È giusto che un cittadino sappia il valore che il proprio comune dà alla tutela della propria privacy, soprattutto in tempi di carta d’identità elettronica con la conseguente creazione di database assolutamente appetibili per attacchi informatici.
Altrettanto giusto è sapere come impiegare la giusta dose di strumenti, quali consapevolezza, trasparenza amministrativa, un pizzico di funzione search e qualche tecnica di Google-fu per capire esattamente quanto il proprio Comune abbia considerato le più basilari tutele dei dati personali dei propri cittadini. Quali passi possono essere svolti perché il cittadino stesso diventi un “controllore” e possa dunque essere in grado di cogliere alcuni spunti utili per comprendere se e come il proprio comune abbia provveduto all’adeguamento al GDPR per segnalare eventualmente al DPO (o direttamente al sindaco) alcune non conformità rilevate già da una ricognizione superficiale e limitata?
La buona notizia è che gran parte dei controlli si possono già svolgere sul sito web del comune, e dunque sono attuabili da qualsiasi cittadino.
Prima di tutto, si può verificare se il sito ha caricato il certificato SSL garantendo una connessione sicura (l’indirizzo deve essere dunque di tipo https). La mancanza di questi protocolli rende la connessione non sicura, e dunque, fa presagire l’assenza di un’analisi e predisposizione di misure di sicurezza adeguate al rischio, ed è un’evenienza senz’altro da segnalare (anche tramite semplice e-mail).
Dopodiché, navigando il sito, è bene trovare almeno due informative e che le stesse siano facilmente raggiungibili (possiamo dire: entro 2 clic dalla home page):
- informativa relativa al trattamento dei dati personali (o “privacy policy”);
- informativa relativa all’utilizzo dei cookie (o “cookie policy”);
Queste spesso sono posizionate in calce al sito o altrimenti dalla sezione “Note legali”.
Aprendo e leggendo le informative, queste devono essere facilmente comprensibili per qualsiasi cittadino: dal momento che l’art. 12 GDPR prescrive una forma “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Se non si riesce a comprendere il contenuto dell’informativa, sarà sempre bene contattare il DPO del comune per segnalare il problema e ricevere chiarimenti a riguardo.
Arrivando al DPO, ora, è bene comprendere che tale figura deve provvedere, nell’esercizio del proprio ruolo, ad una tutela effettiva per gli interessati relativamente a tutte le questioni di protezione dei dati personali. Prima di tutto, è pacifico che la designazione di un DPO è obbligatoria per i comuni. Se già all’interno dell’informativa non è presente il dato di contatto del DPO significa che probabilmente il comune non ha ancora provveduto, ed è diritto del cittadino dunque segnalare all’URP, o direttamente al sindaco, tale non conformità chiedendo chiarimenti a riguardo.
Se invece il DPO è stato designato, si può andare a cercare nelle sezioni del sito web dedicate all’albo pretorio online e nei servizi di amministrazione trasparente (e qui soccorre la funzione di ricerca del sito):
- il bando con cui si è ricercata la figura del DPO;
- l’atto di designazione del DPO;
verificando in primo luogo i criteri impiegati per la ricerca di tale figura professionale, nonché -potendo- anche valutare la congruità del compenso in relazione ai compiti da svolgere.
Compensi troppo bassi possono far ritenere che il DPO difficilmente possa garantire quella continuità di sorveglianza che è essenziale alla funzione da svolgere e all’esecuzione dei compiti di cui all’art. 39 GDPR. Anche in questo caso, è possibile sollevare dei quesiti direttamente presso l’URP o altrimenti tramite un’interrogazione al sindaco avente ad oggetto, ad esempio, la conformità del comune al GDPR o altrimenti, la selezione e il controllo dell’operato del DPO.
La corretta partecipazione del cittadino al controllo della gestione della propria privacy da parte del comune, può essere uno strumento valido per promuovere una cultura istituzionale di protezione dei dati personali, andando oltre i meri formalismi e verso l’obiettivo di una tutela effettiva e sostanziale.
