Amministratori Pubblici: la ghigliottina del Garante privacy

di Michele Gorga, avvocato e componente osservatorio per il coordinamento dei DPO, RTD e Reputation Manager

In un recente studio dell’Osservatorio AIDR relativo all’applicazione della normativa della protezione dei dati nella Pubblica Amministrazione, si segnalava che a distanza di tre anni dall’entrata in vigore delle nuove norme ancora gravi e generalizzati erano i ritardi di adeguamento della Pubblica Amministrazione.

Veniva evidenziato che tali ritardi erano dovuti a una sottovalutazione che i Pubblici Funzionari avevano fatto dell’obbligatorietà della normativa della protezione dei dati e che tale atteggiamento era ben evidenziato dai metodi di selezione dei DPO e dalla tipologia dei bandi che prevedevano somme a base d’asta non adeguate alla specialità del servizio richiesto.

Si evidenziava che sulla base dell’indagine fatta a Finbold1, sui dati provenienti dal database GDPR Enforcement Tracker,2 l’ Italia, per le sanzioni comminate nel 2020 era al primo posto avendo, da sola, la quota maggiore per valore delle sanzioni comminate pari a ben 45 milioni di Euro sul totale dei 60 milioni complessivi comminati in tutti e 27 Paesi dell’Unione Europea.

Erano segnalate, poi, due criticità che il nuovo Regolamento UE 2016/679 ha di fatto introdotto nel nostro ordinamento, che sono state intese in modo molto peculiare in sede di attuazione del GDPR. La prima, consistente nell’utilizzo molto disinvolto e, a volte, strumentale delle segnalazioni delle violazioni dei dati all’Autorità Garante che spesso – anche per mancanza di parti lese – si configura come mero strumento di pressione o di punizione sulle Imprese e sulle Amministrazioni; il secondo, rappresentato dalla sostanziale mancanza di un riconoscibile parametro di determinazione oggettiva dell’entità delle sanzioni da parte del Garante.

Puntuali anche per questo 2021 le sanzioni comminate dal Garante ad alcune importanti amministrazioni tra le quali si segnala quella al Ministero dello Sviluppo Economico (MISE), condannato al pagamento di una sanzione di 75 mila euro per non avere nominato il Responsabile della protezione dati (RPD) entro il 28 maggio 2018.

Per la prima volta l’Autorità ha sanzionato una Pubblica Amministrazione per non avere designato il RDP entro il termine stabilito e per avere, poi, provveduto alla comunicazione al Garante dei dati di contatto del DPO con notevole ritardo.

L’omissione è emersa nel corso di una istruttoria, aperta dall’Ufficio a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero dello Sviluppo Economico di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di oltre cinquemila professionisti3.

Dal sito del MISE era, inoltre, possibile scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni anche di tutti i

 

manager4. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato, contrariamente a quanto sostenuto, non rappresenta una adeguata base giuridica di legittimazione per la diffusione dei dati online.

Un’altra sanzione, sempre di 75.000 euro, è stata comminata dal Garante alla Regione Lazio per non aver nominato Responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP), consentendo alla società di trattare i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del GDPR in materia di protezione dei dati personali5.

Con questo provvedimento il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento. Inoltre, che il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, deve prevedere nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Infine che il responsabile è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare”.

Con un altro recente provvedimento l’INPS è stato sanzionato nella misura di 300.000,00 euro, sanzione che il Garante ha ritenuto proporzionata e dissuasiva in quanto l’Istituto aveva fatto emergere, provocandone la pubblicazione, il dato che ben cinque deputati in piena emergenza Covid, in periodo di lockdown,   avevano   chiesto all’Istituto il bonus da 600 euro mensili, poi elevato a mille, previsto dai Decreti Cura Italia e Rilancio per sostenere il reddito degli autonomi e partite Iva. Inoltre che nell’elenco dei richiedenti del bonus erano presenti “anche duemila amministratori locali tra assessori e consiglieri regionali, sindaci e consiglieri locali, persino qualche governatore”6.

Il provvedimento sanzionatorio, adottato dal garante, a danno dell’INPS è stato ritenuto necessario perché il trattamento dei dati personali era stato effettuato senza un’adeguata progettazione del trattamento, con omissione di idonee misure di sicurezza per impostazione predefinita e senza eliminare i molteplici profili di rischio insiti in quel trattamento, per i diritti e le libertà fondamentali degli interessati.

Il Garante nell’occasione ha avuto modo di accertare che erano stati violati i dati in possesso dei richiedenti il bonus Covid, senza che fosse stato predeterminato con certezza che per i soggetti che rivestivano una carica politica era stata esclusa la provvidenza economica. Di conseguenza, ha ritenuto l’Autorità Garante, che erano stati violati i principii di liceità, correttezza e trasparenza del trattamento; di minimizzazione dei dati; di esattezza; l’obbligo di effettuare la valutazione d’impatto, e in definitiva il principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24, del Regolamento (cfr. par. 6.6).

L’INPS, quindi, è stato condannato alla draconiana sanzione per non avere adeguatamente ponderato la sussistenza di rischio tale da richiedere lo svolgimento di una

 

preliminare valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento, e per non avere al riguardo seguito le Linee Guida in materia di valutazione d’impatto sulla protezione dei dati.