Il GDPR ha ormai dispiegato i suoi effetti da più di un anno, ma il bilancio complessivo della sua effettiva applicazione non appare largamente positivo, soprattutto nel settore della pubblica amministrazione, mancando ancora una cultura e sensibilità in tema privacy.
Soffermandoci sulle realtà più piccole e vicine ai cittadini, ossia i Comuni, si evidenzia che la conformità al GDPR non si esaurisce con la nomina formale di un Responsabile della protezione dei dati (meglio noto come DPO) – nomina peraltro obbligatorio per tutti i comuni in ottemperanza all’art. 37 GDPR- ma ogni ente dovrebbe dotarsi di strutture adeguate, uffici ad hoc (al pari ad esempio di anagrafe o ufficio elettorale), nonché istruire appositamente i dipendenti e, altresì, informare i cittadini delle novità apportate dalla normativa europea e dei diritti loro riconosciuti. I Comuni potrebbero e anzi dovrebbero sentire la responsabilità di diffondere la cultura della privacy e sfruttare il loro ruolo istituzionale per sensibilizzare i cittadini su quello che è annoverato tra i diritti fondamentali dell’uomo e del cittadino, all’art. 8 della Carta dei diritti fondamentali dell’Unione europea.
I risultati degli investimenti in conformità alla data protection non saranno visibili nel breve periodo, ma il tempo segnerà il discrimen tra aziende ed enti più e meno virtuosi.
Non si tralasci poi il fatto che numerosi comuni, specie nel napoletano, sono stati di interessati da casi di data breach, come meglio approfondito nell’articolo sulla protezione dati nella pubblica amministrazione, subendo anche danni reputazionali e di immagine.
I danni potrebbero essere contenuti attraverso l’assunzione di personale specializzato, ossia di informatici e giuristi, i primi competenti per la parte tecnica (gestione servizi cloud, server e sistemi informatici), i secondi per gli aspetti burocratici e legislativi che richiedono, peraltro, un aggiornamento specialistico e continuo, essendo la normativa di settore in continua evoluzione. Anche un buon DPO deve essere in grado di padroneggiare sia aspetti giuridici che informatici, connubio non semplice da riscontrare in un’unica figura. Ma purtroppo in molti Comuni italiani questa figura non è ancora ampiamente riconosciuta e valorizzata, dimenticando che il DPO rappresenta la longa manus dell’Autorità Garante per la protezione dei dati personali calata nelle piccole realtà locali. I DPO sono il più delle volte pagati poco, contrattualizzati male, oppure si opta per il conferimento dell’incarico a società di consulenza che lavorano contemporaneamente per molteplici Comuni, col rischio di non riuscire a seguire tutti adeguatamente o di procedere con attività di “copia e incolla” che mal si conciliano con la ratio della normativa che richiede invece un’attenzione ai casi concreti e alle particolarità ed esigenze di ogni singolo luogo e contesto.
Probabilmente il vero cambiamento si avrà solo al sopraggiungere delle prime sanzioni amministrative pesanti.
Ma quali sono i poteri del Garante e come si svolge un’attività ispettiva?
L’art. 58 del GDPR enuncia i seguenti:
◼ Richiedere informazioni
◼ Condurre indagini
◼ Ottenere, dal titolare o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti
◼ Ottenere accesso a tutti i locali del titolare e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell’Unione o il diritto processuale degli Stati membri.
L’attività ispettiva prevede l’intervento, presso il luogo in cui si svolge il trattamento di funzionari dell’Autorità, ovvero per il tramite di Ispettori della Guardia di Finanza, appositamente incaricati di acquisire informazioni e documenti (Ordine di servizio). Il Garante privacy e la Guardia di Finanza hanno infatti di recente rinnovato il Primo Protocollo di intesa siglato nel 2005.
La documentazione richiesta nel corso dell’attività ispettiva è in linea generale la seguente:
◼ Organigramma dell’ente
◼ Registro dei trattamenti (art. 30 GDPR)
◼ Distribuzione di ruoli e responsabilità in materia di protezione dei dati personali
◼ Nomina del DPO (se ricorrono i presupposti)
◼ Elenco aggiornato dei responsabili esterni del trattamento (art. 28)
◼ Formazione, istruzione delle persone autorizzate al trattamento (eventuali nomine) e abilitazioni sui sistemi informatici, nonché registrazione degli accessi degli utenti autorizzati (file di log)
◼ Copia delle informative rilasciate ai sensi degli artt. 13 e 14 del GDPR e procedure adottate ai fini della gestione dei diritti degli interessati
◼Tempo di conservazione dei dati personali
◼ Misure di sicurezza implementate
◼ Valutazione di Impatto (art. 35)
Quali saranno le sanzioni applicabili?
Il sistema sanzionatorio è disciplinato all’art. 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie” e all’art. 84 “Sanzioni” del GDPR. Sono previste:
sanzioni fino a 10.000.000 di euro o fino al 2% del fatturato delle imprese, per le violazioni relative agli obblighi di titolari e responsabili, alla materia delle certificazioni, e a quella dei codici di condotta;
sanzioni fino a 20.000.000 di euro o fino al 4% del fatturato delle imprese, per la violazione dei principi di base del trattamento, dei diritti degli interessati, delle norme sui trasferimenti di dati, delle norme interne per particolari trattamenti, e per l’inosservanza di ordini dell’Autorità.
E’ opportuno evidenziare che la normativa italiana di adeguamento in materia di protezione dati personali prevede altresì sanzioni di natura penale, con riferimento alle seguenti fattispecie di reato: illecito trattamento dei dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza dei provvedimenti del Garante; violazioni delle disposizioni in materia di controllo a distanza e indagini sulle opinioni dei lavoratori (art. 4 legge 300).
I Comuni e le pubbliche amministrazioni, pertanto, non possono assolutamente trattare con superficialità questi temi e affrontare grossolanamente questi potenziali rischi: ci sono hacker specializzati, in grado di scovare le falle informatiche, ma anche persone comuni e senza competenze tecniche capaci di captare dati e informazioni non dai sistemi informatici, bensì dai comportamenti negligenti dei dipendenti comunali stessi. L’Autorità Garante è stata chiara, i controlli saranno sempre più frequenti e anche il tempo di clemenza per le sanzioni è definitivamente finito.
Rosanna Celella