Newsletter 4 del 30/04/2021
3 Maggio 2021Aspettativa per incarico ex art. 110? Nessun diritto automatico
3 Giugno 2021Le difficoltà della PA nella gestione della privacy sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo quadrimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata erogata ad Enti Pubblici e il 28,8% a soggetti privati. Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.
La maggior incongruenza che si riscontra è la presenza di un unico corpo normativo a carattere europeo rappresentato dal Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018 e direttamente applicabile in tutti i paesi membri dell’Unione europea, senza considerare le specificità presenti nei diversi contesti nazionali. La lacunosità del Gdpr è stata più volte discussa e percepita come un mero contenitore di buone prassi ma poco aderente ai contesti in cui va ad agire.
In questi anni di operatività del Gdpr, sono emerse le difficoltà che i Titolari affrontano nella gestione del trattamento dei dati personali e la prassi sanzionatoria conferma quanto sia complesso essere in regola con la privacy, a tal punto che le amministrazioni statali centrali e gli enti locali sono stati puniti con sanzioni pecuniarie a volte significative.
Da ultimo l’intervento sanzionatorio del Garante nei confronti del Comune di Palermo. Con un’ordinanza di ingiunzione l’Ente ha infatti ricevuto una sanzione di 40.000 euro da parte dell’Autorità.
Il provvedimento segue il reclamo da parte di un utente con il quale è stato lamentato che i dati personali dell’interessato, contenuti nella domanda di sussidi alimentari di cui all’ordinanza della Protezione civile, sarebbero stati acquisiti da un soggetto non autorizzato. In particolare, il reclamante ha lamentato che alle sue informazioni avrebbe avuto accesso un operatore, riconducibile ad un’associazione della quale si è avvalsa l’Amministrazione, che avrebbe poi utilizzato tali informazioni per finalità estranee a quelle connesse all’attività di erogazione dello stesso sussidio.
Al Comune non è bastata – nella sua memoria difensiva – una esposizione meticolosa di quanto fatto prima e dopo, in ottemperanza alle indicazioni dello stesso garante ed a seguito del gravame.
E sebbene l’Autorità ne ha tenuto conto, unitamente al contesto emergenziale in cui il trattamento è avvenuto, per quanto attiene il quantum della sanzione, la stessa è comunque inesorabilmente scattata.
Innanzitutto per violazione del principio di “integrità e riservatezza” in quanto non è stata assicurata un’adeguata sicurezza dei dati personali, avendo consentito accessi non autorizzati; ma anche per violazione dei principi “di protezione dei dati fin dalla progettazione” in quanto, al momento di determinare i mezzi del trattamento, non sono state messe in atto adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, nonché a garantire che non siano resi accessibili dati personali a un numero indefinito di persone fisiche; ed infine per violazione dell’art.32 del Regolamento, data l’assenza di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, in quanto non si è tenuto conto dei rischi di accessi non autorizzati.
Insomma emerge che per essere in regola non basta aver adempiuto formalmente agli obblighi previsti dalla normativa europea, tanto che lo stesso Garante per la protezione dei dati personali in diversi interventi ha suggerito alle Amministrazioni pubbliche di curare con particolare attenzione le seguenti attività:
- la designazione del Responsabile della protezione dei dati – RPD ;
- l’istituzione del Registro delle attività di trattamento con l’individuazione dei soggetti autorizzati;
- una attenta valutazione del rischio e l’approntamento di adeguate misure di sicurezza per i trattamenti;
- la notifica delle violazioni dei dati personali.
Da questi rilievi si coglie dunque la necessità, anche da parte dei soggetti pubblici, di dotarsi di persone competenti nella gestione dei Modelli Privacy, in grado di effettuare corrette valutazioni di impatto ed Audit pertinenti e periodici.
Dopo tre anni dalla piena operatività del GDPR risultano peraltro ancora dei vuoti normativi di rango primario.
Non si tratta di soft law, cioè regole di condotta cui non è attribuito dall’ordinamento carattere vincolante, ma di regole che devono integrare i precetti primari.
In conclusione l’apparato sanzionatorio continua ad avere bisogno di quel quadro completo di regole dirette e precise che il legislatore europeo non ha predisposto, rimandando proprio alla legislazione degli Stati.
Gianni Sanna, Dasein