MAGGIOLI EDITORE - La Gazzetta degli Enti Locali
Guida alle informative sul trattamento dei dati per gli Enti locali
DPO in pillole/ Data protection e cybersecurity: analisi sintetica di un altro fondamentale adempimento di accountability
di LUISA DI GIACOMO*
Proseguiamo la consulenza ai Data Protection Officer degli Enti Locali con un altro fondamentale adempimento di accountability: la redazione delle informative.
L’informativa privacy è un documento fondamentale che assolve a un duplice compito:
Innanzi tutto, è bene precisare un particolare: si parla sempre di informativa, al singolare, ma sarebbe corretto dire informative, al plurale. Non c’è infatti una sola informativa all’interno di un Ente locale, ma tante saranno quanti sono i trattamenti effettuati, o meglio quante sono le finalità di quel trattamento.
Intendiamo come trattamento qualsiasi operazione venga effettuata sui dati personali: la raccolta, la classificazione, l’utilizzo, la modifica, l’estrazione, la cancellazione sono tutte operazioni di trattamento, che avremo elencato nel Registro dei Trattamenti, documento “master” di accountability di cui abbiamo parlato la settimana scorsa.
Ma un trattamento di dati è lecito solo se ricorrono alcune condizioni particolari, ed in particolare è lecito se e solo se prima del suo inizio è fornita l’informativa ai sensi e per gli effetti dell’art. 13 del Regolamento Europeo per la Protezione dei Dati Personali (Reg. UE 679/2016, GDPR).
>> Leggi anche Guida alla compilazione del registro dei trattamenti per gli Enti locali a prova di sanzione.
Ci sono alcuni elementi che in una informativa sul trattamento dei dati personali non possono mancare:
L’informativa deve essere resa con un linguaggio semplice e chiaro, in maniera che sia facilmente comprensibile da chiunque, anche e soprattutto da chi non ha alcuna nozione o conoscenza della normativa: il fatto che la maggior parte delle informative non venga letta dalle persone nell’interesse delle quali sono redatte non esonera il Titolare a scriverle nel modo migliore possibile.
Il numero e la tipologia di informative di un Ente locale, così come il registro dei trattamenti, dipenderà dalla struttura dell’Ente e dai servizi che esso possiede: se per esempio il Comune ha un servizio biblioteca aperto al pubblico, sarà obbligatorio rendere una informativa specifica per questo servizio.
Dunque, e qui si comincia a vedere il primo collegamento tra i vari documenti, che non sono, come già accennato, adempimenti autonomi e fine a se stessi, ma tutti collegati tra loro, anelli di una catena che, una volta terminata, andrà a costituire il perimetro di sicurezza e protezione dei dati dell’Ente, all’interno del quale i dati saranno considerati protetti (ovvero il perimetro di accountability), si procederà così:
In linea generale, possiamo comunque affermare che in qualsiasi Comune debbano essere contenute almeno le seguenti informative:
Altri tipi di informativa dipenderanno dal registro dei Trattamenti volta per volta redatto (ad esempio, mensa scolastica, asili comunali, biblioteche eccetera).
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
www.lagazzettadeglientilocali.it