L’attività sanzionatoria del Garante Privacy. Bilanciamento tra obblighi di pubblicazione e tutela della privacy.
a cura di Mauro Monaco (funzionario pubblico, componente di organismi di valutazione e formatore)
Il 23 giugno 2021 si è svolto un webinar dal titolo “SOTTO LA LENTE DEL GARANTE. COME PREVENIRE LE SANZIONI DEL GARANTE PRIVACY”, dedicato all’illustrazione dei principali casi di violazione del Regolamento UE n. 2016/679 (GDPR) sanzionati dal Garante per la protezione dei dati personali e all’approfondimento delle infrazioni più frequentemente riscontrate. L’evento è stato organizzato dalla società Management and Consulting srl di Roma (www.mandc.it) e dall’avv. Annalisa Mancini, nell’esercizio delle loro funzioni di Responsabile Protezione Dati (RPD o DPO) in diverse Amministrazioni comunali e società in controllo pubblico.
La casistica analizzata si è basata sui provvedimenti pubblicati sul sito del Garante, che evidenziano una prevalenza, tra i soggetti sanzionati, delle Amministrazioni Pubbliche e, tra queste, una forte incidenza delle Amministrazioni comunali, circostanza che può essere interpretata alla luce delle delicate funzioni esercitate da questi Enti (servizi anagrafici, sociali, funzioni di Polizia Locale, ecc.) che implicano una vasta gamma di trattamenti di dati personali, anche su larga scala, e dall’elevato grado di interferenza della normativa privacy con altre normative che presidiano l’esercizio di funzioni pubbliche (in particolare, le varie forme di diritto di accesso e le diverse tipologie di pubblicazioni di dati e documenti sui siti web istituzionali).
Non trascurabile, infine, l’elevata complessità della normativa, che, a distanza di oltre tre anni dall’applicazione del Regolamento europeo, non sempre trova una facile applicazione da parte degli Enti, non solo quelli di piccole dimensioni, ma anche presso le grandi Amministrazioni, con la conseguenza di frequenti sanzioni pecuniarie irrogate dal Garante, a volte anche di importo cospicuo.
Un insieme di elementi che evidenzia il ruolo assolutamente imprescindibile del Responsabile della Protezione Dati, quale supporto e garanzia di legalità per il Titolare del trattamento.
Tra i tanti provvedimenti sanzionatori adottati dal Garante si è scelto di analizzare quelli che, per la tipologia di infrazioni rilevate, presentano un carattere di trasversalità e di comune interesse per tutte le Amministrazioni coinvolte. Un primo focus è stato quindi dedicato alle sanzioni irrogate per la violazione dell’art 28 del Regolamento, in particolare per il mancato rispetto dell’obbligo di disciplinare, con un atto giuridico, i trattamenti di dati personali affidati, per conto del titolare, a soggetti esterni, quali Responsabili del trattamento, (situazioni che si verificano molto di frequente nell’esecuzione dei rapporti contrattuali tra gli Enti e i propri fornitori, o anche nell’ambito delle forme di cooperazione tra diverse Istituzioni).
Altra casistica analizzata è stata quella legata alle infrazioni legate all’assenza delle misure necessarie per garantire un livello di sicurezza adeguato al rischio, richieste dall’art. 32 del Regolamento, con particolare riguardo alle misure di sicurezza informatica (autenticazioni ad elevato livello di sicurezza, back up periodici sui server aziendali, tecniche di pseudonimizzazione o cifratura di dati, ecc.), la cui mancata adozione continua a costituire una delle maggiori criticità.
Anche la gestione dei buoni spesa Covid è stata oggetto di interesse da parte del Garante, che ha sanzionato le modalità di gestione della specifica forma di sussidio da parte di un grande Comune per non aver messo in atto adeguate misure tecniche e organizzative (art. 25 del Regolamento) volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di tutelare i diritti degli interessati (privacy by design e by default), nonché a garantire che non siano resi accessibili dati personali a un numero indefinito di persone fisiche. Tale, specifica, questione dei buoni spesa è stata inoltre analizzata anche alla luce della recente giurisprudenza amministrativa in materia di diritto di accesso da parte dei consiglieri comunali ai sensi dell’art. 43 del D.Lgs. n. 267/2000.
Infine, una particolare attenzione è stata rivolta ai provvedimenti con i quali il Garante ha riscontrato violazioni derivanti da pubblicazioni di dati e documenti sui siti istituzionali degli Enti, sul portale Amministrazione Trasparente ai sensi del D.Lgs. n. 33/2013 e sull’albo pretorio web ai sensi dell’art. 124 del D.Lgs. n. 267/2000 (in particolare sull’albo c.d. “storico”). In molti casi, infatti, tali pubblicazioni sono risultate eccedenti (per tipologie di dati pubblicati o per la durata della pubblicazione), rispetto alla finalità che le giustificano, e hanno determinato una sanzione a carico delle Amministrazioni. Si è quindi dedicato uno specifico approfondimento a tale aspetto, che rappresenta, senza dubbio, uno dei maggiori punti di criticità per gli Enti, analizzando schemi di provvedimento e modalità di pubblicazione con oscuramento o pseudonimizzazione dei dati eccedenti. In maniera correlata, si è infine affrontato l’altro spinoso tema che attiene alla gestione delle diverse forme di accesso ai documenti e ai dati detenuti dai Comuni, in relazione al dovuto bilanciamento delle stesse con la tutela della riservatezza dei controinteressati.
Come per il precedente webinar svoltosi il 2 febbraio 2021, dedicato alla trattazione delle modalità di intervento in caso di violazione dei dati personali (data breach), anche questa seconda iniziativa è stata ispirata da casi pratici reali per effettuare approfondimenti e lanciare spunti di riflessione ai partecipanti, in modo da consentire un momento di autoanalisi organizzativa, basata sulle esperienze di altre organizzazioni analoghe, con l’intento di fornire agli Enti strumenti di miglioramento del proprio grado di compliance alla complessa normativa in materia di protezione dei dati personali e, in ultima analisi, prevenire situazioni di non conformità e quindi possibili interventi sanzionatori.