Un’importante spunto di riflessione dopo tutto il clamore
degli ultimi mesi dall’uscita del nuovo regolamento Europeo sul trattamento dei
dati personali e sui diritti garantiti
dal Gdpr è tra ciò che viene per l’appunto garantito da questa figura e l’ordinario
espletamento delle attività degli enti pubblici nell’acquisizione quotidiana
delle banche dati tributarie necessarie appunto alla gestione delle attività
riconducibili alle esigenze degli uffici.
Accenniamo brevemente che a decorrere dal 25 maggio 2018,
entra in attuazione in tutta l’Unione Europea il Regolamento generale per la tutela dei dati personali (Gdpr).
Il Regolamento generale per la protezione dei dati personali
n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa europea
in materia di protezione dei dati. Pubblicato nella Gazzetta Ufficiale europea
il 4 maggio 2016, è entrato in vigore il
24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi come
detto sopra dal 25 maggio 2018.
Trattandosi di un regolamento, non necessita di recepimento
da parte degli Stati dell'Unione ed è stato attuato allo stesso modo in tutti
gli Stati dell'Unione senza margini di libertà nell'adattamento. Il suo scopo
è, infatti, la definitiva armonizzazione della regolamentazione in materia di
protezione dei dati personali all'interno dell'Unione europea.
Col regolamento europeo si passa da una visione proprietaria del dato, in base alla
quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che
favorisce la libera circolazione dello
stesso rafforzando nel contempo i diritti dell'interessato, il quale deve
poter sapere se i dati sono usati e come vengono usati per tutelare lui e
l'intera collettività dai rischi insiti nel trattamento dei dati.
Da qui, l'esigenza dell'ente pubblico di acquisire e gestire
i dati necessari alla sua attività e del destinatario del trattamento di
vedersi garantiti i diritti riconosciuti dal Gdpr. Se da un lato, infatti, è
scontato che l'ente pubblico nell'esercizio della sua attività impositiva è
sollevato dal rispetto di alcuni obblighi in ragione della finalità del
trattamento effettuato, dall'altro non sempre lo stesso tratta i dati acquisiti
con la dovuta cautela e assicura, anche al suo interno, la corretta gestione
dei dati.
Ricordando l’evoluzione del pensiero tra proprietà del dato
e controllo del dato, sottolineiamo come l'ente è tenuto a fornire al
contribuente le informazioni
significative che contengano la logica utilizzata e illustrino le
conseguenze per l'interessato del trattamento, oltre alla necessità di
acquisire il suo consenso esplicito, nei casi previsti. Dunque, l'esatta
conoscenza delle modalità di esecuzione delle attività rappresenta l’ottemperanza
al nuovo dettato normativo, ovvero la libertà di utilizzo del dato tanto che
questo sia tracciabile.
Vista la nuova disciplina ciò che invece è divenuto indispensabile
e sostanziale è l’acquisizione da parte dei responsabili degli uffici
finanziari, della specifica autorizzazione del titolare del trattamento ai fini
dell'applicazione della normativa (del sindaco) o dal responsabile per
effettuare le operazioni di trattamento sui dati cui quotidianamente assolvono
o ancor di più su quali basi sono gestiti gli affidamenti di attività di
trattamento a soggetti terzi.
Nell'ambito della gestione del trasferimento del successivo
trattamento dei dati a opera di soggetti terzi è opportuno effettuare una
distinzione sostanziale tra attività svolte in concessione e attività svolte a
supporto. Dal momento che non di rado si assiste ad affidamenti a supporto
effettuati a soggetti iscritti all'albo dei riscossori, la distinzione non deve
essere effettuata tanto sulla base della qualitas del soggetto che svolge la
prestazione, quanto piuttosto sulla base del rapporto contrattuale instaurato.
Nel caso di una concessione
avremo, infatti, la traslazione del
potere impositivo sul soggetto affidatario che diventerà in forza del
contratto sottoscritto anche responsabile del trattamento e, quindi, dovrà
applicare le disposizioni concernenti la privacy come l'ente pubblico.
Nel caso in cui, invece, le attività siano svolte a supporto, sarà necessario ricostruire
tutto l’iter per arrivare alla nomina del soggetto che effettua il trattamento
come responsabile.
Nel caso in cui il trattamento sia effettuato non in
concessione occorrerà, quindi, che il soggetto che opera il trattamento riceva
l'autorizzazione a svolgerlo sulla
base della nomina come responsabile del
trattamento.
Diversamente il soggetto privato diverrebbe titolare di un
autonomo trattamento senza avere acquisito la prescritta autorizzazione
dall'interessato. A tal fine il nuovo regolamento impone che la designazione
quale responsabile debba avvenire mediante contratto.
