Protezione dei dati

GDPR nella PA: guida per comuni ed enti pubblici

GDPR nella pubblica amministrazione: interesse pubblico, albo pretorio, trasparenza, DPO obbligatorio e videosorveglianza comunale. Guida per comuni ed enti.

Also available in:Français·Deutsch

Nella pubblica amministrazione il GDPR si regge su una base giuridica diversa da quella delle imprese: i comuni e gli enti pubblici trattano i dati dei cittadini in forza dell’interesse pubblico e dell’esercizio di pubblici poteri (art. 6(1)(e) del Regolamento (UE) 2016/679 e art. 2-ter del Codice Privacy), quasi mai sul consenso. Il vero campo di tensione per un ente locale è il conflitto tra obblighi di trasparenza — albo pretorio online, amministrazione trasparente ex D.Lgs. 33/2013 — e il principio di minimizzazione dei dati. È qui che il Garante interviene con più frequenza.

Questa guida spiega la base giuridica corretta, i limiti alla pubblicazione online, l’obbligo di DPO e le regole per la videosorveglianza comunale.

Key Takeaways

  • La base giuridica della PA è l’interesse pubblico (art. 6(1)(e) GDPR + art. 2-ter Codice Privacy), non il consenso del cittadino.
  • Pubblicare online più dati del necessario è la violazione più ricorrente contestata dal Garante agli enti locali.
  • Il DPO è obbligatorio per ogni autorità e organismo pubblico (art. 37(1)(a) GDPR), comuni compresi.
  • L’albo pretorio ha finalità di pubblicità-notizia temporanea: dati e durata vanno limitati allo stretto necessario.
  • La videosorveglianza urbana richiede base normativa, informativa e tempi di conservazione contenuti.

La base giuridica: interesse pubblico, non consenso

L’errore più diffuso negli enti è chiedere il consenso al cittadino per attività che sono esercizio di funzioni istituzionali. Il consenso presuppone una libera scelta che, nel rapporto autoritativo tra cittadino e amministrazione, non esiste. L’art. 2-ter del Codice Privacy stabilisce che la base giuridica per i trattamenti svolti nell’esecuzione di un compito di interesse pubblico è costituita esclusivamente da una norma di legge o di regolamento.

Ne discende una regola operativa netta: prima di attivare un trattamento, l’ente deve individuare la norma che lo fonda, non predisporre un modulo di consenso. La corretta mappatura di questi trattamenti è il presupposto di ogni altro adempimento e va formalizzata nel registro dei trattamenti con un modello strutturato. Per orientarsi tra le sei basi dell’art. 6 è utile la guida alle basi giuridiche del trattamento nella pratica.

Trasparenza contro minimizzazione: il nodo dell’albo pretorio

Il D.Lgs. 33/2013 impone la pubblicazione di numerosi atti nella sezione «Amministrazione trasparente» e l’albo pretorio online assicura la pubblicità-notizia di delibere, ordinanze e concorsi. Ma la pubblicazione non è un’autorizzazione a diffondere qualsiasi dato: vale il principio di minimizzazione (art. 5(1)© GDPR) e il divieto di diffondere dati non pertinenti.

Elemento Regola
Durata pubblicazione albo Limitata al periodo previsto dalla norma; poi rimozione o deindicizzazione
Dati sanitari e giudiziari Non diffondibili salvo espressa previsione di legge
Beneficiari di sussidi Pubblicare solo se e nei limiti richiesti dalla norma; oscurare dati eccedenti
Concorsi e graduatorie Codici identificativi ove possibile, non dati eccedenti

Il Garante ha ripetutamente sanzionato o richiamato enti per la sovra-pubblicazione: elenchi di percettori di contributi con importi e patologie, dati di dettaglio nelle determine, indirizzi completi. La regola pratica è pubblicare solo ciò che la norma impone e per il tempo che impone. Dopo la scadenza, i dati vanno rimossi o resi non indicizzabili. Un approccio strutturato alla riduzione dei dati passa anche dalle tecniche di anonimizzazione e pseudonimizzazione.

DPO obbligatorio: chi lo nomina e perché

L’art. 37(1)(a) del Regolamento rende la nomina del Responsabile della protezione dei dati obbligatoria per ogni trattamento effettuato da un’autorità pubblica o da un organismo pubblico. Nessun comune è esentato, nemmeno i più piccoli, che spesso ricorrono a un DPO in forma associata o esterno.

Il DPO della PA deve essere realmente coinvolto, dotato di risorse e indipendente. La sua nomina va comunicata al Garante e i suoi recapiti pubblicati. Chi deve strutturare il ruolo trova i riferimenti nei compiti e obblighi del DPO/RPD. Molti enti sottovalutano che il DPO va consultato prima di avviare nuovi trattamenti a rischio, non a posteriori.

Videosorveglianza comunale e sicurezza urbana

La videosorveglianza urbana è uno dei trattamenti più delicati per un comune. Richiede una base normativa (spesso i «patti per la sicurezza urbana»), informativa con cartellonistica, delimitazione delle aree riprese e tempi di conservazione contenuti — di norma poche ore o giorni, salvo esigenze investigative documentate. Le regole di dettaglio sono nel provvedimento del Garante sulla videosorveglianza a norma GDPR.

Prima dell’installazione di sistemi su larga scala, l’ente deve valutare la necessità di una valutazione d’impatto sulla protezione dei dati (DPIA): la sorveglianza sistematica di aree accessibili al pubblico rientra tra i trattamenti che il Garante considera ad alto rischio.

Legiscope supporta gli enti nella tenuta del registro e nella gestione documentale di DPIA e informative, ma la responsabilità dell’individuazione della base normativa resta in capo all’amministrazione.

Data breach e flussi SPID/ANPR

Gli enti sono nodi di flussi di dati verso ANPR, SPID/CIE, PagoPA e altri sistemi nazionali. In caso di violazione dei dati personali scattano gli obblighi dell’art. 33: notifica al Garante entro 72 ore. La procedura operativa è descritta nella guida alla notifica di violazione dei dati al Garante. Gli enti più esposti a incidenti informatici rientrano oggi anche nel perimetro della normativa NIS2 in Italia (D.Lgs. 138/2024), che aggiunge obblighi di notifica ad ACN.

La PA centrale e locale è espressamente inclusa tra i soggetti in ambito NIS2, spesso a prescindere dalla dimensione. Un comune che subisce un attacco ransomware sui propri sistemi anagrafici deve quindi gestire un doppio binario di notifica: al Garante per i dati personali e al CSIRT Italia per l’incidente di sicurezza. La procedura di risposta agli incidenti va predisposta prima, non improvvisata durante l’attacco.

Nomine interne e catena dei fornitori

Ogni ente è un titolare che si avvale di molti fornitori: software gestionali in cloud, piattaforme di protocollo, sistemi di riscossione, data center. Ciascun fornitore che tratta dati per conto dell’ente va inquadrato come responsabile del trattamento con contratto ex art. 28, e la catena dei subfornitori va tracciata. Internamente, dipendenti e collaboratori vanno designati come soggetti autorizzati con istruzioni operative.

Un errore ricorrente negli enti è affidare servizi digitali senza un atto di nomina del responsabile: in caso di incidente presso il fornitore, l’ente resta il titolare e risponde della scelta e della vigilanza. Formalizzare la catena — informativa, registro, nomine, contratti art. 28 — è la base difensiva minima. Piattaforme come Legiscope permettono agli enti di generare e mantenere aggiornata questa documentazione partendo da un questionario, riducendo il carico sugli uffici che non dispongono di competenze legali dedicate.

Vale infine il principio di accountability (art. 5(2) GDPR): l’ente non deve solo essere conforme, ma deve poterlo dimostrare con documentazione aggiornata. In sede ispettiva, l’assenza di registro, informative e nomine pesa quanto la violazione sostanziale.

FAQ

Un comune deve chiedere il consenso ai cittadini per trattare i loro dati?

No, di regola. I trattamenti svolti per l’esercizio di funzioni istituzionali si fondano sull’interesse pubblico (art. 6(1)(e) GDPR e art. 2-ter Codice Privacy), che richiede una norma di legge o di regolamento come base. Il consenso è residuale e riguarda solo attività non autoritative, come alcune newsletter facoltative.

Il DPO è obbligatorio per tutti i comuni?

Sì. L’art. 37(1)(a) del Regolamento impone la nomina del DPO a ogni autorità e organismo pubblico, senza soglie dimensionali. I piccoli comuni possono nominare un DPO esterno o in forma associata, ma la nomina non è facoltativa.

Quanto tempo possono restare online i dati sull’albo pretorio?

Solo per il periodo di pubblicazione previsto dalla norma che disciplina il singolo atto. Scaduto tale termine, i dati devono essere rimossi o resi non indicizzabili dai motori di ricerca, perché la pubblicità-notizia ha carattere temporaneo e non giustifica una diffusione permanente.

La pubblicazione per trasparenza deroga alla minimizzazione dei dati?

No. Gli obblighi del D.Lgs. 33/2013 vanno letti insieme al principio di minimizzazione (art. 5(1)© GDPR): si pubblica solo ciò che la norma impone e si oscurano i dati eccedenti, come dati sanitari, giudiziari o non pertinenti. La sovra-pubblicazione è la violazione più contestata dal Garante alla PA.

Vedi anche: il GDPR per le scuole e gli istituti e per le associazioni e gli enti no profit, spesso coinvolti nei servizi degli enti locali.


Fonti ufficiali: Garante per la protezione dei dati personali · Regolamento (UE) 2016/679 su EUR-Lex

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →