Sei sulla pagina 1di 6

Angelantonio Cafagno

Consulenza Informatica e Tecnologica per lo Iscrizione n. 2936

Sviluppo e l’Organizzazione dei Sistemi Aziendali


ai sensi della LEGGE 14 gennaio 2013 , n. 4

Riflessioni inerenti alla redazione del manuale comunale per la compliance al GDPR. 
 
In materia di “organizzazione” della struttura burocratica, ai fini del raggiungimento della compliance con il 
dettato della nuova normativa privacy, restano da dirimere alcune questioni tutt’altro che secondarie e, al 
tempo, di complessa “interpretazione”. 
La  questione  di  maggior  rilievo  è  quella  relativa  alla  individuazione  delle  figure  del  “Responsabile  del 
trattamento”  di  tutte  le  banche  dati  riferite  a  persone  fisiche  esistenti  nell’articolazione  organizzativa  di 
rispettiva competenza. 
La  norma  (GDPR  ‐  Art.  28  ‐  C.  81)  prescrive  che  ciascun  Responsabile  sia  in  grado  di  offrire  garanzie 
sufficienti  in  termini  di  conoscenza  specialistica,  esperienza,  capacità  e  affidabilità,  per  mettere  in  atto  le 
misure tecniche e organizzative, volte a garantire che i trattamenti siano effettuati in conformità al GDPR. 
Con la pubblicazione del quaderno operativo “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 
679/2016  sulla  protezione  dei  dati  personali”,  ANCI  ha  elencato  una  serie  di  istruzioni  tecniche  e  linee 
guida tese a sostenere gli enti locali nel percorso, arduo e prolungato, di “conformità” in riferimento alla 
nuova normativa comunitaria in tema di privacy. 
Nel citato documento tecnico, ANCI ha voluto richiamare l’attenzione circa la necessità di rendere gli enti 
locali  “fully  compliant”  con  la  novellata  normativa  europea  e  ha  rappresentato  la  fattispecie  che 
l’applicazione del regolamento ricade sul “Titolare del trattamento dei dati” (considerato tale l’Ente locale 
nella  sua  interezza),  sotto  la  responsabilità  del  legale  rappresentante  (il  Sindaco),  che  dovrà 
sostanzialmente ottemperare a tre obblighi: 
 l’istituzione della figura obbligatoria del Responsabile della protezione dei dati (nel caso di Molfetta 
tale figura è stata individuata all’esterno, in base a un contratto per la fornitura di servizi, acquisito 
mediante RdO MEPA); 
 l’introduzione  e  la  redazione  del  Registro  delle  attività  del  trattamento,  previa  la  determinazione 
dell’elenco dei trattamenti effettuati e la conseguente descrizione dei medesimi trattamenti e delle 
procedure di sicurezza adottate dall’ente; 
 l’esecuzione  di  una  valutazione  di  impa o  sulla  protezione  dei  da   (preliminarmente  alla 
esecuzione  dei  tra amen ).  Tale  adempimento  è  richiesto  quando  un  po  di  tra amento  può 
presentare  un  rischio  elevato  per  i  diritti  e  le  libertà  delle  persone  fisiche  (per  esempio,  in 
riferimento ai dati ottenuti dalla sorveglianza di zone accessibili al pubblico). 
 
Adottando il “manuale per l’attuazione del Regolamento UE 679/2016”, la Giunta Comunale delibererà, in 
sostanza,  di  approvare  una  disciplina  interna  che  consenta  all’Amministrazione  di  provvedere  con 
immediatezza  all’adattamento  dell’organizzazione  alle  disposizioni  contenute  nel  Regolamento  UE 
2016/679,  chiarendo  e  disciplinando  gli  aspetti  rimessi  alla  propria  autonomia  organizzativa  e 
procedimentale, così come stabilito nell’allegato al presente provvedimento; di dare atto della necessità di 
prevedere un sistema di adattamento flessibile, graduale e continuativo alle disposizioni in materia, anche 
tenuto conto dei successivi interventi sia nel senso dell’evoluzione normativa, sia dell’autorità di controllo 
nazionale. 

Sede: Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)


 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno

Codice Fiscale CFG NLN 62C13 A662H Partita I.V.A. 08081020722


Tale  “manuale  per  l’attuazione  del  Regolamento  UE  679/2016”  disciplinerà  le  misure  procedimentali  e  le 
regole  di  dettaglio,  prevedendo  un  sistema  di  adattamento  flessibile,  graduale  e  continuativo  alle  nuove 
disposizioni normative. 
Con  riferimento  alle  misure  tecniche  e  organizzative  non  deve  essere  “sottovalutata”  la  figura 
dell’amministratore  di  sistema,  che  assume  valenza  “sistemica”  in  riferimento  all’art.  32  del  GDPR,  in  cui 
sono descritte le procedure tecniche – cifratura dei dati personali, capacità di tempestivo ripristino in caso 
di incidenti fisici o tecnici, esecuzione di verifiche periodiche delle misure tecniche e organizzative adottate 
– la cui adozione prevede certamente la partecipazione di personale specialistico esperto, di cui, allo stesso 
tempo, si evince la necessità sin dalle fasi di progettazione e protezione dei dati (privacy by design e privacy 
by default – art. 25 GDPR). 
L’art.  32,  p.to  1,  GDPR  prevede  espressamente  che  “Tenendo  conto  dello  stato  dell’arte  e  dei  costi  di 
attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del 
rischio di varia probabilità e gravita per i diritti e le liberta delle persone fisiche, il titolare del trattamento e 
il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un 
livello di sicurezza adeguato al rischio”. 
In  relazione  alla  suddetta  adozione  di  misure  adeguate,  il  legislatore  europeo  ha  disposto  un  nucleo 
“essenziale” di misure, che rispondono a criteri di sicurezza predefiniti: 
 pseudonimizzazione e cifratura dei dati personali; 
 capacità  di  assicurare  riservatezza,  integrità,  disponibilità  e  resilienza  dei  sistemi  e  dei  servizi  di 
trattamento; 
 capacità di ripris nare tempes vamente disponibilità e accesso ai da  personali in caso di incidente 
fisico o tecnico; 
 definizione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure 
tecniche e organizzative al fine di garantire la sicurezza del trattamento. 
 
Importante per l’applicazione della nuova normativa è la revisione dei processi gestionali interni, finalizzata 
a raggiungere adeguati livelli di sicurezza nel trattamento dei dati personali, ottenibile attraverso una prima 
rilevazione dei processi di gestione e degli strumenti utilizzati dal Comune, cui seguirà la definizione degli 
interventi operativi necessari e l’adeguata implementazione delle modalità ritenute idonee a raggiungere i 
predetti livelli. 
Una fattispecie di certa criticità è la necessità di designare un Responsabile in grado di offrire garanzie in 
termini  di  conoscenze  specialistiche,  conoscenze  non  sempre  individuabili  in  soggetti  interni  alla  PAL; 
tuttavia,  ai  fini  amministrativi,  resta  intera  la  responsabilità  dirigenziale  radicata  nell’istituto  definito  dal 
D.Lgs.  165/2001  (artt.  19  e  21  comma  1)  e  la  attribuzione  al  dirigente  comunale  di  capacità  manageriali, 
dalle  quali  deriva  una  responsabilità  di  risultato,  legata  al  sistema  di  valutazione  della  performance,  cosi 
come  previsto  dal  Titolo  II  del  D.Lgs.  150/2009,  con  l’obiettivo  di  migliorare  l’efficienza  dell’azione 
amministrativa,  ottimizzare  l’organizzazione  e,  quindi,  migliorare  la  qualità  della  performance 
amministrativa. 
Deviante  dal  punto  di  vista  della  risoluzione  del  problema  è  risultata  l’affermazione  contenuta  nel 
Quaderno ANCI n. 11 del febbraio 2018, intitolato “L’attuazione negli Enti Locali del nuovo Regolamento 
UE n. 679/2016 sulla protezione dei dati personali”, nel quale viene sostenuta la tesi secondo cui “uno o 
più  Dirigenti/Quadri/Responsabili  di  U.O.  delle  strutture  in  cui  si  articola  l’organizzazione  del  Comune, 
possa  essere  nominato  Responsabile  del  trattamento  di  tutte  le  banche  dati  personali  esistenti 
nell’articolazione organizzativa di rispettiva competenza”. 
 

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno
ANCI  propone  la  stessa  modalità  di  individuazione  anche  per  il  Responsabile  della  Protezione  dei  Dati 
(DPO),  che,  tenuto  conto  di  opportuna  qualifica  e  purché  in  possesso  di  idonee  qualità  professionali, 
sarebbe possibile individuare fra i dipendenti dell’Ente; nello stesso vademecum, allo stesso tempo, si da 
atto che le attribuzioni di responsabilità, in riferimento alla figura del Responsabile della Protezione dei Dati 
possano essere riferite anche a una figura professionale esterna, avente idonee qualità professionali, con 
particolare riferimento alla comprovata conoscenza specialistica della normativa e della prassi in materia di 
protezione dei dati. 
In  contrapposizione  alle  considerazioni  e  ai  suggerimenti  formulati  dall’Associazione  dei  Comuni  Italiani, 
alla  luce  del  richiamo  al  parere  1/2010  del  Gruppo  Articolo  29,  alcuni  commentatori  già  mettevano  in 
evidenza  come  le  responsabilità,  in  riferimento  alle  figure  del  Responsabile  del  Trattamento  e  del 
Responsabile della Protezione dei Dati, potessero essere attribuite solo a un soggetto esterno, radicando la 
convinzione, in particolar modo, nell’obbligo di sottoscrizione tra il Titolare e il Responsabile di trattamento 
di un contratto1, che vincoli il responsabile del trattamento e disciplini la durata, la natura e la finalità del 
trattamento, il tipo di dati personali e le categorie di interessati. 
L’art. 28, p.to 3 GDPR, recita testualmente: “I trattamenti da parte di un responsabile del trattamento sono 
disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, 
che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la 
durata  del  trattamento,  la  natura  e  la  finalità  del  trattamento,  il  tipo  di  dati  personali  e  le  categorie  di 
interessati,  gli  obblighi  e  i  diritti  del  titolare  del  trattamento”;  e  le  conclusioni  del  WP29,  di  seguito 
riportate, fanno esplicito riferimento alla caratteristica che il soggetto individuato come Responsabile  del 
Trattamento debba essere autonomo rispetto al Titolare di Trattamento. 
Infatti,  nelle  conclusioni  del  Parere  1/2010,  si  legge  testualmente2:  «Il concetto di responsabile
del trattamento è autonomo – va interpretato cioè principalmente alla luce delle
disposizioni comunitarie relative alla protezione dei dati –, e funzionale, nel senso
che è finalizzato all’assegnazione di responsabilità laddove intervenga un’influenza
effettiva»: l’attribuzione di una responsabilità del trattamento è fondata su un’esigenza fattuale piuttosto 
che sull’ottemperanza a una formalità. 
Per  quanto  riguarda  i  requisiti  soggettivi  che  il  responsabile  del  trattamento  deve  possedere,  il  GDPR 
prevede  che  si  tratti  di  una  figura  in  grado  di  fornire  garanzie  al  fine  di  assicurare  il  pieno  rispetto  delle 
disposizioni  in  materia  di  trattamento  dei  dati  personali,  nonché  di  garantire  la  tutela  dei  diritti 
dell’interessato. 
A questo proposito, come specificato dal Considerando 81, le garanzie che il responsabile del trattamento 
deve  essere  in  grado  di  fornire  si  sostanziano  in:  conoscenza  specialistica  della  materia,  affidabilità  e 
possesso di risorse che permettano di attuare misure tecniche e organizzative in grado di soddisfare tutti i 
requisiti stabiliti dal Regolamento per il trattamento dei dati personali, anche sotto il profilo della sicurezza; 
già il Codice della Privacy, all’art. 29, comma 2, prevedeva che “Se designato, il responsabile è individuato 
tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle 
vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. 
Un ultimo e definitivo apporto alla riflessione è determinato dalla recente pubblicazione delle Prassi di 
Riferimento UNI/PdR 43:2018: l’idea di definire nel sistema UNI una forma di documento para‐normativo 

1
“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del
diritto dell’Unione o degli Stati membri” (GDPR - Art. 28, comma 3 - Considerando 81)
2
con il carattere qui rappresentato si riporta il testo del Parere 1/2010 del gruppo WP29

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno
nazionale nasce dalle iniziative già perseguite da ISO, CEN e numerosi altri enti di normazione nazionali e 
internazionali. 
Le  prassi  di  riferimento  sono  documenti  che  introducono  prescrizioni  tecniche  o  modelli  applicativi 
settoriali  di  norme  tecniche,  elaborati  sulla  base  di  un  rapido    processo  (che  dura  al  massimo  8  mesi 
dall’approvazione della richiesta) in cui si verifica l’assenza di norme o progetti di norma allo studio sullo 
stesso argomento. L’autore del documento tecnico è definito “committente”, ed è tenuto a sottoscrivere 
con UNI un contratto che definisce anche gli aspetti economici connessi al finanziamento della realizzazione 
della prassi. Il “profilo” del committente/autore deve assicurare rappresentatività ampiamente riconosciuta 
dal  mercato:  quale,  per  esempio,  quello  di  un’entità  pubblica  o  un  consorzio  di  organizzazioni  ovvero 
un’organizzazione di rappresentanza datoriale o professionale. 
All’inizio di settembre 2018 è stata pubblicata la prassi di riferimento UNI/PdR 43:2018 “Linee guida per la 
gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”; il documento, di cui 
è committente/autore AIP ‐ Associazione Informatici Professionisti, è stato elaborato dal Tavolo “Processi 
di gestione privacy in ambito digitale”, sotto il coordinamento di UNINFO, Ente Federato all’UNI, che opera 
nell'ambito delle tecnologie informatiche e delle loro applicazioni. 
AIP è una associazione professionale senza scopo di lucro, presente nell’elenco del Ministero dello Sviluppo 
Economico  per  il  rilascio  dell’  attestato  di  qualità  ai  sensi  della  legge  4/2013  sulle  professioni  non 
ordinistiche;  è  membro  del  CEPIS  (Council  of  European  Professional  Informatics  Societies)  ed  è 
regolarmente censita nell’elenco CNEL (Consiglio Nazionale dell’Economia e del Lavoro) per le associazioni 
delle professioni intellettuali non regolate da legge. 
La prassi di riferimento UNI/PdR 43 “Linee guida per la gestione dei dati personali in ambito ICT secondo il 
Regolamento UE 679/2016 (GDPR)”è strutturata in 2 sezioni: 
i la sezione 1  “Gestione e  monitoraggio dei dati  personali in  ambito ICT” fornisce le linee  guida per la 
definizione  e  attuazione  dei  processi  afferenti  al  trattamento  dei  dati  personali,  mediante  strumenti 
elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente; 
ii la sezione 2 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT” 
fornisce un adeguato insieme di requisiti che permetta alle organizzazioni di essere conformi a quanto 
previsto  dal  quadro  normativo  europeo  e  nazionale  in  modo  efficace,  potendo  dimostrare  tale 
conformità ed efficacia anche attraverso un percorso di certificazione. 
 
Il punto 5.4 della sezione 2 affronta le questioni concernenti ruoli e responsabilità: nella fattispecie, al p.to 
5.4.1  Posizioni  Interne  considera  come  possibili  ruoli  “interni”  all’organizzazione  le  figure  del  Manager 
Privacy (UNI/PdR 43:2018.2 p.to 5.4.1.1), un soggetto “apicale” designato come referente delle attività di 
trattamento dei dati personali, e il Responsabile della Protezione dei Dati (UNI/PdR 43:2018.2 p.to 5.4.1.2), 
un  soggetto  adeguatamente  qualificato  che  per  svolgere  questo  ruolo  deve  soddisfare  i  requisiti  di 
competenza definiti dalla norma UNI 11697. 
Al  punto  5.4.1.3  il  documento  introduce  le  figure  delle  persone  autorizzate  al  trattamento  dei  dati 
personali,  soggetti  subalterni  al  titolare  (o  la  responsabile)  del  trattamento,  dal  quale  devono  essere 
formati,  istruiti,  resi  consapevoli  e  autorizzati,  perché  siano  in  grado  di  attuare  i  requisiti  della  “politica 
aziendale” per protezione dei dati. 
Il  punto  5.4.1  Posizioni  Esterne  definisce  le  figure  “esterne”  all’organizzazione,  individuando  in  questo 
novero il ruolo dei Responsabili del Trattamento (UNI/PdR 43:2018.2 p.to 5.4.2.1): sono i soggetti esterni, 
coinvolti nelle attività di trattamento dei dati (UNI/PdR 43:2018.2 p.to 5.1a),  inclusi  i fornitori o partner, 
che effettuano trattamenti per conto del titolare del trattamento. 

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno
 
Spero di aver contribuito alla riflessione circa la decisione da intraprendere in relazione alla designazione 
delle  figure  di  responsabili  del  trattamento  e  di  aver  fornito  gli  elementi  per  una  decisione  ponderata  e 
consapevole. 
      Angelantonio Cafagno 
         [Senior Consultant] 
   

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno
Quest'opera è distribuita con licenza

CREATIVE COMMON
ATTRIBUTION-SHAREALIKE 4.0
INTERNATIONAL

(CC BY-SA 4.0)

Tu sei libero di:


 Condividere — riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e
recitare questo materiale con qualsiasi mezzo e formato
 Modificare — remixare, trasformare il materiale e basarti su di esso per le tue opere per qualsiasi fine, anche
commerciale.

 Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza.

Alle seguenti condizioni:


 Attribuzione — Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se
sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con
modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.
 StessaLicenza — Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la
stessa licenza del materiale originario.
 Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano
ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare.

Note:
 Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico
dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge.
 Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti
prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero
restringere gli usi che ti prefiggi sul materiale.

 
 

Angelantonio Cafagno
Via Monache Benedettine Olivetane, 14/b – 70026 Modugno (BA)
 0802372901 tel&fax – GSM 3476283413 – E-Fax & Casella Vocale: 1786060725
URL: www.cafagnoconsultant.it - E-mail: info@cafagnoconsultant.it - Skype angelantonio.cafagno