PAT, conservazione di documenti digitali e organismi di vigilanza sotto la lente del Garante Privacy

Il Garante si è espresso favorevolmente sullo schema di decreto del Presidente del Consiglio di Stato che fissa le regole tecniche per l’attuazione del processo amministrativo telematico, come modalità di trattazione della causa alternativa a quella scritta, durante l’emergenza Covid19 dal 30 maggio al 31 luglio 2020 . Inoltre, con la Newsletter n. 465 del 21 maggio, l’Autorità rende noto di aver chiesto maggiori tutele ad AgID in tema di conservazione di documenti digitali. Il Garante ha poi precisato ruolo e responsabilità degli OdV riguardo ai trattamenti dei dati personali svolti nelle loro funzioni.

Lo schema di decreto del Presidente del Consiglio di Stato relativo all’ attuazione del PAT , come modalità di trattazione della causa alternativa a quella scritta durante l’ emergenza Covid19 dal 30 maggio al 31 luglio 2020 , ha ricevuto parere positivo dal Garante Privacy, il quale auspica però che, cessata l’emergenza, Consiglio di Stato e Tar si dotino di una piattaforma gestita direttamente o comunque sotto il loro controllo . Lo si apprende dalla Newsletter n. 465 del 21 maggio dove si legge che la disponibilità di software open source del tutto comparabili per affidabilità e accuratezza ai migliori prodotti industriali, offre il vantaggio di prestarsi a implementazioni” direttamente su datacenter e reti della Giustizia amministrativa, o comunque su infrastrutture gestite collettivamente da o con altre Pa. Tale soluzione eviterebbe in radice i rischi di flussi transfrontalieri interni o esterni all’Unione europea legati a soluzioni cloud” di aziende extra-europee . Nel dettaglio, il Garante ha ritenuto positivo il fatto che non sia consentita la registrazione delle udienze . Questo dovrebbe impedire infatti al provider, che offre il servizio di videoconferenza, di acquisire alcun dato personale al di fuori dei metadati” necessari per il collegamento video da remoto identificativi per l’autenticazione coincidenti con gli indirizzi email, indirizzi Ip delle postazioni, data e ora della connessione . Il ricorso alla videoconferenza, inoltre, sarebbe limitato alle sole udienze con presenza dei difensori essendo invece le camere di consiglio decisorie svolte di norma in audioconferenza ” . Il parere sottolinea infine l’esigenza di interpretare la disciplina della pubblicazione online delle copie di studio” dei provvedimenti giurisdizionali alla luce della giurisprudenza della Cassazione e del Regolamento europeo, così includendo tra i casi di anonimizzazione obbligatoria anche quelli relativi ai dati sulla salute, genetici e biometrici. La Newsletter informa inoltre del parere espresso sulla bozza di Linee guida per la stesura del piano di cessazione del servizio di conservazione ”, predisposte dall’ Agenzia per l’Italia digitale nell’ambito dell’attuazione del Codice per l’Amministrazione Digitale Cad . Il Garante ha sottolineato la necessità di stabilire regole più precise per far sì che i soggetti che si occupano di conservazione dei documenti informatici rispettino a pieno la normativa sulla protezione dei dati personali, nel caso in cui la fornitura del servizio offerto a PA e a privati venga a cessare. [ ] Le Linee guida dovranno, in particolare, ricordare che la normativa impone al conservatore che in questo caso riveste il ruolo di responsabile del trattamento precisi obblighi in materia di restituzione dei dati al produttore titolare del trattamento . A tale proposito, è importante che nel processo di cessazione venga coinvolto anche il responsabile per la protezione dei dati cosiddetto Rpd/Dpo . Il Garante, rispondendo ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza , ha precisato il ruolo e le responsabilità degli OdV riguardo ai trattamenti dei dati personali svolti nelle loro funzioni ed ha escluso che essi possano essere qualificati come titolari autonomi o come responsabili del trattamento . Gli OdV sia pur dotati di autonomi poteri di iniziativa e controllo previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza . In altre parole, l’OdV nel suo complesso non è distinto dall’ente ma è parte dell’ente”. ed è quest'ultimo, quale titolare del trattamento, che definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo dei singoli membri che lo compongono, in base alla disciplina in materia di protezione dei dati personali.