http://www.anci.lombardia.it/documenti/7355-regolamento%20ue%20privacy%20ok_def.pdf.
Può essere utile criticarlo, in modo da fare un ripasso di alcuni punti salienti del GDPR. Così potrò essere criticato anche io per quello che scrivo.
Innanzi tutto prima dice che "è definita la nuova categoria di dati personali", che sono i cosiddetti "dati sensibili di cui al precedente Codice Privacy". Poi tutto il quaderno fa riferimento ai "dati sensibili". Il GDPR usa l'espressione "categorie particolari di dati personali ai sensi dell'articolo 9". Anche io uso l'espressione "dati sensibili" perché più pratica, avendo cura, a inizio di documento, di specificare cosa sono e come li designa il GDPR.
I Titolari e i Responsabili dei trattamenti sono visti come persone fisiche (dice che il titolare è il "Sindaco o suo delegato" e i responsabili sono "Dirigenti/Quadri/Responsabili di U.O."), mentre il GDPR lascia intendere che si tratta di strutture organizzative (le "aziende"), mentre le responsabilità personali, tranne il caso di singoli professionisti, sono da gestire con le normali deleghe interne di ciascuna organizzazione e non sono regolamentate dal GDPR. Per la verità non avrebbero dovuto essere regolate neanche dal Codice privacy e questo sarebbe stato più chiaro se non si fosse tradotto "processor" (che anche in altri contesti è sempre visto come organizzazione non singola persona) con "responsabile" e se poi non avessimo insistito per lasciare in vita la traduzione inesatta. Questa interpretazione è stata data anche da dirigenti e funzionari del GDP in diversi incontri pubblici, dicendo che negli anni hanno sempre visto il "responsabile interno" come figura non prevista dal Codice e il "responsabile esterno" come "responsabile e basta" (potevano scriverlo da qualche parte, visto che scrivono già tanto, così avremmo fatto meglio e io non avrei scritto alcune sciocchezze in passato; purtroppo non mi sembrano abbiano intenzione di scriverlo neanche in futuro).
Non sono competente di regolamenti comunali. Quello proposto, a mio parere, manca completamente di regole in merito alle misure di sicurezza da adottare (si limita a parlare di sistema di autorizzazione e di sistema antincendio).
Troppa enfasi è ancora data al consenso come base legale per il trattamento. Oggi sappiamo che le basi legali sono di 6 tipi.
Si sono dimenticati i trattamenti relativi al personale del Comune. Certamente i dati dei cittadini sono importantissimi e devono costituire il punto di maggiore attenzione per i Comuni quando si parla di protezione dei dati personali, però non trovo corretto dimenticarsi completamente dei dati del personale.
Interpreta in modo bizzarro il ruolo degli "incaricati" secondo il Codice privacy, dicendo che sono "sub-responsabili del trattamento". Non posso condividere questa lettura. Mi pare, anzi, che non venga colta la possibilità di designare gli incaricati (ossia autorizzare le persone a trattare i dati personali) in modo adeguato alle esigenze di controllo (reale) e efficienza ma, anzi, promuova il "vecchio" metodo basato su lettera formale firmate e controfirmata.
Ancora più bizzarramente prevede che il Titolare possa delegare un responsabile a nominare il DPO ("alla designazione del Responsabile per la Protezione dei Dati (RPD), se a ciò demandato dal Titolare"). Altra lettura che non posso condividere.
Mi ha fatto notare Pierfrancesco Maistrello che viene suggerita la tenuta di più registri dei trattamenti. Ancora una volta non posso condividere questo approccio.
L'ultima parte del documento (da pagina 43 a pagina 78) è costituita dalla "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali" del Garante privacy. Lettura sempre utile.
PS: Francesco Pizzetti e Luca Leone, su LinkedIn hanno
commentato dicendo che non bisognerebbe mai usare l'espressione "dati
sensibili". Personalmente non vedo ragione oltre la purezza formale. Ho
chiesto. Se avrò risposta, la diffonderò.
Nessun commento:
Posta un commento