Se un’azienda privata viene sanzionata per irregolarità nel trattamento dei dati, si accende un dibattito sull’effettiva applicazione del GDPR. Ma se il provvedimento tocca a stretto giro un Ministero, una Regione e un ente nazionale si impone una riflessione sull’effettiva diffusione della cultura della data protection nella PA, in quell’ambito dove le norme dovrebbero essere rispettate in modo prioritario. Con la conseguente presa di coscienza della necessità di un cambiamento importante.
Nello specifico, il Garante per la privacy ha sanzionato il Mise – Ministero dello Sviluppo economico, per 75.000 euro: il Ministero non ha nominato il Responsabile della protezione dati entro il termine del 28 maggio 2018, inoltre ha diffuso pubblicamente tramite il proprio sito governativo le informazioni personali di 5.000 persone, nell’ambito della misura del voucher per l’innovation manager. La Regione Lazio invece è stata sanzionata per la stessa cifra per non aver nominato come Responsabile del trattamento dati la coop Capodarco a cui aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale: per dieci anni i dati erano quindi stati trattati illecitamente.
Pochi giorni prima il Garante aveva invece sanzionato Inps per 300.000 euro, riguardo “alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al bonus Covid per le partite Iva”, spiega l’autorità in una nota. Per Manuel Salvi, RPD, “Procedure, pratiche e attività devono essere reingegnerizzate e includere i principi della data protection per impostazione predefinita”.
Indice degli argomenti
Violazioni al GDPR, perché il Garante privacy ha sanzionato il Mise
La sanzione al Mise è la prima comminata dal Garante a una pubblica amministrazione per il ritardo nella nomina del Responsabile della protezione dei dati, nonostante questo fosse presentato dall’autorità come un aspetto prioritario. Infatti, alla data del 28 maggio 2018, che ha segnato la piena applicazione del GDPR, il Ministero non aveva nominato l’RPD, per poi farlo e fornire i dati di contatto all’Autorità con grande ritardo. Questo, spiega il Garante in una nota, nonostante fin dal maggio 2017 fosse stata avviata “una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento”.
Il caso degli Innovation manager
Per giunta, rivela il Garante che la mancata nomina è emersa nel corso di un’istruttoria aperta “anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale”.
Dal sito, aggiunge il Garante, era inoltre possibile “scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online. L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, non in linea con i principi del Gdpr“.
Il Garante ha suggerito che per consentire l’incontro tra la domanda delle imprese e l’offerta di consulenza dei manager sarebbe bastato usare strumenti meno invasivi. Invece, così facendo i manager sono stati esposti a usi non consoni dei propri dati, come il furto di identità o il phishing: “Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal CAD, che permettessero la consultazione solo alle Pmi interessate”.
L’importanza del RPD
L’avvocato Vittorio Colomba sottolinea che “la decisione dell’Authority è significativa dell’importanza ormai riconosciuta al ruolo del Responsabile della Protezione dei Dati. Il Garante, con i suoi provvedimenti, si sta muovendo in una direzione ben precisa: allevia le sanzioni di coloro che, pur commettendo errori, lo fanno affidandosi al proprio RPD, e per altro verso sanziona chi, anche nel pubblico, ne sottovaluta la presenza essenziale”.
Si tratta dunque “di una figura centrale, che il Garante riconosce come proprio privilegiato, se non unico, interlocutore”, conclude Colomba.
Le sanzioni alla Regione Lazio e all’Inps
Il Garante ha invece sanzionato la Regione Lazio per non aver nominato RPD la coop a cui era stata affidata la gestione delle prenotazioni delle prestazioni sanitarie via call center regionale: “La società ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali”, ha spiegato il Garante nella sua nota, ribadendo che le società “che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento” e il rapporto deve essere messo per iscritto. In compenso, il Garante ha solo ammonito il titolare della coop, perché la sua società aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento, mettendo in atto “misure conformi alla disciplina privacy, istituendo, ad esempio, il registro dei trattamenti”.
Sanità, dati dei pazienti a persone sbagliate: sanzioni del Garante privacy
L’Inps invece è stata sanzionata in seguito a un’istruttoria avviata ad agosto 2020. Le cause sono la “mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il bonus Covid”, oltre all’uso di informazioni “non necessarie rispetto alle finalità di controllo”, e il “ricorso a dati non corretti o incompleti”, con un’inadeguata “valutazione dei rischi per la privacy”. Il tutto svolto nel contesto delle verifiche antifrode relative al bonus Covid per le partite Iva.
Salvi spiega che i controlli sono stati fatti “in palese violazione del GDPR e in particolar modo degli articoli 25 relativo alla Privacy by design e 5 prevalentemente sul principio di minimizzazione dei dati”.
GDPR e PA, perché serve una rivoluzione culturale
Per Salvi, le sanzioni alle tre amministrazioni pubbliche rappresentano “messaggi forti e chiari. Il fatto che il Garante sanzioni è estremamente importante soprattutto in un Paese come il nostro dove l’adeguamento alla norma avviene prevalentemente per il timore della sanzione più che per senso civico”. In questo contesto, “il Garante miete vittime illustri, INPS, MISE e Regione Lazio seguono le multimilionarie sanzioni a TIM e ENI Gas & Luce. La sanzione genera scalpore e lo scalpore crea eco mediatico. La promozione della cultura della data protection in un epoca quale è quella attuale è fondamentale”, commenta il legale.
Il messaggio del Garante “suona così forte e chiaro e sembra dire, che non si può continuare, a quasi tre anni dall’entrata in vigore del GDPR, ad operare come se questi non fosse mai stato approvato”. Necessario quindi ridisegnare i processi includendo la data protection come aspetto prioritario: “Quotidianamente mi imbatto in organizzazioni pubbliche e private, che piegano i dettami del GDPR affinché pratiche lesive della privacy possano essere in un qualche modo comunque giustificate. Mi auguro che l’attivismo del Garante scuota le coscienze, accenda interesse e instradi le organizzazioni pubbliche come quelle private sul percorso della data protection un mix fra GDPR e cyber security”, conclude Salvi.
