L’art. 2-quaterdecies (attribuzione di funzioni e compiti a soggetti designati) del codice della privacy, dal 19 settembre 2018, obbliga a “designare espressamente” i dipendenti comunali che operano in materia di privacy.

L’art. 28 del RGPD/EU definisce la figura del “Responsabile esterno” del trattamento.

Sarà dunque necessario fare una ricognizione dell’organizzazione in materia di privacy e si proceda alle varie “nomine”.

Il provvedimento con cui eseguire questa organizzazione può essere il PEG, nell’individuare le risorse e finanziarie dei vari settori o un regolamento dedicato o delle singole nomine espresse o una deliberazione di organizzazione della Giunta Comunale (magari la stessa con cui si approva il registro comunale dei trattamenti e la relativa valutazione di impatto).

Più l’amministrazione è piccola, più sarà necessario razionalizzare le risorse, con nomine strategiche, cumulando funzioni su soggetti particolarmente preparati da un punto di vista giuridico (es. segretari comunali o apicali).

Il Regolamento europeo dispone che i titolari del trattamento di dati personali effettuino una “valutazione di impatto”, cioè, in estrema sintesi, una valutazione sulla legittimità del trattamento e sulla sua sicurezza in termini di gestione dei dati personali.

Solitamente in comune si eseguono trattamenti previsti esclusivamente da norme (es. anagrafe, tributi, sociale, polizia urbana ecc.), dunque la valutazione è insita nel riferimento della norma. Per la sicurezza, specie quando il trattamento è informatico, va fatto riferimento alle misure contenute nel Codice dell’Amministrazione digitale e nelle line guida dell’ AGID.

Va previamente adottato un registro delle tipologie di trattamenti di dati personali che si effettuano, con le relative valutazioni di impatto.

Periodicamente si dovrà eseguire un aggiornamento del registro, specie della sezione in cui viene fatta la valutazione di impatto o, meglio, del rischio delle violazioni.

Sarà necessario adottare il Registro, con una deliberazione della giunta comunale, ed eseguire una relazione sulla valutazione di impatto.

Questa valutazione, unitamente alla compilazione del registro, potrebbe essere effettuata dal DPO o da un soggetto diverso individuato dalla delibera o con altro strumento (PEG o simili).

Dal 19 settembre 2018, la parte del codice della Privacy che prevedeva l’informativa e il consenso informato è stata abrogata. Da quel momento in poi l’informativa e il consenso dovranno essere predisposte secondo il Regolamento UE.

L’adeguatezza dell’informativa, se cioè predisporre un’ampia e accurata disanima dei punti previsti dal RGPD o una più semplice informativa sui punti principali della tutela dei dati personali, è rimessa alla libera valutazione di ciascun titolare del trattamento.

La valutazione se utilizzare l’informativa semplice o quella completa o quella con il conseguente consenso si deve basare sui seguenti punti:

• Se il trattamento è obbligatorio e standardizzato
• Se in trattamento, pur obbligatorio, non è standardizzato e denota profili di complessità non semplicemente sintetizzabili
• Se il trattamento non è obbligatorio ed è subordinato al consenso espresso
• Se il trattamento prevede anche la profilazione automatica o informatica (social-media, mailing, videosorveglianza ecc.)