PRIVACY E PUBBLICA AMMINISTRAZIONE

I dati statistici: un quadro allarmante

A partire dal 25 maggio 2018, il Regolamento europeo sulla Protezione dei Dati, 2016/679/UE (GDPR- General Data Protection Regulation o RGPD -Regolamento Generale sulla Protezione dei dati personali), è ormai applicabile in tutti gli Stati membri dell’Unione Europea.

Nonostante che il quadro normativo sia ormai definito, che ogni data e scadenza siano ormai passate, compresa quella del cosiddetto “periodo di grazia” che era stato previsto nel D.lgs. 101/2018, la legge italiana di armonizzazione, è preoccupante la noncuranza degli Enti Locali in materia.

Non si può affermare che non ci sia stato sufficiente tempo a disposizione per adeguarsi, poiché il GDPR, è bene ricordarlo, è stato approvato il 15 dicembre del 2015, e molte pubbliche amministrazioni non hanno sfruttato il lungo periodo di tempo concesso dal Legislatore per l’adeguamento, rimanendo inerti.

A essere a rischio sono i dati personali dei cittadini, i quali avrebbero devono essere tutelati da quella che non è una mera burocrazia imposta da una legge, ma un caposaldo della Carta dei diritti fondamentali dell’Unione europea, a cui il GDPR ha dato più forza e garanzia.

L’indagine condotta dall’Osservatorio di Federprivacy sui siti web di 3.000 comuni italiani tra ottobre 2018 e marzo 2019 palesa la gravità della situazione.

person using white tablet computer
Photo by rawpixel.com on Pexels.com

Gran parte dei siti web istituzionali (circa il 34%) sono stati trovati privi di una qualsiasi informativa sul trattamento dei dati personali, mentre praticamente quasi tutti gli altri benché rendessero disponibile una qualche sorta di informativa, nel 65% dei casi facevano ancora riferimento alla vecchia normativa senza alcun accenno al Regolamento Europeo e ai diritti per l’interessato che questo ha introdotto.

Tali siti oltre a essere consultati dai cittadini, forniscono una prima e importante impressione anche alle autorità che abitualmente li esaminano prima di avviare un procedimento od effettuare un’ispezione.

I siti inoltre sono stati trovati carenti e non conformi, per il 47% , sotto il profilo della sicurezza: sono infatti etichettati come “non sicuri” dai principali browser, perché continuano ad utilizzare connessioni non sicure basate sul vecchio protocollo “http”, aggravando il pericolo che hacker e malintenzionati possano intercettare e carpire dati personali inviati o ricevuti tramite i form di contatto dei siti dei comuni, con l’esposizione a rischi di potenziali “data breach”, violazioni di sicurezza che prevedono peraltro pesanti sanzioni fino a 10 milioni di euro per le pubbliche amministrazioni che non siano in grado di dimostrare di aver adottato tutte le misure di sicurezza tecniche ed organizzative necessarie per essere conformi al GDPR.

Inoltre, circa il 36%, non rendevano disponibili i dati di contatto del Responsabile della Protezione dei dati (o DPO) figura obbligatoria per tutte le pubbliche amministrazioni, impedendo di fatto ai cittadini di sapere come esercitare i diritti che sono loro riconosciuti dal GDPR. 

Gli obblighi principali

Riepilogando brevemente, si ricordano i tre obblighi fondamentali avrebbero dovuto essere adempiuti entro il Maggio 2018:

  1. La figura obbligatoria del Responsabile della protezione dei dati (o DPO Data Protection Officer) incaricato di assicurare una gestione corretta dei dati personali negli enti.
  2. Il Registro delle attività del trattamento ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate dall’ente.
  3. L’obbligo, prima di procedere al trattamento, di effettuare una valutazione di impatto sulla protezione dei dati, qualora un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Rispetto ai soggetti privati il GDPR non prescrive norme ad hoc per le pubbliche amministrazioni, e la differenza sostanziale risiede nella base giuridica su cui vengono trattati i dati: obbligo legale per la PA, consenso per i privati.

Tra gli errori più comuni, senza dubbio derivanti da un adeguamento fai-da-te, v’è l’individuazione del Titolare del trattamento: Titolare non è il Sindaco, bensì il Comune stesso, il Sindaco è solo uno degli esercenti la funzione di titolare, assieme ai Responsabili di servizio.

I dirigenti interni e le posizioni organizzative sono invece inquadrabili sia come esercenti la funzioni di titolare che soggetti autorizzati al trattamento.

Per l’adeguamento al GDPR non è necessaria l’approvazione di regolamento specifico in materia approvato dal Consiglio, ma l’organizzazione interna delle funzioni dovrà essere fatta per mezzo di delibera della Giunta.

La legge poi prescrive quali e con quale modalità devono essere pubblicati atti e provvedimenti, e soprattutto, per quanto tempo.

Il Data Protection Officer

L’aspetto più disatteso di tutta la disciplina è sicuramente la nomina del Data Protection Officer, il DPO, che gli Enti locali, finora, non ha adottato o adottato in maniera molto superficiale nominando personale interno, privo della dovuta formazione e indipendenza.

Non è semplice, né raccomandabile, specie per i Comuni di piccole e medie dimensioni nominare un D.P.O. interno, in quanto tale figura, è bene ricordarlo, deve possedere caratteristiche variegate: deve essere esperto in diritto, in informatica, essere un soggetto indipendente, collocato in staff e non in conflitto d’interesse.

photo of person wearing gray analog watch tapping keyboard of laptop
Photo by rawpixel.com on Pexels.com

La giusta direzione percorsa dagli enti virtuosi è la nomina di una figura esterna.

Tuttavia anche il reclutamento esterno non è scevro da criticità: in molti casi la scelta del personale è avvenuta secondo procedure poco trasparenti e/o per clientelismo politico e quasi sempre in violazione delle procedure previste dall’art. 26, comma 3, della Legge 23/12/1999 n. 488 e dell’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135, che prevede la nullità dei contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto, messi a disposizione dalle centrali di committenza.
Sotto il profilo delle sanzioni amministrative pecuniarie proprio le amministrazioni che hanno reclutato in violazione di legge i DPO potrebbero ricevere la visita della Guardia di Finanza – nucleo Privacy.

Eventuali inadempienze accertate, produrrebbero la violazione dell’art. 82 del Regolamento 2016/679, il quale prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento (o dal Responsabile del trattamento).

Tale norma, da leggersi in combinato disposto con l’art. 2050 c.c., obbliga chi ha cagionato il danno, nello svolgimento di un’attività pericolosa, al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.
Secondo i dati la maggior parte delle amministrazioni non avrò modo di fornire tale prova perché ancora non si sono adeguate al GDPR.