FAQ

Qui di seguito sono riportate alcune risposte ai quesiti pervenuti in materia di “trattamento dei dati personali”, di maggiore rilievo.

Resta inteso che si tratta di mero contributo dottrinale, senza alcun valore ufficiale e in assoluta conformità con le prescrizioni dell’Autorità garante per la protezione dei dati personali.

11. INFORMATIVA GENERALE SUL TRATTAMENTO DEI DATI: come farla e dove pubblicarla

Alcuni enti hanno pubblicato una informativa di tipo generale. Secondo lei è necessario? E in caso affermativo, quali informazioni deve contenere e dove deve essere pubblicata?


Certamente la pubblicazione sul sito istituzionale di una “informazione generale sul trattamento dei dati” è utile, anche se non può sostituirsi a tutte quelle “informative” specifiche per ciascuno dei processi che richiedano il trattamento di dati personali.

I contenuti da pubblicare, a titolo esemplificativo, possono essere così organizzati:

INFORMAZIONE GENERALE SUL TRATTAMENTO DEI DATI PERSONALI

FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

I dati personali che l’ente acquisirà, sia in forma cartacea che informatica, saranno trattati esclusivamente per le finalità istituzionali, nel rispetto dei principi di correttezza, liceità, trasparenza e di tutela della riservatezza, secondo le prescrizioni contenute nel Regolamento Generale per la protezione dei dati personali, nonché delle disposizioni legislative italiane e delle indicazioni fornite dall’Autorità Garante della protezione dei dati personali.

MODALITA DEL TRATTAMENTO DEI DATI PERSONALI FORNITI

I dati forniti al Comune di….  saranno acquisiti e trattati esclusivamente dagli uffici competenti per materia e coordinati dal Responsabile del trattamento, di volta in volta indicato. Ai fini del trattamento saranno utilizzati sia documenti cartacei, sia documenti e dati informatici che possono risiedere presso gli archivi degli uffici di competenza o presso sistemi idonei alla conservazione informatica, anche in modalità remota. In quest’ultimo caso sarà cura dell’ente, affidare l’incarico di conservazione e gestione dei dati, acquisire le idonee garanzie sulla regolare conservazione dei dati.

Le informazioni personali, in nessun caso saranno fornite a soggetti terzi che non sia espressamente autorizzati, mediante provvedimenti formali di affidamento di specifiche funzionalità, con la prescrizione di precise garanzie in ordine al rispetto degli obblighi relativi al trattamento dei dati personali.

I dati trattati dall’Ente saranno conservati secondo tempi e modalità definite nel Piano di conservazione, nel rispetto delle previsioni dell’art. 68 del D.P.R. 445/2000.

I dati, inoltre, potranno essere trattati da dipendenti e collaboratori autorizzati nell’ambito delle specifiche competenze attribuite e indicati nel Registro del trattamento.

(EVENTUALE) TRATTAMENTO PER FINALITA’ DIVERSE

i dati acquisiti saranno trattati esclusivamente per finalità istituzionali e potranno essere utilizzati per finalità diverse solo nel caso in cui ciò sia richiesto da specifiche disposizioni normative.

DESTINATARI DEI DATI

I dati acquisiti potranno essere trasmessi a istituzioni o altri enti esterni solo nel caso in cui ciò sia previsto dalle norme di legge o sia richiesto dalle procedure affidate dalle procedure attivate dal soggetto interessato.

I dati forniti, inoltre, potranno essere trasmessi a Istituzioni pubbliche, persone fisiche o giuridiche quando ciò sia richiesto dalla legge o risulti funzionale allo svolgimento dell’attività istituzionali.

(EVENTUALI ) GESTORI ESTERNI DEI DATI

Laddove il trattamento dei dati, per ragioni organizzative o di efficienza dei servizi, sia affidato a un soggetto esterno, l’ente provvederà ad assegnare a quest’ultimo la responsabilità del trattamento con le necessarie garanzie in ordine alla idoneità della conservazione dei dati, alla integrità degli stessi, all’attivazione di tutte le misure necessarie per evitare indebiti casi di accesso o divulgazione, nonché ogni eventuale violazione del trattamento.

(EVENTUALE PROFILAZIONE O DECISIONE AUTOMATIZZATA)

i dati forniti all’ente di norma, non saranno utilizzati per processi di profilazione né per l’attivazione di processi decisionali automatizzati. Nei casi in cui ciò invece sia richiesto o comunque attivato, l’ente si impegnerà a informare espressamente i soggetti interessati.

(EVENTUALE) TRASFERIMENTO DEI DATI A UN PAESE TERZO

I dati potranno essere trasmessi a un paese terzo esclusivamente nell’ambito di procedure che lo prescrivano, nonché per espressa richiesta da parte dell’interessato.

DIRITTI DELL’INTERESSATO

L’interessato potrà chiedere l’accesso ai propri dati personali detenuti presso l’ente nonché l’eventuale rettifica o aggiornamento. Potrà inoltre richiedere la cancellazione, laddove risulti un trattamento indebito, errato o ridondante.

Nei casi in cui, l’interessato ritenga che il trattamento dei dati non risponda al principio di necessità o sia ingiustificato o conseguenza di un errore, può opporsi segnalando tale abuso al Titolare del trattamento chiedendo l’immediata rettifica del dato o l’adozione delle misure finalizzate ad assicurare il necessario adeguamento.

In ogni caso, qualora riscontri delle possibili violazioni, ha il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, all’indirizzo ….

TITOLARI E RESPONSABILI DEL TRATTAMENTO

Il titolare del trattamento dei dati è il Comune di ……(o altro ente) ……… il cui indirizzo di posta elettronica è ….

I responsabili del trattamento dei dati sono i funzionari responsabili dei servizi in base alla competenza della materia.

Il responsabile della protezione dei dati designato dall’Ente è il …… il cui indirizzo di posta elettronica è ……

10. richiesta di accesso ai fogli di presenza dei dipendenti

E’ pervenuta una richiesta da parte di un avvocato che, nell’interesse di un proprio cliente, nell’ambito di un procedimento giudiziario dinnanzi  (non specifica se civile o penale) con la quale, dovendo impugnare una vendita di un autoveicolo la cui dichiarazione è stata autenticata dal dipendente comunale, chiede che venga attestata la presenza in servizio del detto dipendente in un dato giorno e in una data fascia oraria.

Non avendo in tale istanza specificato la norma in base alla quale esercita il diritto ad avere tale attestazione, nonché avendo tale attestazione possibili implicazioni inerenti il diritto alla riservatezza del dipendente comunale del quale si richiede di verificarne la presenza in servizio, con la presente si chiede  di voler fornire un parere.


E’ opportuno precisare che la richiesta oggetto del quesito, così come illustrata, non apparirebbe qualificabile come esercizio del diritto di accesso, quanto, invece, come una richiesta di “attestazione” in ordine alla circostanza di cui si richiede di dichiarare la veridicità.

E’ evidente che se la questione rimanesse circoscritta a tale richiesta, non rientrando tra le attività che “chiunque” possa richiedere dall’ente, nella forma utilizzata, potrebbe trovare come risposta il semplice diniego, rimandando, all’autorità giudiziaria ogni eventuale richiesta di attestazione, nell’ambito di un procedimento giudiziario.

Laddove, invece, il richiedente avesse fatto riferimento a una specifica informazione o documento, si sarebbe configurata, invece, una situazione di esercizio di accesso agli atti che a sua volta avrebbe potuto rientrare nella fattispecie dell’ “accesso documentale” ex art. 22 della legge 241/1990 o dell’ “accesso civico” ex art. 5 del decreto legislativo 33/2013, a seconda se la richiesta sia alimentata, rispettivamente, da un interesse privato o da un interesse pubblico.

Al riguardo, tuttavia, è opportuno fare riferimento alla Circolare n. 2 del Ministro per la Semplificazione e la Pubblica Amministrazione che, nel punto 2.2 i, precisa quanto segue: “dato che l’istituto dell’accesso generalizzato assicura una più ampia tutela all’interesse conoscitivo, qualora non sia specificato un diverso titolo giuridico della domanda (ad es. procedimentale, ambientale, ecc.), la stessa dovrà essere trattata dall’amministrazione come richiesta di accesso generalizzato”.

Da ciò consegue che, ai fini dell’eventuale accoglimento, la richiesta dovrà essere esaminata in ragione della eventuale ostensibilità del documento, già in possesso dell’ente, da cui possa evincersi il dato richiesto, relativo alla presenza in servizio del dipendente.

Il merito della questione attiene quindi, alla possibilità di accogliere una richiesta, pur in assenza di un interesse specifico, in quanto non risulta sia supportata da idonea documentazione, che sia sostenuta da un interesse generalizzato tale da giustificare l’applicazione dell’istituto dell’accesso civico.

A tal fine può tornare utile il richiamo alla sentenza n. 5901/2017 del Tar Campania, che ad ogni buon fine si riporta in allegato, che esaminando il caso di una richiesta di “accesso ai dati e ai fogli di presenza e/o a corrispondenti strumenti, anche informatici, di rilevazione delle presenze sul luogo di lavoro, in quanto atti pubblici”, riferiti a un dipendente, in un determinato arco temporale.

Nel provvedimento richiamato si precisa che l’ampio diritto all’informazione e alla trasparenza dell’attività delle amministrazioni di cui al decreto 33/2013 resta temperato solo dalla necessità di garantire le esigenze di riservatezza, di segretezza e di tutela di determinati interessi pubblici e privati (come elencati nell’art. 5 bis del d. lgs. 33/2013) che diventano l’eccezione alla regola, alla stregua degli ordinamenti caratterizzati dal sistema FOIA, (l’acronimo deriva dal Freedom of Information Act, e cioè la legge sulla libertà di informazione adottata negli Stati Uniti il 4 luglio 1966).

Si aggiunge, inoltre che, mentre la legge 241/1990 esclude espressamente l’utilizzabilità del diritto di accesso per sottoporre l’amministrazione a un controllo generalizzato, il diritto di accesso generalizzato è riconosciuto proprio «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico».

Ciò vuol dire che, come esplicitato nelle linee guida ANAC (del. 1309/2016) l’Ente che riceve la richiesta è tenuto a effettuare un’attività valutativa con la tecnica del bilanciamento, ponderando gli interessi in gioco tra l’interesse pubblico alla disclosure generalizzata e la tutela dei dati personali che possono venire in evidenza.

Il Tribunale afferma, infatti, che i dati e i fogli di presenza sono da considerarsi quali “atti pubblici”.

Considerando gli interessi in gioco e cioè il diritto a conoscere se un dipendente di una pubblica amministrazione, sia semplicemente presente al lavoro in un determinato periodo e il diritto del controinteressato a che non sia rivelata la presenza perché afferente a un dato personale, appare certamente prevalente il diritto a conoscere del richiedente.

Ad avviso del Collegio, infatti, la documentazione richiesta, dalla quale emergono i rilevamenti delle presenze del personale in servizio, rientra proprio nell’ambito della possibilità di controllo sul perseguimento da parte di un dato ente delle funzioni istituzionali e sull’utilizzo da parte di questo delle risorse pubbliche, finalizzato alla partecipazione al dibattito pubblico.

In conclusione, inoltre, si afferma che, benché si riconosca la necessità di conoscere l’avviso dei controinteressati, “va comunque escluso che l’amministrazione possa legittimamente assumere quale unico fondamento del diniego di accesso agli atti la mancanza del consenso da parte dei soggetti controinteressati, atteso che la normativa in materia di accesso agli atti, lungi dal rendere i controinteressati arbitri assoluti delle richieste che li riguardino, rimette sempre all’amministrazione destinataria della richiesta di accesso il potere di valutare la fondatezza della richiesta stessa, anche in contrasto con l’opposizione eventualmente manifestata dai controinteressati (cfr. sentenza n. 1380 del 9 marzo 2017)”.

Da quanto sopra consegue che la richiesta pervenuta all’ente, relativa alla “attestazione della presenza in servizio” di un determinato dipendente, può essere accolta nella forma dell’accesso civico generalizzato alla documentazione relativa alla registrazione della presenza in servizio per il giorno individuato, allo scopo di verificare il rispetto di tale obbligo anche da parte di uno specifico dipendente.

09. Responsabilità esterna del trattamento. Chi attribuisce l’incarico?

ho necessità di chiarire il “ruolo” del “Responsabile del Trattamento”, al fine di individuare il soggetto tenuto alla sottoscrizione del disciplinare con la ditta esterna. Infatti nel comune di XXX il Sindaco, con proprio decreto, ha incaricato i Responsabili di servizio del ruolo di “Responsabili del trattamento”, demandando agli stessi di autorizzare i dipendenti assegnati alla propria area, con proprio atto, al trattamento dei dati, e di sottoscrivere il disciplinare integrativo dei contratti di servizio in essere con soggetti esterni.

Al riguardo vi sono due posizioni differenti in merito, sostenute dalla sottoscritta e dal Responsabile del Servizio Tributi, il quale ritiene dalla lettura dell’art. 28 del Regolamento europeo, e alla luce delle intervenute modifiche di cui al Dlgs 101/2018, il “Responsabile del trattamento” sia solo quello esterno, e che ogni soggetto interno al comune sia un “designato”, e che non si tratti di una questione terminologica o organizzativa (individuare all’interno dell’ente i Responsabili di Trattamento e/o i designati).

Dalla lettura delle norme effettuata dal Responsabile dei Tributi, in particolare il Dlgs n. 101/18 che abroga le disposizioni degli artt. 28/30 del Dlsg 196/03, se all’interno dell’ente tutti i dipendenti, siano Responsabili di Servizio o meno, sono definiti dalla nuova normativa “designati” allo svolgimento delle attività inerenti al trattamento dei dati, non vi sarà un rapporto “a cascata” tra Titolare del trattamento – (che designa) – Responsabile del Trattamento (ovvero Responsabile del Servizio) (che a sua volta designa) e altri dipendenti, ma è il Titolare del trattamento che individua tra i dipendenti, a prescindere dal ruolo, i designati, indicando le loro attribuzioni in materia di trattamento dati… per cui ne consegue che, non essendovi un Responsabile del Trattamento interno, sarà il Titolare che sottoscriverà il disciplinare con la ditta esterna.

La questione in effetti in tal caso non sarebbe solo terminologica, in quanto se il Responsabile è solo quello esterno, o se è invece il “nome” usato anche per il designato interno, comporta differenti conseguenze in ordine a chi ha il potere, ai sensi dell’art. 2 quaterdecies comma 2 del Dlgs 101/18, di “autorizzare le persone che operano sotto la propria autorità” al trattamento dei dati (e quindi incide sui rapporti tra titolare e dipendenti del comune)

Mi avvalgo della Sua collaborazione al fine di chiarire la questione della corretta individuazione del “Responsabile” del trattamento!


La questione da Lei posta riguarda un tema diffuso, tra le pubbliche amministrazioni, che deriva dalla scelta di regolamentare la materia del trattamento dei dati in modo uniforme, sia per le pubbliche amministrazioni, sia per le aziende private, peraltro indipendentemente dalle loro dimensioni, caratteristiche o appartenenza a Stati diversi.

Peraltro, i termini utilizzati nel testo del provvedimento, essendo l’esito di traduzioni dalle versioni originali dei decreti, non possono essere applicati in senso letterale, pretendendo di ricavarne una interpretazione univoca. A ciò si aggiunga la difficoltà di coniugare due diversi sistemi giuridici: quello “continentale” orientato all’affermazione di principi, la cui applicazione è demandata al buon senso e quello “latino” maggiormente prescrittivi e orientato all’applicazione letterale.

Da ciò discende che la regolamentazione operata con il provvedimento europeo ha lo scopo di definire un sistema di regole orientato prevalentemente alla effettività della tutela dei dati, al contenimento dei casi di violazione e all’attribuzione di responsabilità.

Queste ultime, in particolare, nel Regolamento, non sono definite (né potrebbero) in modo puntuale, proprio perché si tratta di un “regolamento generale” che prevede la possibilità che il trattamento o la responsabilità siano affidate, sia a persone fisiche, sia a persone giuridiche.

E’ evidente che se il legislatore europeo avesse voluto dettare un modello unitario avrebbe certamente definito in modo univoco il regime delle responsabilità e degli obblighi connessi in ordine all’attribuzione specifica. E probabilmente avrebbe creato rigidità che non avrebbero consentito la corretta applicazione delle disposizioni o il pieno esercizio consapevole della tutela dei dati.

Certamente l’impianto dettato dal Regolamento generale prevede il “titolare del trattamento” e uno o più “responsabili”.

Al primo corrisponde quanto disciplinato dall’articolo 4, che al punto 7 reca: «titolare del trattamento»: [è] la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

L’ultimo periodo, in particolare. prevede che gli Stati, qualora si tratti di esercizio di funzioni pubbliche, provvedano alla emanazione di “criteri specifici applicabili alla sua designazione”. Questa espressione potrebbe fare ritenere che sia necessaria una integrazione normativa, che nel nostro Paese non è stata emanata, proprio allo scopo di specificare le modalità utili alla “designazione” del Titolare. Anche l’espressione utilizzata “designazione” conferma che il termine non deve essere inteso in modo tassativo (come talvolta accade), come investitura dall’alto, ma come “individuazione” in ragione del ruolo rivestito.

Il riferimento comune alla “persona fisica o giuridica”, inoltre ha lo scopo di fare rientrare nella stessa disciplina qualsiasi tipo di soggetto che operi mediante il trattamento di dati. E’ evidente, però che, poiché la responsabilità è personale, ciò dovrà comunque ricondursi a un soggetto che possa “rispondere” in senso giuridico, del rispetto degli obblighi. Per questa ragione appare convincente la scelta di ritenere, nel caso dei Comuni, titolare, l’Ente locale, nella persona del sindaco pro-tempore.

Ma questo modello organizzativo delle responsabilità deve essere coniugato, inevitabilmente, con il sistema amministrativo vigente in ciascun Paese. Nel nostro Paese, infatti, il Sindaco, pur essendo “rappresentante legale” dell’ente, non ha alcun potere di natura gestionale, né può essere parte in atti di natura negoziale, fatta eccezione per le convenzioni con altre pubbliche amministrazioni, poiché tali atti sono considerati provvedimenti di natura politica.

Il sistema amministrativo delle autonomie locali prevede, infatti, la compresenza di un vertice politico a cui compete la funzione di indirizzo e organizzazione attraverso la designazione dei titolari dei vertici amministrativi ai quali compete l’emanazione di ogni atto che abbia natura dispositiva e di stipula degli atti aventi natura negoziale.

Da ciò consegue che, con riferimento al Regolamento generale, potrebbero configurarsi diversi modelli organizzativi

  1. A) titolarità del trattamento attribuita al Comune nella persona del Sindaco pro tempore, a cui compete la designazione dei Responsabili del trattamento
  2. B) Titolarità del trattamento all’ente, nel suo complesso, di volta in volta esercitata in relazione al ruolo e alle funzioni attribuite

La prima ipotesi, a mio avviso, maggiormente rispondente al sistema amministrativo vigente, consente al titolare (Sindaco) di provvedere alla individuazione dei Responsabili del trattamento e all’adozione degli atti organizzativi necessari ad assicurare il regolare trattamento dei dati.

La seconda ipotesi, a mio avviso, può essere foriera di confusioni e comunque richiederebbe l’intervento del vertice politico a cui compete sia la definizione dell’organizzazione, sia della individuazione dei titolari delle strutture apicali. In questo caso verrebbe da chiedersi come si potrebbe configurare il vertice politico (supertitolare?). 

Si ha anche notizia di un terzo modello per i quale il Comune sarebbe Titolare del trattamento, come persona giuridica, i Responsabili, soltanto dei soggetti “designati” al trattamento e la Responsabilità sarebbe attribuita a soggetti esterni all’ente.

Su quest’ultima ipotesi preferisco non soffermarmi poiché non ne colgo, né le ragioni, né l’utilità.

Anche la Responsabilità del trattamento ha generato diversità di vedute che hanno portato all’adozione di altrettanti modelli organizzativi.

Al riguardo premetto che, a mio avviso, la diversità di modelli da adottare non è da ritenersi un limite del provvedimento, ma al contrario un’opportunità concessa a ciascun “titolare” di configurare il proprio sistema, purché ciò assicuri la piena tutela delle persone fisiche con riferimento al trattamento dei dati e la sicura definizione dei ruoli e delle responsabilità.

A mio avviso, il modello maggiormente calzante con il sistema amministrativo italiano è quello che preveda due diversi tipi di responsabilità del trattamento dei dati: interna ed esterna. Laddove la prima riguarda i soggetti che, così come recita il GDPR all’articolo 4, nel punto 8, “tratta dati personali per conto del titolare del trattamento” (cioè dell’Amministrazione dalla quale dipende) e all’articolo 28, “mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Nei casi in cui, invece, il trattamento dei dati sia affidato a un soggetto esterno, si rende necessario che l’ente attribuisca tale funzione a quest’ultimo, relativamente alle fasi del processo e ai dati che vengono trattati per conto dell’ente.

Tale attribuzione di responsabilità, evidentemente, a differenza delle responsabilità di tipo “interno”, rientra in un rapporto contrattuale, non autoritativo, in ragione del fatto che qualunque affidamento di servizi rientra tra le attività previste dall’art. 1, comma 1-bis della legge 241/1990, a meno che non si tratti di attività disposte a seguiti di atti ordinatori.

Da ciò si evince, in piena conformità con l’ordinamento vigente, che l’attribuzione di responsabilità all’esterno, configurandosi come obbligo di tipo adempimentale, connesso alla prestazione affidata, deve risultare all’interno delle disposizioni contrattuali, la cui sottoscrizioni è affidata, inevitabilmente al soggetto che nel nostro ordinamento ha tale potere negoziale.

Peraltro, se può essere utile, lo stesso modello si applica anche nel contesto privato dove non possono certamente configurarsi ipotesi di tipo autoritativo e ogni responsabilità deriva esclusivamente da un rapporto contrattuale, la cui stipula è esercitata, di volta in volta, dal soggetto autorizzato alla conclusione dello stesso contratto a cui si riferisce la fornitura.

Ritornando al Comune di XXX, ritengo doveroso precisare che l’Ente ha già definito il modello di organizzazione del trattamento dei dati, con atto regolamentare che, rappresenta una fonte normativa di secondo grado. Da ciò discende che, pur nel rispetto delle diverse opinioni degli operatori, non è assolutamente consentito disattendere le disposizioni ivi contenute, soprattutto se ciò può comportare la disapplicazione di disposizioni la cui mancata attuazione può arrecare pregiudizio all’ente e alla tutela dei dati personali.

Laddove, in futuro, sorgano nuove questioni interpretative, nel rispetto delle posizioni che possa emergere, suggerisco di invitare, innanzitutto all’applicazione delle norme vigenti, rimandando a un secondo tempo la eventuale trattazione in materia dottrinale, sia per assicurare la certezza delle norme da applicare, sia per evitale l’insorgere di conflitti di posizione ideologica sull’applicazione delle norme.

Sia chiaro che, qualora il Garante per la protezione dei dati personali esprima un avviso diverso da quello da me esposto, sarà mia cura adeguarmi prontamente e conseguentemente informarla.

08. E’ possibile affidare la responsabilità del trattamento a un soggetto terzo individuato dall’affidatario di un servizio?

Il mio ente ha affidato un servizio che richiede il trattamento di dati personali. Abbiamo chiesto alla società affidataria di sottoscrivere la responsabilità del trattamento dei dati, ma ci hanno risposto che loro hanno individuato un responsabile esterno, quindi richiedono al nostro ente di disporre che quel soggetto esterno sia il responsabile del trattamento. E’ corretto?


La responsabilità del trattamento dei dati, riferita a uno specifico servizio, può essere affidata a un soggetto esterno all’ente  esclusivamente nella forma contrattuale, con riferimento alle prestazioni richieste per le quali entra in possesso dei dati

L’ente, infatti, non ha alcun titolo per emettere un provvedimento nei confronti un soggetto terzo, diverso dall’affidatario, che non abbia mai individuato e con il quale non abbia alcun rapporto di tipo contrattuale. Nè può ritenersi idonea a instaurare tale rapporto la segnalazione di un terzo, da parte del soggetto contraente.

Ciò non vuol dire che la società affidataria non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento dei dati gestiti all’interno di un servizio. Ma tale scelta attiene all’autonoma determinazione della società stessa, nella scelta dei propri fornitori di servizi. 

Qualora la società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati, nell’ambito del servizio gestito per conto dell’Ente, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio, ma dovrà esclusivamente prendere atto di tale scelta “organizzativa” che, essendo tale, ricade nella piena responsabilità dell’affidatario che dovrà fornire adeguate assicurazioni in ordine alla idoneità del soggetto da lui prescelto, oltre che della regolarità nell’esercizio della responsabilità in ordine al trattamento dei dati.

In particolare, il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, dovrà avvenire nel rispetto delle seguenti modalità:

  1. La società affidataria, dovrà sottoscrivere gli impegni previsti, conformemente alle prescrizioni del RGPD, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, avendola specificamente individuata.
  2. La società, inoltre, dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata di assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.
  3. La stessa società, infine, si impegna a fornire al Responsabile del trattamento, da lei individuato, ogni strumento o informazione utile ai fini dell’espletamento del servizio, assicurandone la continuità e garantendone l’espletamento in caso di interruzione, sospensione o revoca, obbligandosi a informare tempestivamente l’Ente nel caso in cui si verifichi un eventuale avvicendamento.

456 Visite totali, 2 visite odierne

07. Contrassegno per disabili: riportare i dati viola la privacy?

chiedo  se,  a seguito del decreto attuativo di adeguamento delle norme sulla privacy,  devo indicare i dati personali con foto sul contrassegno per i disabili rilasciato dall’Ente,  ai sensi del regolamento di cui al DPR 495/1992 e ss. mm.


il nuovo contrassegno per i disabili motori si compone di due parti che, una volta plastificate si configurano come due facciate, delle quali una si espone sul parabrezza dell’auto, mentre l’altra rimane nascosta. Nella prima (quella che si espone) è rappresentata l’icona azzurra e indicato esclusivamente il numero dell’autorizzazione e il nome dell’ente che l’ha rilasciata. Nella parte che non si espone sono contenute la fotografia dell’intestatario dell’autorizzazione e le sue generalità. Questo accorgimento è stato adottato proprio al fine di consentire sia l’esposizione, senza l’indicazione delle generalità, sia l’intestazione del permesso, allo scopo di verificarne la correttezza nell’utilizzo.

Da ciò si deduce che l’indicazione delle generalità, come richiesto, non comporta alcune violazione alla riservatezza.

516 Visite totali, 2 visite odierne

 

06. CODICE DI COMPORTAMENTO: è necessario adattarlo al nuovo Regolamento sul trattamento dei dati?

Il codice di comportamento di cui al DPR 62/2013 personalizzato da ogni PA  deve essere modificato/integrato per adeguarlo alla nuova normativa in tema di privacy? Faccio riferimento all’art.20 d.lgs.101/2018.


L’articolo richiamato (20 del dlgs 101/2018) reca nella rubrica “Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto” e fa riferimento alle disposizioni di carattere deontologico richieste agli enti che si caratterizzano per un trattamento di dati ai quali è attribuita particolare attenzione. Tuttavia, il richiamo all’esigenza di codici deontologici è comune a tutti gli enti. Peraltro le pubbliche amministrazioni rientrano centralmente tra qui soggetti che debbono individuare regole specifiche riguardo al trattamento dei dati. A tal fine è opportuno (necessario) che il codice di comportamento dei dipendenti pubblici, di ciascuna amministrazione, sia aggiornato adeguandolo alle disposizioni del Regolamento generale sulla protezione dei dati.

L’art. 12 del DPR 62/2013 già recava, al comma 5 “Il dipendente osserva il segreto d’ufficio e la normativa in materia di tutela e trattamento dei dati personali”. 

L’aggiornamento potrebbe consistere nell’integrazione con la previsione di specifiche disposizioni relative al trattamento dei dati relativi a:

  1. a) particolare cura nella conservazione, assicurandone l’integrità e l’utilizzo quando necessario
  2. b) utilizzo delle prescrizioni fornite dall’ente riguardo la modifica dei dati che vengono trattati
  3. c) rispetto delle disposizioni in materi di accesso e divulgazione dei dati di cui si dispone

In particolare è opportuno evidenziare le responsabilità connesse alle situazioni di violazione individuate dall’art. 4: 

  • distruzione
  • perdita
  • modifica
  • accesso
  • divulgazione

Peraltro è opportuno precisare che l’inserimento di specifiche disposizioni nel Codice di comportamento ne facilita l’individuazione e se necessario la comminazione di sanzioni

802 Visite totali, 2 visite odierne

05. MENSA SCOLASTICA: utilizzo di un cartellino di diverso colore

Nel mio Comune i tesserini per il diritto al pasto nella mensa scolastica hanno colore diverso in base alla tariffa applicata e all’esenzione. A suo giudizio possiamo continuare a utilizzare questo sistema o può trattarsi della violazione della privacy?


Il caso che sottopone rientra tra le fattispecie di “privacy by design” che configura i casi in cui un soggetto viene identificato per una delle situazioni che richiedono la tutela della riservatezza, come quella che riguarda la sua capacità economica.

Nel caso in esame, infatti, inevitabilmente si creerà una situazione di palese distinzione che renderà immediatamente identificabili i bambini i cui genitori siano meno abbienti. Certamente, oltre agli aspetti di buon senso, in considerazione delle conseguenze che si possono generare sia nel bambino, sia nel contesto, si tratta della violazione di una informazione “privata”, oltre che “riservata”, fornita senza che sia necessario.

453 Visite totali, 2 visite odierne

04. quale trattamento per la mail dei dipendenti che cessano dal servizio ?

Uno dei dirigenti del mio ente è stato collocato a riposo. A lui era stata attribuita una casella di posta elettronica, il cui indirizzo era regolarmente pubblicato sul sito istituzionale e sicuramente continua a ricevere altre comunicazioni da chi non è al corrente della sua cessazione dal servizio. Nel frattempo, in considerazione di ciò, il CED ha disabilitato l’accesso all’interessato e vuole disporre la cancellazione di tutti i messaggi, senza consentire alcun accesso poiché si tratta di informazioni personali. Ritiene che sia corretto o possiamo incorrere in qualche violazione? Le chiedo gentilmente di volerci suggerire una eventuale soluzione che consenta di risolvere la questione.


La gestione della casella di posta elettronica “istituzionale”, anche se identificata con il nome e il cognome del dipendente è da considerarsi come strumento di comunicazione utilizzato esclusivamente nell’interesse dell’Ente.  In questo caso concorrono due elementi importanti: 1) l’esigenza di un utilizzo corretto e finalizzato all’interesse dell’Ente; 2) il trattamento di dati che possono essere di tipo “personale” o persino “riservato” nei casi in cui la funzione esercitata lo preveda o nei casi di confidenzialità con l’interlocutore.

Da ciò discende la necessità, ogni volta che si attribuisce una casella di posta elettronica, di disciplinarne l’uso prescrivendo quanto segue:

  1. la gestione della casella per esclusivo interesse dell’Ente
  2. l’obbligo di rimuovere dalla casella ogni informazione di carattere personale che non sia pertinente alle attività dell’Ente
  3. l’obbligo di trasferire ogni informazione, documento, immagine, ecc. nel flusso documentale dell’ente, sia ai fini della trattazione, sia ai fini della idonea conservazione.

A mio avviso questo prescrizioni possono aggiungersi nel Codice di comportamento dei dipendenti, prescrivendo una periodica manutenzione della casella di posta elettronica, sia per evitare un inutile ingolfamento, sia per garantire che ogni comunicazione sia stata evasa o rimossa.

Inoltre, per evitare la situazione che descrive, a mio avviso è necessario che, in prossimità della cessazione del servizio, il dipendente abbia l’obbligo di svuotare la propria casella, assicurando la cancellazione dei messaggi non pertinenti e l’inoltro di quelli che richiedono trattazione, consentendo così una corretta rimozione definitiva della casella.

Tutto ciò, inoltre, può risolversi adottando la scelta di attivare esclusivamente caselle di posta elettronica con l’indicazione dell’ufficio e non “nominative”, in modo che, in caso di cambio di titolarità dell’ufficio, l’accesso possa essere trasferito ad altro soggetto (come già fanno i segretari comunali che mantengono casella di posta istituzionale).

Tale scelta non impedisce di istituire caselle di posta nominative che potrebbero essere reindirizzate verso la casella relativa all’ufficio.

741 Visite totali, 2 visite odierne

03. PORTATORI DI HANDICAP: Quale informativa per il censimento dei portatori di disabilità ai fini della protezione civile?

L’Amministrazione del mio Ente intende effettuare un censimento della popolazione residente portatrice di disabilità allo scopo di avere un quadro quanto più possibile aderente alla realtà da usare in caso di bisogno a seguito di eventi calamitosi (rischi idrogeologici a seguito abbondanti piogge, allagamenti di vie e piazze cittadine, straripamento dei torrenti che attraversano il territorio comunale ecc.) quale servizio da rendere a questi soggetti particolarmente deboli. L’attività di aiuto e soccorso verso queste persone dovrebbe inserirsi nella redigenda revisione del Piano di Protezione Civile Comunale.

            Trattandosi di dati sensibili relativi alla salute del soggetto Le chiedo le modalità di acquisizione dei detti dati personali anagrafici, (cognome, nome residenza, età, recapito telefonico ecc.) e sanitari (tipo di disabilità, se allettato, se trattasi di disabilità psichica, se esistono soggetti che accudiscono il disabile ecc.). Essi dati  dovrebbero essere forniti dall’utente che li comunica a questo Ente tramite l’inoltro di una apposita comunicazione il cui modello verrebbe fornito dall’Ente. Detti dati saranno poi immessi in un elenco (data base) e usati secondo i fini sopra evidenziati in caso di bisogno.

            Le chiedo:

  1. a) Quali indicazioni dovrebbe contenere il modello di comunicazione predisposto da questo Ente?
  2. b) Oltre al Sindaco occorre nominare un responsabile del trattamento dati?
  3. c) Occorre individuare il soggetto che materialmente inserisce (legge) i dati?
  4. d) La predisposizione del registro (data Base) necessita di particolari cautele?
  5. e) La possibile presenza di soggetti minorenni necessita di particolari cautele?
  6. f) Bisogna indicare il soggetto cui rivolgersi nel caso l’utente intendesse modificare i propri dati o la cancellazione degli stessi?
  7. g) esistono particolari procedure in caso di decesso del soggetto?

Il caso che sottopone rientra tra le funzioni che l’Ente esercita nell’interesse pubblico e nel caso di specie dei diretti interessati. Le informazioni, inoltre, rientrano tutte tra quelle che possono ritenersi quali “dati sensibili” in ragione della condizione del soggetti che vengono censiti.

Il modello che l’Ente dovrà predisporre, conterrà tutte le informazioni che lei ha abilmente descritto, con l’aggiunta di dati relativi al contesto delle strutture fisiche, al fine di valutare la facile amovibilità.

Il titolare del trattamento è certamente il Comune, ma è certamente necessario che sia individuato un Responsabile del trattamento, nella persona che avrà la responsabilità del servizio e della organizzazione e gestione dei dati

I soggetti che provvederanno all’inserimento dei dati dovranno essere censiti, ma soltanto ai fini della loro annotazione nel registro del trattamento, senza alcuna necessitò di comunicarli all’interessato

Le cautele richieste sono tutte quelle che riguardano il trattamento dei dati avendo cura della gestione delle informazioni residenti su supporti cartacei, sia per la loro conservazione, sia per la loro eventuale indebita diffusione.

Come negli altri casi, nel testo della “informazione” da fornire ai cittadini, allegata al modello, dovrà essere riportata ogni indicazione relativa al trattamento dei dati, alla possibilità di accedervi, anche per eventuali aggiornamenti, nonché per la cancellazione, se necessario.

14,551 Visite totali, 2 visite odierne

02.Una società può chiedere che il Comune nomini un soggetto terzo come Responsabile del trattamento ?

Una società che fornisce un servizio informatico all’Ente non vuole assumere l’incarico di Responsabile del trattamento e richiede che l’Ente, con un proprio provvedimento, nomini un soggetto esterno, indicato dalla società stessa. E’ corretto?


Poiché il rapporto tra il Comune di XXX e la società XXX è definito in virtù di una disposizione contrattuale, è evidente che ogni ulteriore definizione di responsabilità relativa alla stessa prestazione, dovrà essere oggetto di una successiva stipula che integri i reciproci impegni già assunti in sede contrattuale. Né potrebbe essere diversamente, poiché il rapporto in essere non deriva da provvedimenti di natura autoritativa avente carattere unilaterale.

Per la stessa considerazione, il Comune di XXX  non potrà affidare l’incarico di Responsabile del trattamento, con atto dispositivo unilaterale a un soggetto terzo che non riveste alcun ruolo nell’ambito della prestazione.

Ciò non vuol dire che la società XXX  non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento. Ma tale scelta attiene all’autonoma determinazione della società nella scelta dei propri fornitori di servizi.

Qualora la richiamata società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati nell’ambito del servizio gestito per conto del Comune di XXX, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio.

Il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, infatti, dovrà avvenire secondo le seguenti modalità:

  1. La società XXX, utilizzando il modello di disciplinare già fornito, che riporta fedelmente le prescrizioni contenute nel RGPD, dovrà sottoscrivere gli impegni previsti, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, cioè XXX, avendola specificamente individuata.
  2. La società XXX dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata ad assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.

301 Visite totali, 2 visite odierne

01. CONTROLLO ACCESSI: quali accorgimenti per installare videocamere per l’accesso agli uffici

Intendo richiedere al Responsabile dell’Anticorruzione (Segretario Comunale), quale ulteriore misura a ridurre e/o scongiurare l’assenteismo, l’attivazione della fotocamera del terminale segna/presenze al fine di verificare la rispondenza tra colui che vidima il badge e l’intestatario di tale badge (fotografia al momento delle timbrature in entrata ed in uscita).
Oltre a segnalare a tutto il personale dipendente tale nuovo sistema di identificazione è necessario, ai fini della privacy, adottare eventuali atti e/o applicare eventuale cartellonistica nel luogo in cui avviene tale operazione.

La segnalazione, come Lei giustamente afferma, deve essere espressa nella forma della “informazione”, nel rispetto delle prescrizioni contenute nell’articolo 13 del Regolamento europeo.
In particolar modo è opportuno che ciascun dipendente sia informato di quanto segue:
1) Finalità e base giuridica del trattamento: richiamando la norma di legge che prevede l’uso delle telecamere al fine di monitorare l’accesso ai luoghi di lavoro
2) Titolare e responsabile del trattamento
3) Destinatari dei dati: precisando chi può accedere alle immagini che vengono catturate,
4) Eventuali gestori esterni a cui l’Ente affida il compito della conservazione delle immagini
5) Eventuale “profilazione”, se attraverso le immagini l’Ente intenda elaborare informazioni o assumere decisioni
6) Diritto dell’interessato, con riferimento alle verifiche sulla regolarità del trattamento e della cancellazione
Per quanto riguarda l’utilizzo di cartelli, se il sistema si attiva esclusivamente in occasione della timbratura e inquadra esclusivamente la persona che timbra, l’informazione può essere circoscritta a un avviso collocato nello spazio in cui avviene l’operazione
299 Visite totali, 2 visite odierne