Nonostante sia un tema ben noto, la protezione dei dati personali rimane una questione di grande attualità per molti comuni, sia per la complessità della materia sia per i continui aggiornamenti normativi. Nel contesto della trasformazione digitale, garantire la tutela dei dati personali rappresenta una sfida cruciale per la Pubblica Amministrazione italiana. Il Regolamento Generale sulla Protezione dei Dati (GDPR – Regolamento UE 2016/679) e il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, aggiornato dal D.Lgs. 101/2018)

impongono agli enti pubblici regole stringenti per assicurare riservatezza, integrità e disponibilità dei dati – regole non sempre facilmente comprensibili o implementabili. Il nostro scopo in questo incontro è offrire una panoramica chiara e operativa sulle ultime novità in materia di protezione dati, nonché un richiamo sulle responsabilità, gli obblighi e le buone pratiche che le amministrazioni pubbliche devono adottare.

Elenco degli argomenti da trattare:

• Principi fondamentali del GDPR: passeremo in rassegna i diritti e i principi fondamentali su cui si basa il GDPR (liceità, correttezza e trasparenza del trattamento, minimizzazione dei dati, limitazione delle finalità, esattezza, limitazione della conservazione, integrità e riservatezza) e gli obblighi che il Regolamento impone alle amministrazioni per garantire che i dati personali siano trattati in modo sicuro, per scopi legittimi e, ove richiesto, con il consenso dell'interessato. Si evidenzierà come tali principi vadano integrati nei processi digitali sin dalla progettazione (privacy by design e by default).
• Ruolo e responsabilità del Responsabile della Protezione dei Dati (DPO): il DPO è una figura indipendente che assicura che l'organizzazione adotti misure di protezione adeguate e conformi alle normative privacy. Approfondiremo quali sono le sue funzioni (consulenza, sorveglianza sull’osservanza del GDPR, punto di contatto con l’Autorità Garante, ecc.) e il perimetro delle sue responsabilità. Verranno chiariti i rapporti tra DPO, RTD e altre figure apicali dell’ente, nonché l’importanza di coinvolgere il DPO nei progetti di trasformazione digitale sin dalle prime fasi.
• Misure tecniche e organizzative per la protezione dei dati: la sicurezza informatica nel contesto GDPR richiede l’adozione di adeguate misure tecniche e organizzative. Le amministrazioni devono attuare politiche di protezione dei dati, gestire i rischi e garantire la sicurezza dei sistemi e degli archivi che contengono informazioni personali. Illustreremo esempi di misure tecniche (cifratura e pseudonimizzazione dei dati, backup regolari, controllo degli accessi, sistemi antivirus/antimalware aggiornati, monitoraggio delle reti, ecc.) e misure organizzative (formazione specifica sul trattamento dati, definizione di policy e regolamenti interni, data retention policy, nomina degli incaricati al trattamento, ecc.).
• Gestione dei data breach e sanzioni per il mancato rispetto delle normative: in caso di violazione dei dati personali (data breach), le organizzazioni devono seguire precise procedure. Esamineremo cosa costituisce un data breach, come preparare un piano di risposta specifico e come effettuare la notifica al Garante tramite l’apposito portale. Inoltre, verranno illustrati il regime sanzionatorio del GDPR e le conseguenze del mancato rispetto delle normative. Richiameremo anche esempi disanzioni comminate a enti pubblici per violazioni, per evidenziare le aree critiche da presidiare.
• Valutazione d’impatto sulla protezione dei dati (DPIA): la DPIA (Data Protection Impact Assessment) è un processo introdotto dal GDPR che serve a valutare in anticipo i rischi