mercoledì 5 maggio 2021

Quando è la PA a non rispettare le norme sulla privacy

Fanno sempre notizia le sanzioni che il Garante per la protezione dei dati personali commina alle aziende private che, spesso per ragioni di profitto, non si attengono alle regole stabilite dalla normativa europea e nazionale a tutela della riservatezza dei dati personali. Fanno ancora più scalpore, però, le sanzioni del Garante quando colpiscono un ente pubblico, cioè un soggetto da cui ci si aspetta un comportamento maggiormente garantista e attento ai diritti del cittadino. In tali casi il comportamento illegittimo non è sicuramente guidato da ragioni di profitto, ma, probabilmente, dalla ancora scarsa attenzione che viene riposta nel rispetto della normativa in materia di privacy e forse anche dalla poca conoscenza della stessa o da procedure operative troppo farraginose.

Per fare qualche esempio, il 25 febbraio scorso, il Garante per la protezione dei dati personali ha comminato all’INPS una sanzione pecuniaria pari ad euro 300mila, oltre all’ordine di cancellare i dati trattati illegittimamente, in relazione al trattamento di dati personali nell’ambito dei controlli anti-fronde nei confronti di titolari di partita iva che avevano richiesto l’erogazione del cd. “bonus Covid”. Tra questi vi erano anche alcuni soggetti che ricoprivano cariche politiche. Per questo l’attività ispettiva dell’INPS aveva conquistato l’attenzione dei media.

Nel corso degli accertamenti l’Autorità, pur riconoscendo che lo svolgimento dei controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus è riconducibile a compiti di interesse pubblico rilevante, ha riscontrato numerose criticità nelle modalità operative utilizzate dall’Istituto, non in linea con la disciplina in materia di protezione dei dati personali. Dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone che ricoprono incarichi di carattere politico, l’Istituto avrebbe effettuato elaborazioni e incroci tra i dati di tutti coloro che avevano richiesto il bonus con quelli dei titolari dei predetti incarichi. Ciò senza però aver prima determinato se ai parlamentari e agli amministratori regionali o locali spettasse o meno tale beneficio, anche in considerazione delle differenti caratteristiche delle cariche ricoperte. In questo modo – ha affermato l’Autorità – l’INPS ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento Ue in materia di protezione dei dati personali.

Inoltre, il Garante ha rilevato l’assenza di un’adeguata protezione dei dati personali fin dalla progettazione e per impostazione predefinita, volta a garantire che fossero trattati i soli dati necessari per ogni specifica finalità del trattamento, al fine di eliminare i molteplici profili di rischio probabile per i diritti e le libertà fondamentali degli interessati. L’INPS non avrebbe, infine, valutato adeguatamente i rischi collegati a un trattamento di dati così delicato come è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale, non effettuando la valutazione di impatto sui diritti e le libertà degli interessati.

Solo qualche settimana prima, l’11 febbraio scorso, il Garante per la privacy ha ordinato al Ministero dello Sviluppo Economico il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del GDPR. Ciò, nonostante il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento. Si tratta del primo intervento dell’Autorità in materia di privacy per l’omessa nomina del RdP (noto anche come DPO) da parte di una PA entro il termine stabilito ed avere provveduto alla comunicazione al Garante dei dati di contatto con notevole ritardo. Con lo stesso provvedimento il Mise è stato sanzionato anche per avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager. La pubblicazione integrale dei loro curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, - ha rilevato il Garante - non in linea con i principi del Gdpr. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.).

Ancora, 75mila euro di multa sono stati inflitti con provvedimento del 14 gennaio 2021 alla Regione Lazio, per non avere nominato responsabile del trattamento dei dati personali dei pazienti la società cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale. La società ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali.

Gli esempi potrebbero continuare, senza risparmiare neppure enti territoriali e locali.

D’altro canto, quando una PA viene sanzionata per il mancato rispetto del GDPR si profila la responsabilità dei funzionari che avrebbero dovuto porre in essere gli adempimenti omessi. Alcuni provvedimenti adottati dalla Corte dei Conti hanno infatti messo al centro la responsabilità personale di funzionari pubblici nell’adempimento degli obblighi previsti dalle norme in materia di privacy. Il rapporto di servizio e il danno, consistente nel depauperamento sofferto dall’Ente pubblico della somma corrisposta a titolo di sanzione, sono infatti elementi costitutivi della responsabilità erariale. Di qui, la possibilità per la Pubblica amministrazione di rivalersi sui propri vertici.

Il principio è stato sancito dalla Corte, in particolare, nella sentenza n. 429/2019, con cui è stato accertato il danno erariale cagionato dal Presidente della Regione Calabria, condannato a risarcire all’Amministrazione regionale la somma di 66mila euro in quanto legale rappresentante dell’Ente titolare del trattamento dei dati. La Regione era stata infatti sanzionata dal Garante per mancata designazione degli incaricati del trattamento dei dati personali, mancato rispetto delle misure di sicurezza, individuate sia in relazione ai dati informatici che ai dati non informatici.