Stai navigando con un browser obsoleto. Clicca qui e aggiorna il tuo browser per avere una migliore esperienza di navigazione.

News

31 Maggio 2021

Gli Enti pubblici rischiano sanzioni importanti su Privacy e violazione del GDPR: il caso di Palermo

Le difficoltà della PA nella gestione della privacy sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo quadrimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata erogata ad Enti Pubblici e il 28,8% a soggetti privati. Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.

La maggior incongruenza che si riscontra è  la presenza di un unico corpo normativo a carattere europeo rappresentato dal Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018 e direttamente applicabile in tutti i paesi membri dell’Unione europea, senza considerare le specificità presenti nei diversi contesti nazionali. La lacunosità del Gdpr è stata più volte discussa e percepita come un mero contenitore di buone prassi ma poco aderente ai contesti in cui va ad agire.
In questi anni di operatività del Gdpr, sono emerse le difficoltà che i Titolari affrontano nella gestione del trattamento dei dati personali e la prassi sanzionatoria conferma quanto sia complesso essere in regola con la privacy, a tal punto che le amministrazioni statali centrali e gli enti locali sono stati puniti con sanzioni pecuniarie a volte significative.

40 mila euro di multa per il Comune di Palermo in seguito al reclamo di un utente

Da ultimo l’intervento sanzionatorio del Garante nei confronti del Comune di Palermo. Con un’ordinanza di ingiunzione l’Ente ha infatti ricevuto una sanzione di 40.000 euro da parte dell’Autorità.  
Il provvedimento segue  il reclamo da parte di un utente con il quale è stato lamentato che i dati personali dell’interessato, contenuti nella domanda di sussidi alimentari di cui all’ordinanza della Protezione civile, sarebbero stati acquisiti da un soggetto non autorizzato. In particolare, il reclamante ha lamentato che alle sue informazioni avrebbe avuto accesso un operatore, riconducibile ad un’associazione della quale si è avvalsa l’Amministrazione, che avrebbe poi utilizzato tali informazioni per finalità estranee a quelle connesse all’attività di erogazione dello stesso sussidio.
Al Comune non è bastata – nella sua memoria difensiva – una esposizione meticolosa di quanto fatto prima e dopo, in ottemperanza alle indicazioni dello stesso garante ed a seguito del gravame. 
E sebbene l’Autorità ne ha tenuto conto, unitamente al contesto emergenziale in cui il trattamento è avvenuto, per quanto attiene il quantum della sanzione, la stessa è comunque inesorabilmente scattata.

La protezione va già garantita in fase di progettazione

Innanzitutto per violazione del principio di  “integrità e riservatezza” in quanto non è stata assicurata un’adeguata sicurezza dei dati personali, avendo consentito accessi non autorizzati; ma anche per violazione dei principi “di protezione dei dati fin dalla progettazione” in quanto, al momento di determinare i mezzi del trattamento, non sono state messe in atto adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, nonché a garantire che non siano resi accessibili dati personali a un numero indefinito di persone fisiche; ed infine per violazione dell’art.32 del Regolamento, data l’assenza di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, in quanto non si è tenuto conto dei rischi di accessi non autorizzati.

Non basta realizzare solo formalmente gli obblighi normativi dettati dall’UE sulla Privacy

Insomma emerge che per essere in regola non basta aver adempiuto formalmente agli obblighi previsti dalla normativa europea, tanto che lo stesso Garante per la protezione dei dati personali in diversi interventi ha suggerito alle Amministrazioni pubbliche di curare con particolare attenzione le seguenti attività:

  • la designazione del Responsabile della protezione dei dati – RPD ;
  • l’istituzione del Registro delle attività di trattamento con l’individuazione dei soggetti autorizzati;
  • una attenta valutazione del rischio e l’approntamento di adeguate misure di sicurezza per i trattamenti;
  • la notifica delle violazioni dei dati personali.

C’è bisogno di investire in personale competente nella gestione dei Modelli di Privacy

Da questi rilievi si coglie dunque la necessità, anche da parte dei soggetti pubblici, di dotarsi di persone competenti nella gestione dei Modelli Privacy, in grado di effettuare corrette valutazioni di impatto ed Audit pertinenti e periodici.
Dopo tre anni dalla piena operatività del GDPR risultano peraltro ancora dei vuoti normativi di rango primario.
Non si tratta di soft law, cioè regole di condotta cui non è attribuito dall’ordinamento carattere vincolante, ma di regole che devono integrare i precetti primari.
In conclusione l’apparato sanzionatorio continua ad avere bisogno di quel quadro completo di regole dirette e precise che il legislatore europeo non ha predisposto, rimandando proprio alla legislazione degli Stati.

Gianni Sanna, Dasein

Altre news

21 Settembre 2021 Le novità del Decreto Reclutamento per l’attuazione del PNRR: progressioni verticali, mobilit... 3 Agosto 2021 Buone ferie!... 28 Luglio 2021 Enti Locali: la grande occasione del Piano Nazionale di Ripresa e Resilienza... 5 Luglio 2021 FormazionePa on line. La formazione in e-learning di Dasein che segui quando e dove vuoi.... 5 Luglio 2021 Devi pianificare e gestire il lavoro in Smart Working? Ecco AgilePA: lo strumento di supporto alla g... 5 Luglio 2021 Fondo delle risorse decentrate senza errori? Fallo con DATExFondo!... 28 Giugno 2021 Equità fiscale e centralità dei Comuni nella ripartenza. La nuova avventura di Dasein con Team Gro... 3 Giugno 2021 Aspettativa per incarico ex art. 110? Nessun diritto automatico... 3 Maggio 2021 Newsletter 4 del 30/04/2021... 23 Aprile 2021 Il governo dell’ente locale: il Segretario Comunale come motore propulsivo dell’organizzazione... 1 Aprile 2021 Newletter 3 del 31/03/2021... 17 Marzo 2021 Percorso formativo per lo sviluppo delle competenze manageriali rivolto ai Segretari Comunali... 2 Marzo 2021 Newsletter 2/2021 del 2/3/2021... 1 Febbraio 2021 Newsletter 1/2021 del 01/02/2021... 16 Novembre 2020 AgilePA: la lavagna digitale per la gestione dello Smart Working... 24 Settembre 2020 Slittamento al 15 maggio del termine di sospensione dei procedimenti amministrativi – in particola... 8 Giugno 2020 Newsletter del 08/06/2020... 22 Maggio 2020 Newsletter del 22/05/2020... 28 Aprile 2020 DPCM contenente le misure per la definizione delle capacità assunzionali...