La protezione dei dati personali nella Pubblica Amministrazione è oggi regolata da un quadro normativo composito: il Regolamento (UE) 2016/679 (GDPR — General Data Protection Regulation) e il D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy), profondamente novellato dal D.Lgs. 10 agosto 2018 n. 101. Questa guida illustra principi, ruoli, obblighi specifici delle PA, regime sanzionatorio e adempimenti pratici, utili sia ai dipendenti pubblici sia a chi prepara concorsi per ruoli amministrativi e di vigilanza.
Il quadro normativo vigente
Il punto di riferimento è il GDPR (Reg. UE 2016/679), entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018. Il Regolamento ha abrogato la direttiva 95/46/CE e ha armonizzato la disciplina della protezione dei dati personali in tutta l'Unione Europea. Le sue regole sono direttamente applicabili in ciascuno Stato membro, senza necessità di recepimento.
In Italia, il D.Lgs. 196/2003 (Codice Privacy) è stato adattato al GDPR dal D.Lgs. 101/2018, in vigore dal 19 settembre 2018. Il decreto di armonizzazione ha abrogato circa l'80% degli articoli originali del Codice, mantenendone alcune parti rilevanti, in particolare:
- l'autorità Garante per la protezione dei dati personali, i suoi poteri e le sue funzioni;
- i principi di trattamento applicabili alla PA, con riferimento ai compiti di interesse pubblico;
- il sistema sanzionatorio integrato (GDPR + Codice Privacy + D.Lgs. 101/2018).
Fonti coordinate. Quando si parla di "privacy" nella PA, le fonti vanno lette in modo coordinato: il GDPR detta i principi generali e i diritti dell'interessato; il D.Lgs. 196/2003 (novellato) declina la disciplina nel contesto italiano e regola in modo specifico alcuni trattamenti di interesse pubblico; le linee guida del Garante e dell'EDPB (European Data Protection Board) integrano la disciplina con indicazioni operative.
I principi generali del trattamento
L'art. 5 del GDPR enuncia i principi fondamentali del trattamento dei dati personali, validi anche e soprattutto per la PA:
- Liceità, correttezza e trasparenza: ogni trattamento deve avere una base giuridica esplicita e deve essere comprensibile per l'interessato.
- Limitazione della finalità: i dati sono raccolti per finalità determinate, esplicite e legittime; non possono essere trattati per scopi incompatibili.
- Minimizzazione: si trattano solo i dati strettamente necessari rispetto alla finalità.
- Esattezza: i dati devono essere esatti e aggiornati; vanno rettificati o cancellati senza ritardo se inesatti.
- Limitazione della conservazione: i dati sono conservati per il tempo necessario alle finalità, salvo obblighi di archiviazione di interesse pubblico.
- Integrità e riservatezza: trattamento con misure tecniche e organizzative adeguate a garantire la sicurezza.
- Accountability (responsabilizzazione): il titolare deve essere in grado di dimostrare il rispetto dei principi (non solo di affermarlo).
I ruoli nel trattamento dei dati
Il titolare del trattamento
Il titolare del trattamento (art. 4, n. 7 GDPR) è la persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Nella PA, il titolare è di norma l'ente (Comune, Regione, Ministero, ASL), rappresentato dal suo organo di vertice (es. il Sindaco per i Comuni). Spetta al titolare:
- definire le politiche di privacy dell'ente;
- predisporre il registro dei trattamenti;
- nominare DPO, responsabili e autorizzati al trattamento;
- rispondere delle violazioni e delle sanzioni;
- garantire il rispetto dei diritti degli interessati.
Il responsabile del trattamento
Il responsabile del trattamento (art. 28 GDPR) è il soggetto esterno (persona fisica o giuridica) che tratta dati per conto del titolare. Tipicamente: fornitori di software gestionali, società di outsourcing, soggetti che svolgono attività di gestione documentale per conto della PA. Il rapporto è regolato da un contratto o atto giuridico vincolante che disciplina oggetto, durata, finalità e obblighi del responsabile.
Il Data Protection Officer (DPO/RPD)
Il DPO (Data Protection Officer), in italiano Responsabile della Protezione dei Dati (RPD), è una figura introdotta dal GDPR (artt. 37-39). La sua designazione è obbligatoria per:
- le autorità pubbliche, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni;
- i titolari/responsabili che svolgono trattamenti su larga scala di dati sensibili o relativi a condanne penali;
- i titolari/responsabili che, come attività principale, monitorano regolarmente e sistematicamente gli interessati su larga scala.
Il DPO svolge compiti di consulenza, sorveglianza e formazione: vigila sull'applicazione del GDPR, fornisce pareri sulla DPIA (valutazione d'impatto), funge da punto di contatto con il Garante e con gli interessati. La sua identità e i suoi recapiti vanno pubblicati sul sito istituzionale e comunicati al Garante.
Le basi giuridiche del trattamento nella PA
L'art. 6 del GDPR enumera le basi giuridiche di legittimità del trattamento. Per la Pubblica Amministrazione, le più rilevanti sono:
- l'adempimento di un obbligo legale al quale è soggetto il titolare (lett. c);
- l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (lett. e);
- la tutela di interessi vitali dell'interessato o di altra persona fisica (lett. d), in casi eccezionali.
Il GDPR precisa che la base del legittimo interesse (lett. f) non si applica al trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti: le PA, per i propri trattamenti istituzionali, devono fondarsi su una norma di legge che autorizzi espressamente il trattamento.
Esempio operativo. Per il rilascio della carta di identità elettronica, il Comune tratta i dati anagrafici e biometrici del cittadino sulla base di un obbligo di legge (D.L. 78/2015 e disposizioni del Ministero dell'Interno). Per la gestione delle sanzioni stradali, il Comando di Polizia Locale tratta i dati del trasgressore sulla base del CdS e del Reg. CdS, in esecuzione di compiti di interesse pubblico.
Trattamenti di interesse pubblico rilevante (art. 2-sexies)
L'art. 2-sexies del D.Lgs. 196/2003, novellato dal D.Lgs. 101/2018, individua alcuni trattamenti di "interesse pubblico rilevante" svolti dalle PA, considerati legittimi anche quando riguardano dati particolari (ex "sensibili"). Tra le materie elencate:
- accesso ai documenti amministrativi e accesso civico;
- tenuta degli atti dello stato civile e delle anagrafi (ANPR);
- tenuta delle liste elettorali;
- rilascio di documenti di riconoscimento o di viaggio;
- tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli;
- cittadinanza, immigrazione, asilo, condizione dello straniero;
- elettorato attivo e passivo, esercizio di altri diritti politici.
I diritti dell'interessato (artt. 15-22 GDPR)
L'interessato (la persona fisica cui si riferiscono i dati) ha una serie di diritti opponibili al titolare:
- Accesso (art. 15): conoscere se i propri dati sono trattati, finalità, categorie, destinatari, durata di conservazione.
- Rettifica (art. 16): correzione dei dati inesatti o integrazione di quelli incompleti.
- Cancellazione ("diritto all'oblio", art. 17): cancellazione dei dati in casi previsti (cessazione di necessità, revoca del consenso, trattamento illecito).
- Limitazione del trattamento (art. 18).
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e trasmetterli a un altro titolare (più rilevante per servizi commerciali).
- Opposizione (art. 21): in particolare per motivi connessi alla situazione particolare dell'interessato.
Adempimenti specifici della PA
Registro dei trattamenti (art. 30)
Le PA, in quanto titolari, hanno l'obbligo di tenere un registro delle attività di trattamento, in formato scritto (anche elettronico), contenente: nome del titolare/DPO, finalità, categorie di interessati e di dati, destinatari, trasferimenti, termini di cancellazione, misure di sicurezza. È documento essenziale ai fini dell'accountability.
Valutazione d'impatto (DPIA — art. 35)
Quando un trattamento, considerati natura, oggetto, contesto e finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve effettuare una valutazione d'impatto sulla protezione dei dati (DPIA — Data Protection Impact Assessment). Esempi tipici nella PA: videosorveglianza in luoghi pubblici, sistemi di profilazione automatizzata, database biometrici.
Notifica delle violazioni (data breach — art. 33)
In caso di violazione dei dati personali (data breach), il titolare deve notificare l'evento al Garante entro 72 ore dal momento in cui ne ha avuto conoscenza, salvo che sia improbabile un rischio per i diritti e le libertà degli interessati. Se la violazione presenta un rischio elevato, è obbligatoria anche la comunicazione agli interessati.
Privacy by design e by default (art. 25)
Il GDPR introduce i principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default): le PA devono integrare le misure di protezione fin dalla progettazione di nuovi sistemi, procedure o servizi, garantendo che, per impostazione predefinita, siano trattati solo i dati strettamente necessari.
Il regime sanzionatorio
Il GDPR prevede sanzioni amministrative pecuniarie di entità storicamente senza precedenti, applicate dal Garante nazionale:
- fino a € 10 milioni o, per le imprese, fino al 2% del fatturato mondiale annuo (violazioni di obblighi del titolare/responsabile);
- fino a € 20 milioni o fino al 4% del fatturato mondiale annuo (violazioni dei principi di trattamento, dei diritti degli interessati, dei trasferimenti internazionali).
Per le PA italiane, il D.Lgs. 101/2018 ha previsto criteri specifici di applicazione delle sanzioni, tenuto conto della natura non lucrativa degli enti. Restano in vigore alcune sanzioni penali previste dal D.Lgs. 196/2003 per condotte specifiche (es. trattamento illecito di dati per finalità di lucro, comunicazione e diffusione illecita di dati su larga scala).
Il Garante per la protezione dei dati personali
Il Garante per la protezione dei dati personali è l'autorità indipendente italiana competente in materia di privacy. Tra i principali poteri:
- vigilanza sull'applicazione del GDPR e del D.Lgs. 196/2003;
- esame dei reclami degli interessati;
- provvedimenti correttivi (avvertimenti, ingiunzioni, divieti di trattamento, limitazioni, prescrizioni);
- applicazione delle sanzioni amministrative;
- cooperazione con le altre autorità europee nell'ambito del meccanismo dello sportello unico e del coerente EDPB.
Per il concorso. Domande tipiche: fonti normative (Reg. UE 2016/679 e D.Lgs. 196/2003, novellato dal D.Lgs. 101/2018); principi dell'art. 5 GDPR; differenza tra titolare, responsabile e DPO; obblighi specifici della PA (registro, DPIA, data breach in 72 ore); ruolo del Garante e sistema sanzionatorio; nozione di "interesse pubblico rilevante" ex art. 2-sexies; diritti dell'interessato.
Manuale per Concorsi in Polizia Municipale 2026
Il Manuale per Concorsi in Polizia Municipale 2026 dedica un capitolo alla privacy e alla protezione dei dati nella PA, con esempi pratici per gli uffici comunali e per i Comandi di Polizia Locale.
Vedi su Amazon ↗