stanno provvedendo almeno ai principali e più urgenti adempimenti prescritti dal GDPR, la cui applicazione - per la natura stessa del provvedimento di fonte comunitaria - non necessita di trasposizione negli ordinamenti nazionali.

Poiché, più in generale, la diretta applicabilità del diritto comunitario potrebbe non costituire una garanzia sufficiente per i cittadini degli Stati membri in quelle ipotesi in cui una norma comunitaria dovesse contrastare con una disposizione interna, interviene allora, anche nel caso del GDPR, il principio del primato del diritto comunitario, per cui in caso di conflitto, di contraddizione o di incompatibilità tra norme di diritto comunitario e norme nazionali, le prime prevalgono sulle seconde. In ogni caso, nel nostro Paese, proprio per evitare sovrapposizioni o incongruenze tra la disciplina europea e la pre-esistente disciplina - contenuta principalmente nel decreto legislativo n. 196/2003, il c.d. Codice della privacy - è stata data delega al Governo (articolo 13, della legge n. 163/2017, legge di delegazione europea 2016-2017) perché provveda, attraverso uno o più decreti legislativi, all’armonizzazione del quadro normativo nazionale alle disposizioni del GDPR.

LA DELEGA. In un precedente contributo si è fatto cenno ad una probabile fase in cui si sarebbe trovato il nostro ordinamento interno all’indomani del 25 maggio 2018, termine di decorrenza dell’efficacia del Regolamento, in attesa dell’emanazione del decreto di armonizzazione, di cui si presumeva già il ritardo. Ad una prima bozza di decreto, approvata in esame preliminare alcuni mesi fa dal Consiglio dei Ministri e che abrogava per intero il Codice della privacy, se ne è sostituita, ad inizio maggio, una seconda dal contenuto diametralmente opposto, che conserva il vecchio Codice, abrogandone le sole parti in conflitto con il GDPR e prevedendo, al contempo, pesanti sanzioni amministrative in caso di inadempienza alle nuove disposizioni, nonché l’individuazione di nuove ipotesi di reato (in particolare, nel settore delle comunicazioni elettroniche). La delega, in origine, sarebbe decaduta lo scorso 21 maggio ma, ai sensi dell’articolo 31 della legge n. 234/2012, il termine è prorogato al prossimo 21 agosto 2018. I lavori di esame dello schema di decreto attuativo (Atto di Governo n. 22) da parte delle Commissioni parlamentari prevedono l’audizione di organismi istituzionali e tecnici, nonché di altre istituzioni ed associazioni ritenute particolarmente autorevoli nell’ambito degli studi e ricerche sulla protezione dei dati personali. Nei lavori parlamentari, seppur nella consapevolezza delle criticità derivanti dall’attuale assenza del decreto di armonizzazione, è stato ritenuto prevalente un approfondimento su specifiche questioni, anche in considerazione delle puntuali richieste di modifica avanzate dal Garante della privacy, che ha tempestivamente licenziato un suo parere sullo schema del decreto attuativo. D’altro parte, gli operatori, ma anche il Garante e l’Autorità giudiziaria, sono consci che per la costruzione del modello di privacy europeo, entro i tempi di realizzazione che, comunque, si renderanno necessari, il decreto attuativo non è che un tassello, vista la diretta applicazione del GDPR: da un lato, occorre da subito disapplicare ogni disposizione del Codice incompatibile con le nuove disposizioni; dall’altro, finché mancherà una norma esplicita di coordinamento e raccordo, tale armonia andrà ricercata di volta in volta, con adeguata analisi e maggiore responsabilità interpretativa in capo a imprese, enti pubblici, Garante e chi fosse, nel caso, chiamato a giudicare. Proprio per questo è però necessario avere quanto prima un decreto legislativo che contenga le norme di coordinamento e fornisca un parametro di riferimento stabile su queste importanti questioni, affinché anche nelle prime prassi applicative non ci sia la possibilità di interpretazioni contrastanti.

ALCUNI ASPETTI ORGANIZZATIVI.  A differenza del precedente assetto normativo della privacy, che prevedeva un ruolo più penetrante del Garante attraverso interventi puntuali e di dettaglio, il GDPR demanda compiti e responsabilità principalmente ai Titolari del trattamento, definendo i  principi con una portata più ampia, in accordo ai quali le singole organizzazioni (private e pubbliche) dovranno poi responsabilmente definire, implementare e gestire un proprio e completo sistema di misure - non solo tecnologiche, ma anche e soprattutto organizzative - secondo cui trattare le informazioni personali oggetto di trattamento.

Le novità introdotte dal Regolamento e gli adempimenti correlati (in primis la predisposizione del Registro dei trattamenti) forniscono l’occasione per un miglioramento non solo formale delle organizzazioni, per una attenta ricognizione e una eventuale reingegnerizzazione dei processi e delle funzioni proprie degli enti. In ambito pubblico ciò comporta una revisione degli atti organizzativi e delle procedure interne, con uno sforzo di coordinamento tra tutte le strutture interne all’amministrazione, coinvolgendo tutti i settori di attività, incluso quello inerente alla trasparenza, quest’ultima incentrata, per definizione, sulla pubblicità dei dati. Occorre infatti sottolineare che proprio il principio di trasparenza - inteso come obbligo di rendere conoscibili “le modalità con cui i dati sono raccolti, utilizzati e consultati grazie ad informazioni e comunicazioni facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro” - ha nel GDPR (vedasi, in proposito, il “Considerando 37”) un ruolo fondamentale e potenzialmente oggetto di futuro ampliamento. Nella scelta del Responsabile per la Protezione dei Dati ciascuna amministrazione dovrebbe quindi considerare non solo le competenze giuridiche e la specifica preparazione in materia di privacy, ma anche la conoscenza (o, specialmente se soggetto esterno, la possibilità di conoscere, in tempi congrui) di procedure e prassi proprie dell’ente di riferimento, anche con riguardo alla “transparency”. Proprio perché il processo di adeguamento e compliance alla nuova disciplina è un processo complesso, dinamico e specifico per ciascuna identità, occorre pertanto che le amministrazioni coinvolgano professionalità adeguate ai compiti e ai livelli di servizio richiesti dal nuovo Regolamento. D’altro canto, l’adeguamento al GDPR prevede tempistiche stringenti (e in parte ormai scadute) almeno per i principali adempimenti preliminari, ma l’applicazione del quadro normativo a norma è tanto ampio e proteso nel tempo da richiedere adeguati investimenti sulle risorse tecnologiche e sul patrimonio umano di ogni amministrazione.

UN CAMBIO DI IMPOSTAZIONE. Il diverso approccio del Regolamento prevede la protezione dei dati fin dalla progettazione del trattamento degli stessi (data protection by design), sottolineando che questa è l’impostazione predefinita di partenza (data protection by default), sulla base di alcuni parametri indicati all’articolo 25 e poi ripresi all’articolo 32, in relazione alla sicurezza del trattamento. L’approccio alla protezione dei dati è ora improntato sul rischio e parametrato alla singola realtà, attraverso opportune valutazioni sulla sicurezza informatica, così da rimarcare l’assoluta distanza dell’adeguamento al GDPR dall’essere considerato solo un mero adempimento tecnico-burocratico. Proprio la sicurezza dei dati è oggetto di specifica attenzione del legislatore europeo, pronto a prevedere una disciplina stringente per un eventuale data breach dovuto a violazioni della sicurezza dei sistemi informatici che comportino la perdita, la diffusione o la distruzione di dati personali.  Ciò rende necessaria, all’interno di ogni ente, l’adozione di procedure dettagliate per gestire l’eventualità di un incidente informatico e non incorrere nel regime sanzionatorio previsto dal GDPR e dalle norme nazionali.

LA PRIVACY NEI COMUNI.  In attesa del citato decreto di armonizzazione, l’applicazione del GDPR negli Enti territoriali può comunque giovarsi di un valido supporto, il “Quaderno operativo” dell’ANCI, che, pur non costituendo ovviamente un’alternativa alla norma di coordinamento, raccoglie una serie di istruzioni, linee guida, note e modulistica utili nel districarsi nel nuovo contesto. Nell’ambito del Comune la figura del Titolare del trattamento è ricoperta dal Sindaco, chiamato in prima battuta ad ottemperare a tre obblighi: incaricare il DPO (scegliendolo all’interno dell’ente o con attribuzione dell’incarico ad un soggetto esterno); predisporre con quest’ultimo, alla luce di un monitoraggio ed una eventuale reingegnerizzazione dei processi, il Registro dei trattamenti; provvedere, ancor prima di procedere ad ogni trattamento, ad una valutazione di impatto sulla protezione dei dati, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Particolare attenzione dovrà essere posta anche all’adeguamento della modulistica in uso e all’attivazione di specifiche iniziative di sensibilizzazione e formazione per il personale e i collaboratori che trattano (o potrebbero trattare) dati personali.

GDPR E SANITÀ. È stata recentemente avviata un’iniziativa nell’ambito della Sanità volta a facilitare l’individuazione di criteri uniformi con cui declinare i principi generali stabiliti dal Regolamento secondo le peculiarità organizzative, cliniche e sociali del contesto sanitario, che ha portato associazioni ed aziende a collaborare ad un progetto comune finalizzato alla definizione di un “codice di condotta” in cui, comunque, ciascuno rispetta le caratteristiche e le esigenze del proprio contesto. Lo stesso GDPR, d’altronde, prevede la definizione dei “Codici di condotta”, ovvero di regole che dettagliano la corretta applicazione del Regolamento in funzione delle specificità e delle esigenze di una tipologia di organizzazione. Rispetto ad altri settori, il contesto sanitario presenta caratteristiche particolari, non solo per la criticità dei dati gestiti, ma anche perché è costituito da un insieme di strutture peculiari per attività e missione etico-sociale, al tempo stesse diverse ed eterogenee sotto il profilo organizzativo, clinico, dimensionale e tecnologico e, infine, autonome sotto il profilo organizzativo, sanitario e giuridico. Nel complesso, tuttavia, tali strutture hanno la necessità di interagire e collaborare fra loro, nell’interesse del sistema sanitario e del cittadino: ciò rende particolarmente importante la definizione di criteri comuni fra le diverse organizzazioni. L’iniziativa è stata promossa dall’Alta Scuola di Economia e Management dei Sistemi Sanitari (ALTEMS) della Università Cattolica del Sacro Cuore e dalla “Italian Community” dell’Healthcare Information and Management Systems Society (HIMSS), con l’adesione dell’ Istituto Superiore di Sanità, della “Direzione generale della vigilanza sugli enti e sulla sicurezza delle cure” del Ministero della Salute, dell’ “Assessorato politiche per la salute” della Regione Emilia Romagna, delle principali associazioni sanitarie di rilevanza nazionale (AIOP, ARIS, FederANISAP, FederSanità, FIASO), nonché dell’Ordine dei Medici della Provincia di Roma, allo scopo di identificare le essenziali motivazioni cliniche necessarie per garantire la liceità e le finalità dei trattamenti dei dati personali. Alla verifica della concreta usabilità del Codice di condotta collaborano attivamente anche alcune aziende sanitarie di diverse Regioni, mentre Cittadinanzattiva, organizzazione di promozione e tutela dei diritti, assicura attraverso il proprio apporto la partecipazione dei cittadini stessi, intesi non solo come soggetti “passivi” interessati dai trattamenti, ma anche come interlocutori continui nel processo sanitario e proprietari/gestori dei propri dati personali. Il Codice di condotta verrà elaborato secondo un approccio modulare ed incrementale, affrontando le singole tematiche in più fasi e secondo criteri di priorità, in modo da poter ottenere risultati singolarmente utilizzabili in tempi più brevi, garantendo comunque la coerenza finale del codice in tutte le sue parti.

Com’è evidente man mano che si rendono operative le disposizioni, si appalesa che, in materia di trattamento dei dati personali, a differenza che nel passato, maggiore è la responsabilizzazione dei singoli enti, in ossequio all’impostazione del GDPR: questo approccio non lascia spazi a deleghe e a rinvii, né un alibi all’immobilismo può essere invocato per la momentanea assenza del decreto di armonizzazione.

Se, da un lato, il ruolo del Garante nazionale resta fermo e la disponibilità è ampiamente dimostrata in queste prime fasi di avvio, resta compito dei Titolari del trattamento di ciascuna amministrazione, in sinergia con il proprio RPD, ottemperare alle nuove disposizioni, a garanzia dei cittadini e, non ultimo, anche per non incorrere nel regime sanzionatorio in caso di inadempienze.

Di certo il cammino, sebbene guidato, è ancora lungo e se qualcuno ingenuamente avesse pensato che tutto si sarebbe risolto in breve, dovrà solo ricredersi, perché, a prescindere dalle difficoltà iniziali, l’adeguamento e la compliance al GDPR costituiscono un processo continuo: molte sono le questioni ancora aperte e gli argomenti su cui focalizzare anche in futuro l’attenzione.