FAQ PRIVACY

Qui di seguito sono riportate alcune risposte ai quesiti pervenuti in materia di “trattamento dei dati personali”, di maggiore rilievo.

Resta inteso che si tratta di mero contributo dottrinale, senza alcun valore ufficiale e in assoluta conformità con le prescrizioni dell’Autorità garante per la protezione dei dati personali.

17. la pubblicazione di notifiche per irreperibilità

Nel nostro ente vengono pubblicati nell’albo pretorio gli avvisi relativi a persone sconosciute o irreperibili o che si rifiutino di ricevere copia di atti giudiziari, nel rispetto delle disposizioni del codice di procedura civile e procedura penale. Le chiediamo se, in questo caso, oltre a  indicare il nome della persona interessata, si possano aggiungere altre informazioni identificative della persona.


Le notifiche a persone sconosciute, irreperibili o che si rifiutino di ricevere copia degli atti, relativamente agli atti giudiziari, sono disciplinate dagli articoli 140 e 143 del codice di procedura civile e dall’articolo 157 del codice di procedura penale. Per quanto riguarda la materia tributaria, il riferimento normativo, invece, è contenuto nell’articolo 60 del  DPR 600/1973 e nell’articolo 26 del DPR 602/1973.

È da precisare che si tratta di due discipline che prevedono diverse forme di notifica.

L’articolo 140 del codice di procedura civile, infatti, prevede che “Se non è possibile eseguire la consegna per irreperibilità o per incapacità o rifiuto delle persone indicate nell’articolo precedente, l’ufficiale giudiziario deposita la copia nella casa del comune dove la notificazione deve eseguirsi, affigge avviso del deposito in busta chiusa e sigillata alla porta dell’abitazione o dell’ufficio o dell’azienda del destinatario, e gliene dà notizia per raccomandata con avviso di ricevimento.”

E il primo comma dell’articolo 143, dello stesso codice di procedura civile dispone che “Se non sono conosciuti la residenza, la dimora e il domicilio del destinatario e non vi è il procuratore previsto nell’articolo 77, l’ufficiale giudiziario esegue la notificazione mediante deposito di copia dell’atto nella casa comunale dell’ultima residenza o, se questa è ignota, in quella del luogo di nascita del destinatario.”

La stessa formula, utilizzata dall’articolo 157 del codice di procedura penale, prevede il “deposito” presso la casa comunale, non la pubblicazione all’albo pretorio, peraltro prescrivendo, in modo dettagliato le modalità di attuazione (deposito in busta chiusa e sigillata…)

A conferma di ciò, laddove la notifica debba avvenire mediante l’affissione dell’avviso all’albo pretorio, l’articolo 26 del DPR 602/1973, lo prevede in modo esplicito con l’espressione “Nei casi previsti dall’art. 140, del codice di procedura civile, la notificazione della cartella di pagamento si effettua con le modalità stabilite dall’art. 60 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600, e si ha per eseguita nel giorno successivo a quello in cui l’avviso del deposito è affisso nell’albo del comune.

Da ciò si evince che, esclusivamente in quest’ultimo caso, vi sia una prescrizione esplicita che prevede la pubblicazione dell’avviso di deposito all’albo pretorio.

 

16. Accesso diretto agli archivi anagrafici da parte delle Forze dell’ordine

Il nostro ufficio anagrafe segnala frequenti visite da parte di rappresentanti delle Forze dell’ordine che ritengono di potere acquisire informazioni dagli archivi anagrafici senza alcuna richiesta esplicita, anche richiedendo di accedere direttamente al sistema informatico, sottraendo la postazione occupata dall’operatore e con le credenziali di quest’ultimo.

Premessa la massima collaborazione con tutte le istituzioni e con le forze dell’ordine, Le chiediamo gentilmente se a Suo avviso ciò può essere consentito o se è opportuno adottare qualche accorgimento.


La domanda mi viene posta frequentemente a conferma che non si tratta di un fenomeno isolato. 

La questione è trattata dagli articolo 33 e 37 del DPR 223/1989. Il primo comma dell’articolo 33 reca: “

1. Fatti salvi i divieti di comunicazione di dati, stabiliti da speciali disposizioni di legge, e quanto previsto dall’articolo 35, l’ufficiale di anagrafe rilascia a chiunque ne faccia richiesta, previa identificazione, i certificati concernenti la residenza, lo stato di  famiglia degli iscritti nell’anagrafe nazionale della popolazione residente, nonché ogni altra informazione ivi contenuta.”

Da ciò si evince che l’accesso deve essere consentito a “chiunque”

L’articolo 37, però, al comma 1, afferma che “E’  vietato  alle  persone  estranee  all’ufficio  di  anagrafe  l’accesso all’ufficio stesso e quindi la consultazione diretta degli atti anagrafici. Sono escluse da tale divieto le persone appositamente incaricate dall’autorità giudiziaria e gli  appartenenti alle forze dell’ordine ed al Corpo della Guardia di finanza. I nominativi delle  persone  autorizzate  ad  effettuare  la   consultazione diretta  degli  atti  anagrafici  devono figurare in apposite richieste dell’ufficio o del comando di appartenenza;  tale richiesta deve essere esibita all’ufficiale di anagrafe, unitamente ad un documento di riconoscimento.”

Da ciò si evince che alle Forze dell’ordine è riconosciuto uno specifico potere di accesso e di consultazione diretta, ma ciò è subordinato sia alla identificazione delle persone che lo effettuano, sia alla esibizione della “apposita richiesta dell’ufficio o del comando di appartenenza”.

Molti enti hanno risolto la questione mediante una convenzione che consenta l’installazione di un terminale presso le sedi delle forze dell’ordine, ma il comma 4, dello stesso articolo 37 precisa che ” All’ufficiale di anagrafe devono essere comunicati i nomi e gli estremi dei documenti del personale abilitato alla consultazione, il quale opererà secondo modalità tecniche adottate d’intesa  tra  gli  uffici anagrafici comunali e gli organi interessati.”

Tutto ciò conferma l’esigenza che l’ufficiale di anagrafe abbia piena conoscenza delle generalità di chi acceda in modo diretto.

È opportuno inoltre precisare che non può consentirsi che alcuno (anche se appartenente alle forze dell’ordine) acceda con la password personale dell’operatore di anagrafe, sia per i diversi profili di autorizzazione, in ordine all’intervento sugli archivi, sia per ovvi ragioni di tracciabilità sulle operazioni effettuate e sull’autore che le ha disposte.

 

15. la pubblicazione dei dati ex art.14, per dirigenti e p.o., dopo la sentenza della Corte Costituzionale

Chiedo di sapere quali siano, a seguito della sentenza della Corte Costituzionale n.20/2019, gli obblighi di pubblicazioni previsti nell’articolo 14 del dlgs relativi ai dei dirigenti e alle Posizioni organizzative


Con la sentenza n.20/2019, giustamente da Lei richiamata, la Corte Costituzionale ha assunto due importanti decisioni che si possono riassumere come segue:

1) dichiarazione di illegittimità costituzionale dell’art. 14, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione, anziché solo per i titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche);

2) dichiarazione di inammissibilità delle questioni di legittimità costituzionale dell’art. 14, comma 1-ter,del d.lgs. n. 33 del 2013,

3) Non fondatezza delle questioni di legittimità costituzionale dell’art. 14, comma 1-bis, del d.lgs. n. 33 del 2013, nella parte in cui prevede che le pubbliche amministrazioni pubblichino i dati di cui all’art. 14, comma 1, lettera c), dello stesso decreto legislativo anche per i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione.

Da ciò discende che non deve applicarsi la disposizione dell’art.14, comma 1-bis laddove si prevede “le pubbliche amministrazioni pubblicano i dati di cui al comma 1 per i titolari di incarichi o cariche di amministrazione, di direzione o di governo comunque denominati, salvo che siano attribuiti a titolo gratuito, e per i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione.”, limitatamente alla richiamata lettera f) del comma 1 dello stesso articolo. Ciò vuol dire che per i titolari di incarichi o cariche di amministrazione, di direzione o di governo non vige l’obbligo di pubblicazione sul sito istituzionale delle “dichiarazioni di cui all’articolo 2, della legge 5 luglio 1982, n. 441, nonché le attestazioni e dichiarazioni di cui agli articoli 3 e 4 della medesima legge, come modificata dal presente decreto, limitatamente al soggetto, al coniuge non separato e ai parenti entro il secondo grado, ove gli stessi vi consentano”

E poiché le altre questioni sollevate non sono state riconosciute degne di pregio, ai dirigenti dell’ente compete il rispetto di tutti gli altri obblighi previsti all’articolo 14, comma 1. E compete all’Amministrazione procedere alla pubblicazione delle relative informazioni.

Peraltro, al riguardo, è opportuno precisare che gli obblighi di pubblicazione relativi all’articolo 1, per espressa previsione contenuta nella deliberazione ANAC 1310/2016, sono da intendersi di “pubblicazione tempestiva”, ai sensi dell’art.8, comma 1, del decreto legislativo 33/2013.

Per quanto concerne le posizioni organizzative, l’articolo 14, comma 1-quinqiues, prevede “Gli obblighi di pubblicazione di cui al comma 1 si applicano anche ai titolari di posizioni organizzative a cui sono affidate deleghe ai sensi dell’articolo 17, comma 1-bis, del decreto legislativo n. 165 del 2001, nonché nei casi di cui all’articolo 4-bis, comma 2, del decreto-legge 19 giugno 2015, n. 78 e in ogni altro caso in cui sono svolte funzioni dirigenziali. Per gli altri titolari di posizioni organizzative è pubblicato il solo curriculum vitae.”

Tale ultima estensione non è stata oggetto di rilievo di incostituzionalità e certamente può ritenersi che riguardi esclusivamente gli obblighi previsti a carico dei dirigenti, quindi con esclusione della lettera f) dell’art. 14.

14. I consiglieri comunali possono accedere ai pareri richiesti dall’Amministrazione ?


Sull’argomento si è già espresso il Ministero dell’Interno, con un proprio parere, il 13 febbraio 2004 (link)  affermando che l’accesso dei consiglieri comunali e provinciali agli atti amministrativi dell’ente locale -disciplinato dall’art.43 del T.U.E.L. n.267/2000- risulta particolarmente tutelato, in quanto volto a consentire un pieno ed agevole espletamento del mandato, garantendo agli stessi di ottenere dagli uffici tutte le notizie utili a tal fine.
Dalla titolarità del diritto di accesso del consigliere comunale, discende inoltre l’assenza dell’onere della motivazione da parte del consigliere, come più volte confermato dallo stesso Consiglio ( vedasi sia la sentenza del 13 novembre 2002, n. 6293, sia la sentenza n. 5109 del 26 settembre 2000).
L’esercizio del suddetto diritto, però, si configura come funzionale allo svolgimento dei compiti istituzionali.
Dall’ampia legittimazione del diritto di accesso da parte di un consigliere comunale, non consegue, infatti, che la posizione sostanziale fatta valere dallo stesso sia definibile quale ‘diritto generalizzato ed indiscriminato ad ottenere qualsiasi tipo di atto dell’Ente’ (Commissione per l’accesso ai documenti ed anche C.d.S., sez. V, 8 settembre 1994, n. 976).
Conseguentemente, i dati acquisiti devono essere utilizzati effettivamente per le sole finalità del mandato e non per fini personali, in osservanza del dovere del segreto d’ufficio cui anche i consiglieri sono tenuti, nel rispetto dei principi di pertinenza e di non eccedenza (C.d.S., sez. V, 26 settembre 2000, n. 5109).
Già con la sentenza del 2 aprile 2001, n. 1893 e successivamente in data 26 settembre 2000, n. 5105, il Consiglio di Stato ha ritenuto che la posizione dei consiglieri comunali non possa essere talmente privilegiata da consentire loro l’accesso a tutti i documenti, anche segreti, dell’amministrazione, assumendo solo l’obbligo di non divulgare le relative notizie.
Altrimenti, un accesso ai documenti da parte del consigliere comunale, ritenuto prevalente anche sul segreto professionale, verrebbe ad assumere una portata oggettiva più ampia di quella riconosciuta ai cittadini ed ai titolari di posizioni giuridiche differenziate (pure comprensive di situazioni protette a livello costituzionale).
Si afferma, infatti, nelle citate pronunce della sezione V, che il mandato politico-amministrativo affidato al consigliere, pur esprimendo il principio democratico dell’autonomia locale e della rappresentanza esponenziale della collettività non può, nell’attuale contesto normativo, autorizzare un privilegio così marcato, a scapito degli altri soggetti interessati alla conoscenza dei documenti amministrativi, con sacrificio degli interessi tutelati dalla normativa sul segreto.
Se ne deduce, così, che il diritto di accesso del consigliere comunale, da esercitarsi riguardo ai dati effettivamente utili all’esercizio del mandato ed ai soli fini di questo, deve essere coordinato con altre norme vigenti, come quelle che tutelano il segreto delle indagini penali o la segretezza della corrispondenza e delle comunicazioni, nonché rispettando il dovere di segreto ‘nei casi espressamente determinati dalla legge’, e ‘i divieti di divulgazione dei dati personali’.
In tale ambito rientrano sicuramente gli atti redatti dai legali e dai professionisti in esecuzione di specifici rapporti di consulenza con l’Amministrazione, che può ricorrere alle consulenze legali esterne in diverse forme ed in diversi momenti della propria attività amministrativa.
Lo stesso Consiglio ha quindi ulteriormente evidenziato tre diverse fattispecie di parere legale, a seconda del contesto in cui lo stesso viene richiesto che influisce sulla disciplina dell’accesso ai documenti.
In primo luogo, si analizza l’ipotesi dei pareri e delle consulenze, richiesti nell’ambito di un’istruttoria volta all’adozione di un atto finale nel quale viene anche citato per motivarne l’adozione.
Si tratta quindi, di pareri legali con funzione endoprocedimentale che, pur traendo origine da un rapporto privatistico, caratterizzato dalla riservatezza della relazione tra professionista e cliente, risultano assoggettati all’accesso, in quanto oggettivamente correlati ad un procedimento amministrativo.
Altra ipotesi è quella in cui il ricorso alla consulenza avvenga a seguito di un procedimento contenzioso (giudiziario, arbitrario o amministrativo) oppure dopo l’avvio di attività precontenziose tipiche (tentativo obbligatorio di conciliazione) e sia, pertanto, finalizzato alla definizione di una strategia difensiva.
Infine, il Consiglio di Stato si sofferma su una terza ipotesi in cui si profila la possibilità che la richiesta di parere legale avvenga in una fase intermedia, successiva alla definizione del rapporto amministrativo all’esito del procedimento ma precedente l’instaurazione di un giudizio o l’avvio dell’eventuale procedimento contenzioso, in modo da consentire all’amministrazione di articolare una linea difensiva in ordine ad una potenziale lite.
In queste due ultime ipotesi, l’orientamento del Consiglio di Stato è che tali pareri legali, chiesti a fini difensivi, siano sottratti all’accesso e restino, pertanto, tutelati dal segreto.

13. Pubblicazione sul sito web dello stato degli immobili in occasione di un eventi sismico

Mi viene sottoposta dal Sindaco la necessità di pubblicare – in apposita sezione del sito web istituzionale – alcune informazioni e dati inerenti lo stato di attuazione del procedimento di verifica di agibilità degli immobili danneggiati dall’evento sisma del xxxx; in particolare, al fine di evitare lunghe file presso il C.O.C., si ritiene opportuno pubblicare le informazioni inerenti lo stato del procedimento per ogni singolo immobile con indicazione di alcuni dati personali (estremi del protocollo della segnalazione danni, ubicazione dell’immobile con eventuali dati catastali, nome e cognome del proprietario o detentore dell’immobile, esito del sopralluogo tecnico, stato della procedimento di accertamento di agibilità dell’immobile). Sulla questione si chiede un parere in merito al rispetto della normativa sulla riservatezza dei dati.
Condivido la Sua giusta preoccupazione e confermando quanto già condiviso per le vie brevi, in ragione delle motivazioni che inducono alla pubblicazione delle informazioni, che riguardano la staticità degli immobili, sia ai fini del loro utilizzo, sia per la eventuale tutela necessaria a contenere i rischi che possano derivarne, certamente il trattamento rientra nelle previsioni dell’articolo 6, comma 3 del RGPD che ritiene lecito ogni trattamento che si renda “necessario per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di poteri di cui è investito il titolare”, purché sia “proporzionato” all’obiettivo da conseguire.
Nel caso da Lei prospettato, peraltro, possono emergere possibili disagi qualora le informazioni non siano effettuate o non siano immediatamente accessibili, sia ai diretti interessati, sia a chi se ne prenderà cura.
Conseguentemente, a mio avviso, il Comune ha piena facoltà di utilizzare gli strumenti di cui dispone allo scopo di fornire informazioni di pubblica utilità, anche ricorrendo a informazioni che forniscano, come è giusto che sia, dati relativi alla ubicazione di persone, al fine di consentirne la sicurezza, la tutela e se necessario il soccorso.
Mi auguro che quanto sopra possa essere stato utile.
SF

12. Albo pretorio “storico” e accesso agli atti da parte dei consiglieri comunali

Gli amministratori lamentano la recente rimozione dal sito istituzionale dell’albo pretorio storico. La funzionalità era ritenuta utile ai fini della consultazione immediata degli atti adottati dall’ente. La richiesta deriva anche dalla constatazione che altri enti ne consentono liberamente l’accesso, senza limiti di tempo. Peraltro risulta che alcune importanti società che forniscono il servizio di protocollazione e archiviazione consentono la produzione di un elenco “storico” che contiene tutti gli atti. Come bisogna comportarsi?


Come è noto, la pubblicazione delle deliberazioni di Giunta e Consiglio è prevista dall’art. 124 del TUEL (dlgs 267/2000) che, al comma 1, prescrive: “Tutte le deliberazioni del comune e della provincia sono pubblicate mediante affissione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge”.

La disposizione fa esclusivamente riferimento agli obblighi di pubblicazione all’albo pretorio che, all’epoca dell’emanazione del provvedimento, rappresentava l’unica modalità di pubblicazione e assolveva la funzione di conferire “esecutività” agli atti, secondo quanto riportato nel successivo art. 134, comma 3.

Dal 1° gennaio 2010, inoltre, per effetto dell’entrata in vigore della legge 69/2009 (art.32) “gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”, aggiungendo che“le pubblicazioni effettuate in forma cartacea non hanno effetto di pubblicità legale”.

Da ciò sono derivate una serie di circostanze che, oltre ad avere facilitato l’adempimento della prescrizione della pubblicazione, e consentito la più ampia consultazione hanno suggerito a ciascuna Amministrazione, in omaggio al principio della trasparenza, di sottrarsi alla rimozione degli atti dal sito istituzionale, una volta trascorsi 15 giorni, per consentirne la conoscenza e la consultazione senza limiti di accesso o di scadenza.

La costituzione di “albi pretori storici”, infatti ha consentito di rendere maggiormente diretto il rapporto tra cittadini e istituzioni e di promuovere la diffusione di sistemi di partecipazione e rendicontazione.

Tuttavia, tale forma di pubblicazione permanente, pur se orientata all’assolvimento di una giusta finalità, ha portato all’emersione di una problematica relativa alla “opportunità” di rendere pubblici atti che contengano informazioni di carattere personale, anche oltre i limiti che la legge prescrive ai fini dell’obbligatorietà nell’albo pretorio e in assenza di una disposizione che ne prevedesse la pubblicazione in altre sezioni del sito istituzionale.

Proprio in conseguenza di ciò, il 10 aprile del 2007, il Garante per la protezione dei dati personali ha emanato le “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali”, nelle quali si affermache “la pubblicazione e la divulgazione di atti e documenti determinano una “diffusione” di dati personali, comportando la conoscenza di dati da parte di un numero indeterminato di cittadini. L’interferenza nella sfera personale degli interessati che ne consegue è legittima, solo se la diffusione è prevista da una norma di legge o di regolamento (artt. 4, comma 1, lett. m), e 19, comma 3, del Codice).”

Peraltro, poiché non risulta emanata alcuna disposizione che preveda la pubblicazione permanente e indiscriminata dei provvedimenti, una volta decorso il tempo della loro inclusione nell’albo pretorio, l’applicazione del principio sopra riportato, ha condotto a ritenere legittima la richiesta di rimozione, dal sito istituzionale, degli atti contenenti dati personali.

Nello stesso provvedimento, infatti, il Garante afferma che “la forma di pubblicazione obbligatoria non autorizza, di per sé, a trasporre tutte le deliberazioni così pubblicate in una sezione del sito Internet dell’ente liberamente consultabile”.

Tale ultimo principio è stato meglio specificato con l’emanazione del decreto legislativo 33/2013 che nella versione attuale dell’articolo 7-bis, al comma 3, riporta quanto originariamente previsto dall’articolo 4:  “Le pubbliche amministrazioni possono disporrela pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti.”

Da ciò consegue, quindi, la possibilità per l’Ente di disporre la pubblicazione degli atti e dei provvedimenti, oltre la data di permanenza nell’albo pretorio, ma a condizione che sia disposta con atto avente valore regolamentaree che si provveda alla rimozione delle eventuali informazioni di carattere personale.

Certamente la seconda delle due prescrizioni può risultare onerosa e persino complessa nella sua attuazione, anche a causa della identificazione dei dati che debbano essere oscurati o rimossi, ma giova precisare che sono ormai numerose le situazioni di contenzioso che vedono privati e imprese rivendicare il “diritto all’oblio” e la conseguente rimozione delle proprie informazioni personali all’interno di un atto la cui pubblicazione si sia protratta oltre il tempo previsto dalla legge, ottenendo, sia ragione delle posizioni rivendicate, sia il risarcimento del danno.

Sia chiaro, con riferimento alla quesito di codesto ente, che ciò non impedisce all’ente di istituire, all’interno del proprio sito istituzionale, una specifica sezione di “albo pretorio storico”, il cui accesso, però sia limitato agli utenti della “intranet”, oltre che agli amministratori,  mediante l’utilizzo di una password.

A tal riguardo, il Ministero dell’Interno, già con parere del 16 luglio 2009, affermava che “la giurisprudenza amministrativa si è ormai consolidata nel senso dell’accessibilità dei consiglieri comunali a tutti i documenti amministrativi, in virtù del munus agli stessi affidato, essendo riferito all’espletamento del mandato, in tutte le sue potenziali implicazioni al fine di una compiuta valutazione della correttezza e dell’efficacia dell’operato dell’amministrazione comunale’. Da ciò la conseguenza, che è una conseguenza necessitata, che al consigliere comunale non può essere opposto alcun diniego ( salvo i pochi eccezionali e contingenti, da motivare puntualmente e adeguatamente, e salvo il caso – da dimostrare – che lo stesso agisca per interesse personale), determinandosi altrimenti un illegittimo ostacolo al concreto esercizio della sua funzione, che è quella di verificare che il Sindaco e la Giunta municipale esercitino correttamente la loro funzione’.

E aggiunge che al consigliere comunale “è consentito prendere visione del protocollo generale senza alcuna esclusione ‘di oggetti e notizie riservate e di materie coperte da segreto’, posto che i consiglieri comunali sono comunque tenuti al segreto ai sensi del più volte citato articolo 43.”

Peraltro, l’utilizzo dell’accesso in forma telematica, risolve la questione relativa agli eventuali “ostacoli all’attività amministrativa” che possa derivare dalla consultazione nella forma tradizionale della richiesta di accesso agli atti che, in diverse occasioni ha giustificato la limitazione dell’accesso.

sf

11. INFORMATIVA GENERALE SUL TRATTAMENTO DEI DATI: come farla e dove pubblicarla

Alcuni enti hanno pubblicato una informativa di tipo generale. Secondo lei è necessario? E in caso affermativo, quali informazioni deve contenere e dove deve essere pubblicata?


Certamente la pubblicazione sul sito istituzionale di una “informazione generale sul trattamento dei dati” è utile, anche se non può sostituirsi a tutte quelle “informative” specifiche per ciascuno dei processi che richiedano il trattamento di dati personali.

I contenuti da pubblicare, a titolo esemplificativo, possono essere così organizzati:

INFORMAZIONE GENERALE SUL TRATTAMENTO DEI DATI PERSONALI

FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

I dati personali che l’ente acquisirà, sia in forma cartacea che informatica, saranno trattati esclusivamente per le finalità istituzionali, nel rispetto dei principi di correttezza, liceità, trasparenza e di tutela della riservatezza, secondo le prescrizioni contenute nel Regolamento Generale per la protezione dei dati personali, nonché delle disposizioni legislative italiane e delle indicazioni fornite dall’Autorità Garante della protezione dei dati personali.

MODALITA DEL TRATTAMENTO DEI DATI PERSONALI FORNITI

I dati forniti al Comune di….  saranno acquisiti e trattati esclusivamente dagli uffici competenti per materia e coordinati dal Responsabile del trattamento, di volta in volta indicato. Ai fini del trattamento saranno utilizzati sia documenti cartacei, sia documenti e dati informatici che possono risiedere presso gli archivi degli uffici di competenza o presso sistemi idonei alla conservazione informatica, anche in modalità remota. In quest’ultimo caso sarà cura dell’ente, affidare l’incarico di conservazione e gestione dei dati, acquisire le idonee garanzie sulla regolare conservazione dei dati.

Le informazioni personali, in nessun caso saranno fornite a soggetti terzi che non sia espressamente autorizzati, mediante provvedimenti formali di affidamento di specifiche funzionalità, con la prescrizione di precise garanzie in ordine al rispetto degli obblighi relativi al trattamento dei dati personali.

I dati trattati dall’Ente saranno conservati secondo tempi e modalità definite nel Piano di conservazione, nel rispetto delle previsioni dell’art. 68 del D.P.R. 445/2000.

I dati, inoltre, potranno essere trattati da dipendenti e collaboratori autorizzati nell’ambito delle specifiche competenze attribuite e indicati nel Registro del trattamento.

(EVENTUALE) TRATTAMENTO PER FINALITA’ DIVERSE

i dati acquisiti saranno trattati esclusivamente per finalità istituzionali e potranno essere utilizzati per finalità diverse solo nel caso in cui ciò sia richiesto da specifiche disposizioni normative.

DESTINATARI DEI DATI

I dati acquisiti potranno essere trasmessi a istituzioni o altri enti esterni solo nel caso in cui ciò sia previsto dalle norme di legge o sia richiesto dalle procedure affidate dalle procedure attivate dal soggetto interessato.

I dati forniti, inoltre, potranno essere trasmessi a Istituzioni pubbliche, persone fisiche o giuridiche quando ciò sia richiesto dalla legge o risulti funzionale allo svolgimento dell’attività istituzionali.

(EVENTUALI ) GESTORI ESTERNI DEI DATI

Laddove il trattamento dei dati, per ragioni organizzative o di efficienza dei servizi, sia affidato a un soggetto esterno, l’ente provvederà ad assegnare a quest’ultimo la responsabilità del trattamento con le necessarie garanzie in ordine alla idoneità della conservazione dei dati, alla integrità degli stessi, all’attivazione di tutte le misure necessarie per evitare indebiti casi di accesso o divulgazione, nonché ogni eventuale violazione del trattamento.

(EVENTUALE PROFILAZIONE O DECISIONE AUTOMATIZZATA)

i dati forniti all’ente di norma, non saranno utilizzati per processi di profilazione né per l’attivazione di processi decisionali automatizzati. Nei casi in cui ciò invece sia richiesto o comunque attivato, l’ente si impegnerà a informare espressamente i soggetti interessati.

(EVENTUALE) TRASFERIMENTO DEI DATI A UN PAESE TERZO

I dati potranno essere trasmessi a un paese terzo esclusivamente nell’ambito di procedure che lo prescrivano, nonché per espressa richiesta da parte dell’interessato.

DIRITTI DELL’INTERESSATO

L’interessato potrà chiedere l’accesso ai propri dati personali detenuti presso l’ente nonché l’eventuale rettifica o aggiornamento. Potrà inoltre richiedere la cancellazione, laddove risulti un trattamento indebito, errato o ridondante.

Nei casi in cui, l’interessato ritenga che il trattamento dei dati non risponda al principio di necessità o sia ingiustificato o conseguenza di un errore, può opporsi segnalando tale abuso al Titolare del trattamento chiedendo l’immediata rettifica del dato o l’adozione delle misure finalizzate ad assicurare il necessario adeguamento.

In ogni caso, qualora riscontri delle possibili violazioni, ha il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, all’indirizzo ….

TITOLARI E RESPONSABILI DEL TRATTAMENTO

Il titolare del trattamento dei dati è il Comune di ……(o altro ente) ……… il cui indirizzo di posta elettronica è ….

I responsabili del trattamento dei dati sono i funzionari responsabili dei servizi in base alla competenza della materia.

Il responsabile della protezione dei dati designato dall’Ente è il …… il cui indirizzo di posta elettronica è ……

10. richiesta di accesso ai fogli di presenza dei dipendenti

E’ pervenuta una richiesta da parte di un avvocato che, nell’interesse di un proprio cliente, nell’ambito di un procedimento giudiziario dinnanzi  (non specifica se civile o penale) con la quale, dovendo impugnare una vendita di un autoveicolo la cui dichiarazione è stata autenticata dal dipendente comunale, chiede che venga attestata la presenza in servizio del detto dipendente in un dato giorno e in una data fascia oraria.

Non avendo in tale istanza specificato la norma in base alla quale esercita il diritto ad avere tale attestazione, nonché avendo tale attestazione possibili implicazioni inerenti il diritto alla riservatezza del dipendente comunale del quale si richiede di verificarne la presenza in servizio, con la presente si chiede  di voler fornire un parere.


E’ opportuno precisare che la richiesta oggetto del quesito, così come illustrata, non apparirebbe qualificabile come esercizio del diritto di accesso, quanto, invece, come una richiesta di “attestazione” in ordine alla circostanza di cui si richiede di dichiarare la veridicità.

E’ evidente che se la questione rimanesse circoscritta a tale richiesta, non rientrando tra le attività che “chiunque” possa richiedere dall’ente, nella forma utilizzata, potrebbe trovare come risposta il semplice diniego, rimandando, all’autorità giudiziaria ogni eventuale richiesta di attestazione, nell’ambito di un procedimento giudiziario.

Laddove, invece, il richiedente avesse fatto riferimento a una specifica informazione o documento, si sarebbe configurata, invece, una situazione di esercizio di accesso agli atti che a sua volta avrebbe potuto rientrare nella fattispecie dell’ “accesso documentale” ex art. 22 della legge 241/1990 o dell’ “accesso civico” ex art. 5 del decreto legislativo 33/2013, a seconda se la richiesta sia alimentata, rispettivamente, da un interesse privato o da un interesse pubblico.

Al riguardo, tuttavia, è opportuno fare riferimento alla Circolare n. 2 del Ministro per la Semplificazione e la Pubblica Amministrazione che, nel punto 2.2 i, precisa quanto segue: “dato che l’istituto dell’accesso generalizzato assicura una più ampia tutela all’interesse conoscitivo, qualora non sia specificato un diverso titolo giuridico della domanda (ad es. procedimentale, ambientale, ecc.), la stessa dovrà essere trattata dall’amministrazione come richiesta di accesso generalizzato”.

Da ciò consegue che, ai fini dell’eventuale accoglimento, la richiesta dovrà essere esaminata in ragione della eventuale ostensibilità del documento, già in possesso dell’ente, da cui possa evincersi il dato richiesto, relativo alla presenza in servizio del dipendente.

Il merito della questione attiene quindi, alla possibilità di accogliere una richiesta, pur in assenza di un interesse specifico, in quanto non risulta sia supportata da idonea documentazione, che sia sostenuta da un interesse generalizzato tale da giustificare l’applicazione dell’istituto dell’accesso civico.

A tal fine può tornare utile il richiamo alla sentenza n. 5901/2017 del Tar Campania, che ad ogni buon fine si riporta in allegato, che esaminando il caso di una richiesta di “accesso ai dati e ai fogli di presenza e/o a corrispondenti strumenti, anche informatici, di rilevazione delle presenze sul luogo di lavoro, in quanto atti pubblici”, riferiti a un dipendente, in un determinato arco temporale.

Nel provvedimento richiamato si precisa che l’ampio diritto all’informazione e alla trasparenza dell’attività delle amministrazioni di cui al decreto 33/2013 resta temperato solo dalla necessità di garantire le esigenze di riservatezza, di segretezza e di tutela di determinati interessi pubblici e privati (come elencati nell’art. 5 bis del d. lgs. 33/2013) che diventano l’eccezione alla regola, alla stregua degli ordinamenti caratterizzati dal sistema FOIA, (l’acronimo deriva dal Freedom of Information Act, e cioè la legge sulla libertà di informazione adottata negli Stati Uniti il 4 luglio 1966).

Si aggiunge, inoltre che, mentre la legge 241/1990 esclude espressamente l’utilizzabilità del diritto di accesso per sottoporre l’amministrazione a un controllo generalizzato, il diritto di accesso generalizzato è riconosciuto proprio «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico».

Ciò vuol dire che, come esplicitato nelle linee guida ANAC (del. 1309/2016) l’Ente che riceve la richiesta è tenuto a effettuare un’attività valutativa con la tecnica del bilanciamento, ponderando gli interessi in gioco tra l’interesse pubblico alla disclosure generalizzata e la tutela dei dati personali che possono venire in evidenza.

Il Tribunale afferma, infatti, che i dati e i fogli di presenza sono da considerarsi quali “atti pubblici”.

Considerando gli interessi in gioco e cioè il diritto a conoscere se un dipendente di una pubblica amministrazione, sia semplicemente presente al lavoro in un determinato periodo e il diritto del controinteressato a che non sia rivelata la presenza perché afferente a un dato personale, appare certamente prevalente il diritto a conoscere del richiedente.

Ad avviso del Collegio, infatti, la documentazione richiesta, dalla quale emergono i rilevamenti delle presenze del personale in servizio, rientra proprio nell’ambito della possibilità di controllo sul perseguimento da parte di un dato ente delle funzioni istituzionali e sull’utilizzo da parte di questo delle risorse pubbliche, finalizzato alla partecipazione al dibattito pubblico.

In conclusione, inoltre, si afferma che, benché si riconosca la necessità di conoscere l’avviso dei controinteressati, “va comunque escluso che l’amministrazione possa legittimamente assumere quale unico fondamento del diniego di accesso agli atti la mancanza del consenso da parte dei soggetti controinteressati, atteso che la normativa in materia di accesso agli atti, lungi dal rendere i controinteressati arbitri assoluti delle richieste che li riguardino, rimette sempre all’amministrazione destinataria della richiesta di accesso il potere di valutare la fondatezza della richiesta stessa, anche in contrasto con l’opposizione eventualmente manifestata dai controinteressati (cfr. sentenza n. 1380 del 9 marzo 2017)”.

Da quanto sopra consegue che la richiesta pervenuta all’ente, relativa alla “attestazione della presenza in servizio” di un determinato dipendente, può essere accolta nella forma dell’accesso civico generalizzato alla documentazione relativa alla registrazione della presenza in servizio per il giorno individuato, allo scopo di verificare il rispetto di tale obbligo anche da parte di uno specifico dipendente.

09. Responsabilità esterna del trattamento. Chi attribuisce l’incarico?

ho necessità di chiarire il “ruolo” del “Responsabile del Trattamento”, al fine di individuare il soggetto tenuto alla sottoscrizione del disciplinare con la ditta esterna. Infatti nel comune di XXX il Sindaco, con proprio decreto, ha incaricato i Responsabili di servizio del ruolo di “Responsabili del trattamento”, demandando agli stessi di autorizzare i dipendenti assegnati alla propria area, con proprio atto, al trattamento dei dati, e di sottoscrivere il disciplinare integrativo dei contratti di servizio in essere con soggetti esterni.

Al riguardo vi sono due posizioni differenti in merito, sostenute dalla sottoscritta e dal Responsabile del Servizio Tributi, il quale ritiene dalla lettura dell’art. 28 del Regolamento europeo, e alla luce delle intervenute modifiche di cui al Dlgs 101/2018, il “Responsabile del trattamento” sia solo quello esterno, e che ogni soggetto interno al comune sia un “designato”, e che non si tratti di una questione terminologica o organizzativa (individuare all’interno dell’ente i Responsabili di Trattamento e/o i designati).

Dalla lettura delle norme effettuata dal Responsabile dei Tributi, in particolare il Dlgs n. 101/18 che abroga le disposizioni degli artt. 28/30 del Dlsg 196/03, se all’interno dell’ente tutti i dipendenti, siano Responsabili di Servizio o meno, sono definiti dalla nuova normativa “designati” allo svolgimento delle attività inerenti al trattamento dei dati, non vi sarà un rapporto “a cascata” tra Titolare del trattamento – (che designa) – Responsabile del Trattamento (ovvero Responsabile del Servizio) (che a sua volta designa) e altri dipendenti, ma è il Titolare del trattamento che individua tra i dipendenti, a prescindere dal ruolo, i designati, indicando le loro attribuzioni in materia di trattamento dati… per cui ne consegue che, non essendovi un Responsabile del Trattamento interno, sarà il Titolare che sottoscriverà il disciplinare con la ditta esterna.

La questione in effetti in tal caso non sarebbe solo terminologica, in quanto se il Responsabile è solo quello esterno, o se è invece il “nome” usato anche per il designato interno, comporta differenti conseguenze in ordine a chi ha il potere, ai sensi dell’art. 2 quaterdecies comma 2 del Dlgs 101/18, di “autorizzare le persone che operano sotto la propria autorità” al trattamento dei dati (e quindi incide sui rapporti tra titolare e dipendenti del comune)

Mi avvalgo della Sua collaborazione al fine di chiarire la questione della corretta individuazione del “Responsabile” del trattamento!


La questione da Lei posta riguarda un tema diffuso, tra le pubbliche amministrazioni, che deriva dalla scelta di regolamentare la materia del trattamento dei dati in modo uniforme, sia per le pubbliche amministrazioni, sia per le aziende private, peraltro indipendentemente dalle loro dimensioni, caratteristiche o appartenenza a Stati diversi.

Peraltro, i termini utilizzati nel testo del provvedimento, essendo l’esito di traduzioni dalle versioni originali dei decreti, non possono essere applicati in senso letterale, pretendendo di ricavarne una interpretazione univoca. A ciò si aggiunga la difficoltà di coniugare due diversi sistemi giuridici: quello “continentale” orientato all’affermazione di principi, la cui applicazione è demandata al buon senso e quello “latino” maggiormente prescrittivi e orientato all’applicazione letterale.

Da ciò discende che la regolamentazione operata con il provvedimento europeo ha lo scopo di definire un sistema di regole orientato prevalentemente alla effettività della tutela dei dati, al contenimento dei casi di violazione e all’attribuzione di responsabilità.

Queste ultime, in particolare, nel Regolamento, non sono definite (né potrebbero) in modo puntuale, proprio perché si tratta di un “regolamento generale” che prevede la possibilità che il trattamento o la responsabilità siano affidate, sia a persone fisiche, sia a persone giuridiche.

E’ evidente che se il legislatore europeo avesse voluto dettare un modello unitario avrebbe certamente definito in modo univoco il regime delle responsabilità e degli obblighi connessi in ordine all’attribuzione specifica. E probabilmente avrebbe creato rigidità che non avrebbero consentito la corretta applicazione delle disposizioni o il pieno esercizio consapevole della tutela dei dati.

Certamente l’impianto dettato dal Regolamento generale prevede il “titolare del trattamento” e uno o più “responsabili”.

Al primo corrisponde quanto disciplinato dall’articolo 4, che al punto 7 reca: «titolare del trattamento»: [è] la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

L’ultimo periodo, in particolare. prevede che gli Stati, qualora si tratti di esercizio di funzioni pubbliche, provvedano alla emanazione di “criteri specifici applicabili alla sua designazione”. Questa espressione potrebbe fare ritenere che sia necessaria una integrazione normativa, che nel nostro Paese non è stata emanata, proprio allo scopo di specificare le modalità utili alla “designazione” del Titolare. Anche l’espressione utilizzata “designazione” conferma che il termine non deve essere inteso in modo tassativo (come talvolta accade), come investitura dall’alto, ma come “individuazione” in ragione del ruolo rivestito.

Il riferimento comune alla “persona fisica o giuridica”, inoltre ha lo scopo di fare rientrare nella stessa disciplina qualsiasi tipo di soggetto che operi mediante il trattamento di dati. E’ evidente, però che, poiché la responsabilità è personale, ciò dovrà comunque ricondursi a un soggetto che possa “rispondere” in senso giuridico, del rispetto degli obblighi. Per questa ragione appare convincente la scelta di ritenere, nel caso dei Comuni, titolare, l’Ente locale, nella persona del sindaco pro-tempore.

Ma questo modello organizzativo delle responsabilità deve essere coniugato, inevitabilmente, con il sistema amministrativo vigente in ciascun Paese. Nel nostro Paese, infatti, il Sindaco, pur essendo “rappresentante legale” dell’ente, non ha alcun potere di natura gestionale, né può essere parte in atti di natura negoziale, fatta eccezione per le convenzioni con altre pubbliche amministrazioni, poiché tali atti sono considerati provvedimenti di natura politica.

Il sistema amministrativo delle autonomie locali prevede, infatti, la compresenza di un vertice politico a cui compete la funzione di indirizzo e organizzazione attraverso la designazione dei titolari dei vertici amministrativi ai quali compete l’emanazione di ogni atto che abbia natura dispositiva e di stipula degli atti aventi natura negoziale.

Da ciò consegue che, con riferimento al Regolamento generale, potrebbero configurarsi diversi modelli organizzativi

  1. A) titolarità del trattamento attribuita al Comune nella persona del Sindaco pro tempore, a cui compete la designazione dei Responsabili del trattamento
  2. B) Titolarità del trattamento all’ente, nel suo complesso, di volta in volta esercitata in relazione al ruolo e alle funzioni attribuite

La prima ipotesi, a mio avviso, maggiormente rispondente al sistema amministrativo vigente, consente al titolare (Sindaco) di provvedere alla individuazione dei Responsabili del trattamento e all’adozione degli atti organizzativi necessari ad assicurare il regolare trattamento dei dati.

La seconda ipotesi, a mio avviso, può essere foriera di confusioni e comunque richiederebbe l’intervento del vertice politico a cui compete sia la definizione dell’organizzazione, sia della individuazione dei titolari delle strutture apicali. In questo caso verrebbe da chiedersi come si potrebbe configurare il vertice politico (supertitolare?). 

Si ha anche notizia di un terzo modello per i quale il Comune sarebbe Titolare del trattamento, come persona giuridica, i Responsabili, soltanto dei soggetti “designati” al trattamento e la Responsabilità sarebbe attribuita a soggetti esterni all’ente.

Su quest’ultima ipotesi preferisco non soffermarmi poiché non ne colgo, né le ragioni, né l’utilità.

Anche la Responsabilità del trattamento ha generato diversità di vedute che hanno portato all’adozione di altrettanti modelli organizzativi.

Al riguardo premetto che, a mio avviso, la diversità di modelli da adottare non è da ritenersi un limite del provvedimento, ma al contrario un’opportunità concessa a ciascun “titolare” di configurare il proprio sistema, purché ciò assicuri la piena tutela delle persone fisiche con riferimento al trattamento dei dati e la sicura definizione dei ruoli e delle responsabilità.

A mio avviso, il modello maggiormente calzante con il sistema amministrativo italiano è quello che preveda due diversi tipi di responsabilità del trattamento dei dati: interna ed esterna. Laddove la prima riguarda i soggetti che, così come recita il GDPR all’articolo 4, nel punto 8, “tratta dati personali per conto del titolare del trattamento” (cioè dell’Amministrazione dalla quale dipende) e all’articolo 28, “mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Nei casi in cui, invece, il trattamento dei dati sia affidato a un soggetto esterno, si rende necessario che l’ente attribuisca tale funzione a quest’ultimo, relativamente alle fasi del processo e ai dati che vengono trattati per conto dell’ente.

Tale attribuzione di responsabilità, evidentemente, a differenza delle responsabilità di tipo “interno”, rientra in un rapporto contrattuale, non autoritativo, in ragione del fatto che qualunque affidamento di servizi rientra tra le attività previste dall’art. 1, comma 1-bis della legge 241/1990, a meno che non si tratti di attività disposte a seguiti di atti ordinatori.

Da ciò si evince, in piena conformità con l’ordinamento vigente, che l’attribuzione di responsabilità all’esterno, configurandosi come obbligo di tipo adempimentale, connesso alla prestazione affidata, deve risultare all’interno delle disposizioni contrattuali, la cui sottoscrizioni è affidata, inevitabilmente al soggetto che nel nostro ordinamento ha tale potere negoziale.

Peraltro, se può essere utile, lo stesso modello si applica anche nel contesto privato dove non possono certamente configurarsi ipotesi di tipo autoritativo e ogni responsabilità deriva esclusivamente da un rapporto contrattuale, la cui stipula è esercitata, di volta in volta, dal soggetto autorizzato alla conclusione dello stesso contratto a cui si riferisce la fornitura.

Ritornando al Comune di XXX, ritengo doveroso precisare che l’Ente ha già definito il modello di organizzazione del trattamento dei dati, con atto regolamentare che, rappresenta una fonte normativa di secondo grado. Da ciò discende che, pur nel rispetto delle diverse opinioni degli operatori, non è assolutamente consentito disattendere le disposizioni ivi contenute, soprattutto se ciò può comportare la disapplicazione di disposizioni la cui mancata attuazione può arrecare pregiudizio all’ente e alla tutela dei dati personali.

Laddove, in futuro, sorgano nuove questioni interpretative, nel rispetto delle posizioni che possa emergere, suggerisco di invitare, innanzitutto all’applicazione delle norme vigenti, rimandando a un secondo tempo la eventuale trattazione in materia dottrinale, sia per assicurare la certezza delle norme da applicare, sia per evitale l’insorgere di conflitti di posizione ideologica sull’applicazione delle norme.

Sia chiaro che, qualora il Garante per la protezione dei dati personali esprima un avviso diverso da quello da me esposto, sarà mia cura adeguarmi prontamente e conseguentemente informarla.

08. E’ possibile affidare la responsabilità del trattamento a un soggetto terzo individuato dall’affidatario di un servizio?

Il mio ente ha affidato un servizio che richiede il trattamento di dati personali. Abbiamo chiesto alla società affidataria di sottoscrivere la responsabilità del trattamento dei dati, ma ci hanno risposto che loro hanno individuato un responsabile esterno, quindi richiedono al nostro ente di disporre che quel soggetto esterno sia il responsabile del trattamento. E’ corretto?


La responsabilità del trattamento dei dati, riferita a uno specifico servizio, può essere affidata a un soggetto esterno all’ente  esclusivamente nella forma contrattuale, con riferimento alle prestazioni richieste per le quali entra in possesso dei dati

L’ente, infatti, non ha alcun titolo per emettere un provvedimento nei confronti un soggetto terzo, diverso dall’affidatario, che non abbia mai individuato e con il quale non abbia alcun rapporto di tipo contrattuale. Nè può ritenersi idonea a instaurare tale rapporto la segnalazione di un terzo, da parte del soggetto contraente.

Ciò non vuol dire che la società affidataria non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento dei dati gestiti all’interno di un servizio. Ma tale scelta attiene all’autonoma determinazione della società stessa, nella scelta dei propri fornitori di servizi. 

Qualora la società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati, nell’ambito del servizio gestito per conto dell’Ente, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio, ma dovrà esclusivamente prendere atto di tale scelta “organizzativa” che, essendo tale, ricade nella piena responsabilità dell’affidatario che dovrà fornire adeguate assicurazioni in ordine alla idoneità del soggetto da lui prescelto, oltre che della regolarità nell’esercizio della responsabilità in ordine al trattamento dei dati.

In particolare, il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, dovrà avvenire nel rispetto delle seguenti modalità:

  1. La società affidataria, dovrà sottoscrivere gli impegni previsti, conformemente alle prescrizioni del RGPD, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, avendola specificamente individuata.
  2. La società, inoltre, dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata di assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.
  3. La stessa società, infine, si impegna a fornire al Responsabile del trattamento, da lei individuato, ogni strumento o informazione utile ai fini dell’espletamento del servizio, assicurandone la continuità e garantendone l’espletamento in caso di interruzione, sospensione o revoca, obbligandosi a informare tempestivamente l’Ente nel caso in cui si verifichi un eventuale avvicendamento.

456 Visite totali, 2 visite odierne

07. Contrassegno per disabili: riportare i dati viola la privacy?

chiedo  se,  a seguito del decreto attuativo di adeguamento delle norme sulla privacy,  devo indicare i dati personali con foto sul contrassegno per i disabili rilasciato dall’Ente,  ai sensi del regolamento di cui al DPR 495/1992 e ss. mm.


il nuovo contrassegno per i disabili motori si compone di due parti che, una volta plastificate si configurano come due facciate, delle quali una si espone sul parabrezza dell’auto, mentre l’altra rimane nascosta. Nella prima (quella che si espone) è rappresentata l’icona azzurra e indicato esclusivamente il numero dell’autorizzazione e il nome dell’ente che l’ha rilasciata. Nella parte che non si espone sono contenute la fotografia dell’intestatario dell’autorizzazione e le sue generalità. Questo accorgimento è stato adottato proprio al fine di consentire sia l’esposizione, senza l’indicazione delle generalità, sia l’intestazione del permesso, allo scopo di verificarne la correttezza nell’utilizzo.

Da ciò si deduce che l’indicazione delle generalità, come richiesto, non comporta alcune violazione alla riservatezza.

516 Visite totali, 2 visite odierne

 

06. CODICE DI COMPORTAMENTO: è necessario adattarlo al nuovo Regolamento sul trattamento dei dati?

Il codice di comportamento di cui al DPR 62/2013 personalizzato da ogni PA  deve essere modificato/integrato per adeguarlo alla nuova normativa in tema di privacy? Faccio riferimento all’art.20 d.lgs.101/2018.


L’articolo richiamato (20 del dlgs 101/2018) reca nella rubrica “Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto” e fa riferimento alle disposizioni di carattere deontologico richieste agli enti che si caratterizzano per un trattamento di dati ai quali è attribuita particolare attenzione. Tuttavia, il richiamo all’esigenza di codici deontologici è comune a tutti gli enti. Peraltro le pubbliche amministrazioni rientrano centralmente tra qui soggetti che debbono individuare regole specifiche riguardo al trattamento dei dati. A tal fine è opportuno (necessario) che il codice di comportamento dei dipendenti pubblici, di ciascuna amministrazione, sia aggiornato adeguandolo alle disposizioni del Regolamento generale sulla protezione dei dati.

L’art. 12 del DPR 62/2013 già recava, al comma 5 “Il dipendente osserva il segreto d’ufficio e la normativa in materia di tutela e trattamento dei dati personali”. 

L’aggiornamento potrebbe consistere nell’integrazione con la previsione di specifiche disposizioni relative al trattamento dei dati relativi a:

  1. a) particolare cura nella conservazione, assicurandone l’integrità e l’utilizzo quando necessario
  2. b) utilizzo delle prescrizioni fornite dall’ente riguardo la modifica dei dati che vengono trattati
  3. c) rispetto delle disposizioni in materi di accesso e divulgazione dei dati di cui si dispone

In particolare è opportuno evidenziare le responsabilità connesse alle situazioni di violazione individuate dall’art. 4: 

  • distruzione
  • perdita
  • modifica
  • accesso
  • divulgazione

Peraltro è opportuno precisare che l’inserimento di specifiche disposizioni nel Codice di comportamento ne facilita l’individuazione e se necessario la comminazione di sanzioni

802 Visite totali, 2 visite odierne

05. MENSA SCOLASTICA: utilizzo di un cartellino di diverso colore

Nel mio Comune i tesserini per il diritto al pasto nella mensa scolastica hanno colore diverso in base alla tariffa applicata e all’esenzione. A suo giudizio possiamo continuare a utilizzare questo sistema o può trattarsi della violazione della privacy?


Il caso che sottopone rientra tra le fattispecie di “privacy by design” che configura i casi in cui un soggetto viene identificato per una delle situazioni che richiedono la tutela della riservatezza, come quella che riguarda la sua capacità economica.

Nel caso in esame, infatti, inevitabilmente si creerà una situazione di palese distinzione che renderà immediatamente identificabili i bambini i cui genitori siano meno abbienti. Certamente, oltre agli aspetti di buon senso, in considerazione delle conseguenze che si possono generare sia nel bambino, sia nel contesto, si tratta della violazione di una informazione “privata”, oltre che “riservata”, fornita senza che sia necessario.

453 Visite totali, 2 visite odierne

04. quale trattamento per la mail dei dipendenti che cessano dal servizio ?

Uno dei dirigenti del mio ente è stato collocato a riposo. A lui era stata attribuita una casella di posta elettronica, il cui indirizzo era regolarmente pubblicato sul sito istituzionale e sicuramente continua a ricevere altre comunicazioni da chi non è al corrente della sua cessazione dal servizio. Nel frattempo, in considerazione di ciò, il CED ha disabilitato l’accesso all’interessato e vuole disporre la cancellazione di tutti i messaggi, senza consentire alcun accesso poiché si tratta di informazioni personali. Ritiene che sia corretto o possiamo incorrere in qualche violazione? Le chiedo gentilmente di volerci suggerire una eventuale soluzione che consenta di risolvere la questione.


La gestione della casella di posta elettronica “istituzionale”, anche se identificata con il nome e il cognome del dipendente è da considerarsi come strumento di comunicazione utilizzato esclusivamente nell’interesse dell’Ente.  In questo caso concorrono due elementi importanti: 1) l’esigenza di un utilizzo corretto e finalizzato all’interesse dell’Ente; 2) il trattamento di dati che possono essere di tipo “personale” o persino “riservato” nei casi in cui la funzione esercitata lo preveda o nei casi di confidenzialità con l’interlocutore.

Da ciò discende la necessità, ogni volta che si attribuisce una casella di posta elettronica, di disciplinarne l’uso prescrivendo quanto segue:

  1. la gestione della casella per esclusivo interesse dell’Ente
  2. l’obbligo di rimuovere dalla casella ogni informazione di carattere personale che non sia pertinente alle attività dell’Ente
  3. l’obbligo di trasferire ogni informazione, documento, immagine, ecc. nel flusso documentale dell’ente, sia ai fini della trattazione, sia ai fini della idonea conservazione.

A mio avviso questo prescrizioni possono aggiungersi nel Codice di comportamento dei dipendenti, prescrivendo una periodica manutenzione della casella di posta elettronica, sia per evitare un inutile ingolfamento, sia per garantire che ogni comunicazione sia stata evasa o rimossa.

Inoltre, per evitare la situazione che descrive, a mio avviso è necessario che, in prossimità della cessazione del servizio, il dipendente abbia l’obbligo di svuotare la propria casella, assicurando la cancellazione dei messaggi non pertinenti e l’inoltro di quelli che richiedono trattazione, consentendo così una corretta rimozione definitiva della casella.

Tutto ciò, inoltre, può risolversi adottando la scelta di attivare esclusivamente caselle di posta elettronica con l’indicazione dell’ufficio e non “nominative”, in modo che, in caso di cambio di titolarità dell’ufficio, l’accesso possa essere trasferito ad altro soggetto (come già fanno i segretari comunali che mantengono casella di posta istituzionale).

Tale scelta non impedisce di istituire caselle di posta nominative che potrebbero essere reindirizzate verso la casella relativa all’ufficio.

03. PORTATORI DI HANDICAP: Quale informativa per il censimento dei portatori di disabilità ai fini della protezione civile?

L’Amministrazione del mio Ente intende effettuare un censimento della popolazione residente portatrice di disabilità allo scopo di avere un quadro quanto più possibile aderente alla realtà da usare in caso di bisogno a seguito di eventi calamitosi (rischi idrogeologici a seguito abbondanti piogge, allagamenti di vie e piazze cittadine, straripamento dei torrenti che attraversano il territorio comunale ecc.) quale servizio da rendere a questi soggetti particolarmente deboli. L’attività di aiuto e soccorso verso queste persone dovrebbe inserirsi nella redigenda revisione del Piano di Protezione Civile Comunale.

            Trattandosi di dati sensibili relativi alla salute del soggetto Le chiedo le modalità di acquisizione dei detti dati personali anagrafici, (cognome, nome residenza, età, recapito telefonico ecc.) e sanitari (tipo di disabilità, se allettato, se trattasi di disabilità psichica, se esistono soggetti che accudiscono il disabile ecc.). Essi dati  dovrebbero essere forniti dall’utente che li comunica a questo Ente tramite l’inoltro di una apposita comunicazione il cui modello verrebbe fornito dall’Ente. Detti dati saranno poi immessi in un elenco (data base) e usati secondo i fini sopra evidenziati in caso di bisogno.

            Le chiedo:

  1. a) Quali indicazioni dovrebbe contenere il modello di comunicazione predisposto da questo Ente?
  2. b) Oltre al Sindaco occorre nominare un responsabile del trattamento dati?
  3. c) Occorre individuare il soggetto che materialmente inserisce (legge) i dati?
  4. d) La predisposizione del registro (data Base) necessita di particolari cautele?
  5. e) La possibile presenza di soggetti minorenni necessita di particolari cautele?
  6. f) Bisogna indicare il soggetto cui rivolgersi nel caso l’utente intendesse modificare i propri dati o la cancellazione degli stessi?
  7. g) esistono particolari procedure in caso di decesso del soggetto?

Il caso che sottopone rientra tra le funzioni che l’Ente esercita nell’interesse pubblico e nel caso di specie dei diretti interessati. Le informazioni, inoltre, rientrano tutte tra quelle che possono ritenersi quali “dati sensibili” in ragione della condizione del soggetti che vengono censiti.

Il modello che l’Ente dovrà predisporre, conterrà tutte le informazioni che lei ha abilmente descritto, con l’aggiunta di dati relativi al contesto delle strutture fisiche, al fine di valutare la facile amovibilità.

Il titolare del trattamento è certamente il Comune, ma è certamente necessario che sia individuato un Responsabile del trattamento, nella persona che avrà la responsabilità del servizio e della organizzazione e gestione dei dati

I soggetti che provvederanno all’inserimento dei dati dovranno essere censiti, ma soltanto ai fini della loro annotazione nel registro del trattamento, senza alcuna necessitò di comunicarli all’interessato

Le cautele richieste sono tutte quelle che riguardano il trattamento dei dati avendo cura della gestione delle informazioni residenti su supporti cartacei, sia per la loro conservazione, sia per la loro eventuale indebita diffusione.

Come negli altri casi, nel testo della “informazione” da fornire ai cittadini, allegata al modello, dovrà essere riportata ogni indicazione relativa al trattamento dei dati, alla possibilità di accedervi, anche per eventuali aggiornamenti, nonché per la cancellazione, se necessario.

14,551 Visite totali, 2 visite odierne

02.Una società può chiedere che il Comune nomini un soggetto terzo come Responsabile del trattamento ?

Una società che fornisce un servizio informatico all’Ente non vuole assumere l’incarico di Responsabile del trattamento e richiede che l’Ente, con un proprio provvedimento, nomini un soggetto esterno, indicato dalla società stessa. E’ corretto?


Poiché il rapporto tra il Comune di XXX e la società XXX è definito in virtù di una disposizione contrattuale, è evidente che ogni ulteriore definizione di responsabilità relativa alla stessa prestazione, dovrà essere oggetto di una successiva stipula che integri i reciproci impegni già assunti in sede contrattuale. Né potrebbe essere diversamente, poiché il rapporto in essere non deriva da provvedimenti di natura autoritativa avente carattere unilaterale.

Per la stessa considerazione, il Comune di XXX  non potrà affidare l’incarico di Responsabile del trattamento, con atto dispositivo unilaterale a un soggetto terzo che non riveste alcun ruolo nell’ambito della prestazione.

Ciò non vuol dire che la società XXX  non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento. Ma tale scelta attiene all’autonoma determinazione della società nella scelta dei propri fornitori di servizi.

Qualora la richiamata società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati nell’ambito del servizio gestito per conto del Comune di XXX, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio.

Il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, infatti, dovrà avvenire secondo le seguenti modalità:

  1. La società XXX, utilizzando il modello di disciplinare già fornito, che riporta fedelmente le prescrizioni contenute nel RGPD, dovrà sottoscrivere gli impegni previsti, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, cioè XXX, avendola specificamente individuata.
  2. La società XXX dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata ad assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.

301 Visite totali, 2 visite odierne

01. CONTROLLO ACCESSI: quali accorgimenti per installare videocamere per l’accesso agli uffici

Intendo richiedere al Responsabile dell’Anticorruzione (Segretario Comunale), quale ulteriore misura a ridurre e/o scongiurare l’assenteismo, l’attivazione della fotocamera del terminale segna/presenze al fine di verificare la rispondenza tra colui che vidima il badge e l’intestatario di tale badge (fotografia al momento delle timbrature in entrata ed in uscita).
Oltre a segnalare a tutto il personale dipendente tale nuovo sistema di identificazione è necessario, ai fini della privacy, adottare eventuali atti e/o applicare eventuale cartellonistica nel luogo in cui avviene tale operazione.

La segnalazione, come Lei giustamente afferma, deve essere espressa nella forma della “informazione”, nel rispetto delle prescrizioni contenute nell’articolo 13 del Regolamento europeo.
In particolar modo è opportuno che ciascun dipendente sia informato di quanto segue:
1) Finalità e base giuridica del trattamento: richiamando la norma di legge che prevede l’uso delle telecamere al fine di monitorare l’accesso ai luoghi di lavoro
2) Titolare e responsabile del trattamento
3) Destinatari dei dati: precisando chi può accedere alle immagini che vengono catturate,
4) Eventuali gestori esterni a cui l’Ente affida il compito della conservazione delle immagini
5) Eventuale “profilazione”, se attraverso le immagini l’Ente intenda elaborare informazioni o assumere decisioni
6) Diritto dell’interessato, con riferimento alle verifiche sulla regolarità del trattamento e della cancellazione
Per quanto riguarda l’utilizzo di cartelli, se il sistema si attiva esclusivamente in occasione della timbratura e inquadra esclusivamente la persona che timbra, l’informazione può essere circoscritta a un avviso collocato nello spazio in cui avviene l’operazione
299 Visite totali, 2 visite odierne