Criticità del GDPR con riferimento agli enti pubblici
Il Regolamento comunitario sulla protezione dei dati personali n. 2016/679 non prevede una disciplina ad hoc per il trattamento dei dati personali effettuato dai soggetti pubblici al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, talvolta anche in regime di eccezione rispetto a regole generali. IL GDPR, in realtà, non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art. 9, comma 2, per i dati particolari).
In effetti, tra gli stessi presupposti di liceità del trattamento dei dati personali il GDPR all’art. 6, lett. e) fa riferimento alla necessarietà del trattamento per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, caso tipico, naturalmente dell’ente pubblico.
Si pensi, poi, all’art. 9 del GDPR che tra le eccezioni al divieto generale di trattare dati personali particolari fa rientrare:
- il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
- il trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri………………………;
- il trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica……………….;
- il trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici………………………….;
Proprio per questi motivi è intervenuto il d.lgs. n. 101/2018 che, nel riformare il Codice per la protezione dei dati personali, ha definito meglio la nozione di interesse pubblico poco approfondita nel GDPR.
Tra i problemi di maggiore rilevanza del settore pubblicistico da approfondire adeguatamente sicuramente merita un posto di assoluto rilievo la nomina del DPO obbligatoria per gli enti pubblici, difatti non poche sono le criticità connesse a tale ruolo come:
- L’adeguata formazione
- L’indipendenza del DPO
- Il conflitto di interessi.
Ma altre questioni di uguale rilevanza riguardano i rapporti fra privacy e trasparenza, la sicurezza informatica, la governance in materia di protezione dei dati.
Il quadro desolante è che oggi, considerate tutte queste problematiche, sono ben pochi gli enti pubblici che hanno avviato un percorso serio di adeguamento al GDPR. Ne parlerò all' 8° Privacy Day Forum il 19 giugno 2019 al CNR di Pisa.
(L'intertvento di Michele Iaselli al 7° Privacy Day Forum)