Parere sugli schemi, predisposti dall’AgiD, di Linee Guida sull’interoperabilità tecnica delle pubbliche amministrazioni e di Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici – Garante Privacy 08.072021

Parere sugli schemi, predisposti dall’AgiD, di Linee Guida sull’interoperabilità tecnica delle pubbliche amministrazioni e di Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici - Garante Privacy 08.072021

Garantire l’innovazione della pubblica amministrazione, con banche date interoperabili e accessibili in sicurezza anche a soggetti privati, proteggendo integrità e riservatezza dei dati dei cittadini. Questo l’obiettivo dei due nuovi schemi di Linee guida previste dal Codice dell’Amministrazione Digitale su cui il Garante per la protezione dei dati personali ha espresso parere favorevole.

Le “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” contribuiscono a definire un modello di riferimento per consentire la comunicazione tra le banche dati e lo scambio di informazioni tra enti pubblici, e tra la P.A. e il settore privato, al fine di offrire servizi più veloci ed efficienti. Le “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici” si focalizzano sulle tecnologie e le loro modalità di utilizzo per garantire la sicurezza dei flussi di dati, in particolare tramite le cosiddette Api (Application programming interface) che consentono il dialogo tra i vari software utilizzati per la fornitura di servizi.

Nel parere il Garante dà atto ad Agid, che ha predisposto i due testi, di aver definito un quadro di garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati personali – spesso anche particolarmente delicati e sensibili – oggetto di scambio tra le banche dati, rispettando le esigenze di protezione dei dati fin dalla progettazione e per impostazione predefinita, in coerenza con gli obblighi stabiliti dal Regolamento europeo sulla protezione dei dati.

Il Garante rimarca comunque la necessità che ogni flusso di dati personali, tra e con le banche dati della P.A., trovi legittimo fondamento in una idonea base giuridica, che renda chiare le specifiche responsabilità dei soggetti coinvolti nello scambio di dati e definisca adeguate garanzie a tutela dei diritti e delle libertà degli interessati.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9682994

FAQ – Trattamento dati da parte degli enti locali nell’ambito dell’emergenza sanitaria – Garante per la Protezione dei Dati Personali

Trattamento dati da parte degli enti locali nell’ambito dell’emergenza sanitaria

1. Come devono essere trattati i dati dei soggetti destinatari dei servizi comunali di supporto alla popolazione attivati per l’emergenza Covid-19?

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.

In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.

In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici).

2. Come devono essere trattati i dati dei soggetti destinatari dei contributi economici comunali?

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.

Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).

In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.).

Continua a leggere

LINEE GUIDA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI – GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 28/5/2014

privacy

 

 

 

 

 

INTRODUZIONE
OBBLIGHI DI PUBBLICITÀ

Le recenti modifiche legislative in materia di pubblicità e trasparenza della pubblica amministrazione (cfr. da ultimo il d. lgs. 14 marzo 2013, n. 33) hanno reso necessario un intervento del Garante diretto ad assicurare l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web previsti dalle disposizioni di riferimento.

Le presenti “Linee guida” hanno, pertanto, lo scopo di definire un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che i soggetti pubblici, e gli altri soggetti parimenti destinatari delle norme vigenti, sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa. Pertanto, il presente provvedimento sostituisce le precedenti “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” del 2 marzo 2011 (doc. web n. 1793203).

In via preliminare, vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (es.: pubblicità legale).

In particolare, gli obblighi di pubblicazione online di dati per finalità di “trasparenza” sono quelli indicati nel d. lgs. n. 33/2013 e nella normativa vigente in materia avente a oggetto le “informazioni concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche”. A tali obblighi si applicano le indicazioni contenute nella parte prima delle presenti Linee guida.

Accanto a questi obblighi di pubblicazione permangono altri obblighi di pubblicità online di dati, informazioni e documenti della p.a. – contenuti in specifiche disposizioni di settore diverse da quelle approvate in materia di trasparenza – come, fra l’altro, quelli volti a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, o quelli atti a garantire la pubblicità legale degli atti amministrativi (es.: pubblicità integrativa dell’efficacia, dichiarativa, notizia). Si pensi, a titolo meramente esemplificativo, alle pubblicazioni ufficiali dello Stato, alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti locali (oppure su analoghi albi di altri enti, come ad esempio le Asl), alle pubblicazioni matrimoniali, alla pubblicazione degli atti concernenti il cambiamento del nome, alla pubblicazione della comunicazione di avviso deposito delle cartelle esattoriali a persone irreperibili, ai casi di pubblicazione dei ruoli annuali tributari dei consorzi di bonifica, alla pubblicazione dell’elenco dei giudici popolari di corte d’assise, etc. A tali obblighi si riferiscono le indicazioni contenute nella parte seconda delle presenti Linee guida.

In tutti i casi, indipendentemente dalla finalità perseguita, laddove la pubblicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2 del Codice).

In tale quadro, è opportuno evidenziare che le decisioni, assunte dalle amministrazioni pubbliche o dagli altri soggetti onerati, in ordine all’attuazione degli obblighi di pubblicità sui siti web istituzionali di informazioni, atti e documenti contenenti dati personali sono oggetto di sindacato da parte del Garante al fine di verificare che siano rispettati i principi in materia di protezione dei dati personali.

Si fa presente, altresì, che la diffusione di dati personali da parte dei soggetti pubblici effettuato in mancanza di idonei presupposti normativi è sanzionata ai sensi degli artt. 162, comma 2-bis, e 167 del Codice.

Inoltre, l’interessato che ritenga di aver subito un danno – anche non patrimoniale – in particolare per effetto della diffusione di dati personali, può far valere le proprie pretese risarcitorie, ove ne ricorrano i presupposti, davanti all’autorità giudiziaria ordinaria (art. 15 del Codice).

link: http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3134436