CNIL ha pubblicato le diffide rivolte ai Comuni che ancora non avevano designato un DPO, l’osservatorio di MonitoraPA ha segnalato al Garante Privacy un elenco di enti pubblici non conformi per l’adozione di strumenti di tracciamento e il trasferimento dei dati negli Stati Uniti. Ma il cittadino digitale può assumere un ruolo più attivo per la tutela dei propri dati personali soprattutto nel rapporto con la PA o è altrimenti destinato ad essere un soggetto inerte? Certamente, se non evolve a livello individuale e collettivo una cultura di data protection allora dovrà – nel bene o nel male – subire iniziative altrui, sperando nella resa di un saldo positivo al termine delle stesse.
Considerato il novero degli enti locali, se il Comune soffre di un “mal di GDPR” espone a dei rischi un cospicuo volume di dati connotati anche da elevata sensibilità (basti pensare ai servizi sociali, ad esempio). E dunque un cittadino può esercitare attivamente un ruolo di controllo a riguardo, già iniziando a consultare le informative e cercando il contatto del DPO per ottenere maggiori informazioni. Nelle ipotesi in cui però talune informazioni manchino, o ci sia una necessità di approfondimenti quali ad esempio quelli riguardanti iniziative di social scoring su cui peraltro il Garante ha avviato delle istruttorie, è possibile formulare un’istanza di accesso FOIA. Tale diritto può essere esercitato da chiunque, gratuitamente e senza particolari formalità. Dal momento riguarda le informazioni rientranti negli obblighi di pubblicazione, può ben comprendere l’estratto di una valutazione d’impatto privacy, o anche le informazioni riguardanti le attività di trattamento di cui agli articoli 13 e 14 GDPR.
Qualora poi non siano trovati riscontri sufficientemente adeguati né contattando il DPO né richiedendo le informazioni necessarie, è possibile l’invio di una segnalazione ai sensi dell’art. 144 Cod. Privacy all’Autorità garante per la protezione dei dati personali portandola a conoscenza della situazione affinché valuti l’eventuale apertura di un procedimento e la conseguente adozione di provvedimenti correttivi ove ne riscontri i presupposti. Perché la segnalazione sia efficace va circostanziata con un’esposizione chiara dei fatti
Ovviamente quello del Comune è solo un caso di studio riguardante un approccio che però può essere facilmente esteso a tutti gli enti pubblici che assumono un ruolo nel trattamento dei dati personali e da cui l’interessato può ben pretendere garanzie efficaci di trasparenza e correttezza.
