di Michele Gorga, avvocato e componente osservatorio Aidr per il
coordinamento dei DPO, RTD e Reputation Manager

In un recente studio dell’Osservatorio AIDR relativo all’applicazione
della normativa della protezione dei dati nella Pubblica
Amministrazione, si segnalava che a di-stanza di tre anni dall’entrata
in vigore delle nuove norme ancora gravi e generalizzati erano i
ritardi di adeguamento della Pubblica Amministrazione.
Veniva evidenziato che tali ritardi erano dovuti a una
sottovalutazione che i Pubblici Funzionari avevano fatto
dell’obbligatorietà della normativa della protezione dei dati e che
tale atteggiamento era ben evidenziato dai metodi di selezione dei DPO
e dalla tipolo-gia dei bandi che prevedevano somme a base d’asta non
adeguate alla specialità del servi-zio richiesto.
Si evidenziava che sulla base dell’indagine fatta a Finbold, sui dati
provenienti dal database GDPR Enforcement Tracker, l’ Italia, per le
sanzioni comminate nel 2020 era al primo posto avendo, da sola, la
quota maggiore per valore delle sanzioni comminate pari a ben 45
milioni di Euro sul totale dei 60 milioni complessivi comminati in
tutti e 27 Paesi dell’Unione Europea.
Erano segnalate, poi, due criticità che il nuovo Regolamento UE
2016/679 ha di fatto introdotto nel nostro ordinamento, che sono state
intese in modo molto peculiare in sede di attuazione del GDPR. La
prima, consistente nell’utilizzo molto disinvolto e, a volte,
strumentale delle segnalazioni delle violazioni dei dati all’Autorità
Garante che spesso – anche per mancanza di parti lese – si configura
come mero strumento di pressione o di punizione sulle Imprese e sulle
Amministrazioni; il secondo, rappresentato dalla sostan-ziale mancanza
di un riconoscibile parametro di determinazione oggettiva dell’entità
delle sanzioni da parte del Garante.
Puntuali anche per questo 2021 le sanzioni comminate dal Garante ad
alcune im-portanti amministrazioni tra le quali si segnala quella al
Ministero dello Sviluppo Econo-mico (MISE), condannato al pagamento di
una sanzione di 75 mila euro per non avere nominato il Responsabile
della protezione dati (RPD) entro il 28 maggio 2018.
Per la prima volta l’Autorità ha sanzionato una Pubblica
Amministrazione per non avere designato il RDP entro il termine
stabilito e per avere, poi, provveduto alla comuni-cazione al Garante
dei dati di contatto del DPO con notevole ritardo.
L’omissione è emersa nel corso di una istruttoria, aperta dall’Ufficio
a seguito di alcune segnalazioni, con la quale è stata accertata la
presenza sul sito del Ministero dello Sviluppo Economico di una pagina
web con un elenco di manager nella quale erano visi-bili e liberamente
scaricabili i dati personali di oltre cinquemila professionisti3.
Dal sito del MISE era, inoltre, possibile scaricare anche il decreto
direttoriale con il quale l’elenco era stato approvato, contenente
dati e informazioni anche di tutti i
manager. Nel rilevare l’illiceità del trattamento, il Garante ha
ritenuto che il decreto diretto-riale richiamato, contrariamente a
quanto sostenuto, non rappresenta una adeguata base giu-ridica di
legittimazione per la diffusione dei dati online.
Un’altra sanzione, sempre di 75.000 euro, è stata comminata dal
Garante alla Regione Lazio per non aver nominato Responsabile del
trattamento dati la Società Coope-rativa Capodarco, a cui l’Ente aveva
affidato la gestione delle prenotazioni delle presta-zioni sanitarie,
attraverso il call center regionale (ReCUP), consentendo alla società
di trat-tare i dati dei pazienti in modo illecito per un decennio, dal
1999 al 7 gennaio 2019, data in cui la Regione, in qualità di
titolare, ha designato formalmente la Cooperativa respon-sabile del
trattamento, ben oltre l’inizio di piena applicazione del GDPR in
materia di pro-tezione dei dati personali.
Con questo provvedimento il Garante ha ribadito che le società che
prestano servizi per conto del titolare e che di conseguenza trattano
i dati personali degli utenti, devono essere designate responsabili
del trattamento. Inoltre, che il rapporto tra titolare e respon-sabile
deve essere regolato da un contratto o da altro atto giuridico,
stipulato per iscritto che, oltre a vincolare reciprocamente le due
figure, deve prevedere nel dettaglio le regole e i limiti con cui
devono essere trattati i dati personali. Infine che il responsabile è
legitti-mato a trattare i dati degli interessati “soltanto su
istruzione documentata del titolare”.
Con un altro recente provvedimento l’INPS è stato sanzionato nella
misura di 300.000,00 euro, sanzione che il Garante ha ritenuto
proporzionata e dissuasiva in quanto l’Istituto aveva fatto emergere,
provocandone la pubblicazione, il dato che ben cinque deputati in
piena emergenza Covid, in periodo di lockdown, avevano chiesto
all’Istituto il bonus da 600 euro mensili, poi elevato a mille,
previsto dai Decreti Cura Italia e Rilan-cio per sostenere il reddito
degli autonomi e partite Iva. Inoltre che nell’elenco dei richie-denti
del bonus erano presenti “anche duemila amministratori locali tra
assessori e con-siglieri regionali, sindaci e consiglieri locali,
persino qualche governatore”
Il provvedimento sanzionatorio, adottato dal garante, a danno
dell’INPS è stato ri-tenuto necessario perché il trattamento dei dati
personali era stato effettuato senza un’adeguata progettazione del
trattamento, con omissione di idonee misure di sicurezza per
impostazione predefinita e senza eliminare i molteplici profili di
rischio insiti in quel trattamento, per i diritti e le libertà
fondamentali degli interessati.
Il Garante nell’occasione ha avuto modo di accertare che erano stati
violati i dati in possesso dei richiedenti il bonus Covid, senza che
fosse stato predeterminato con certezza che per i soggetti che
rivestivano una carica politica era stata esclusa la provvidenza
eco-nomica. Di conseguenza, ha ritenuto l’Autorità Garante, che erano
stati violati i principii di liceità, correttezza e trasparenza del
trattamento; di minimizzazione dei dati; di esattez-za; l’obbligo di
effettuare la valutazione d’impatto, e in definitiva il principio di
respon-sabilizzazione di cui agli artt. 5, par. 2 e 24, del
Regolamento (cfr. par. 6.6).
L’INPS, quindi, è stato condannato alla draconiana sanzione per non
avere ade-guatamente ponderato la sussistenza di rischio tale da
richiedere lo svolgimento di una preliminare valutazione d’impatto
sulla protezione dei dati, ai sensi dell’art. 35 del Rego-lamento, e
per non avere al riguardo seguito le Linee Guida in materia di
valutazione d’impatto sulla protezione dei dati.