Tutela del dato e trasformazione digitale: ora più che mai mettiamo al centro i principi del GDPR
Chi confidava che oramai i principi della tutela dei dati personali, ad oltre tre anni dall’entrata in vigore del Regolamento europeo, costituissero parte integrante della nostra cultura, deve avviare una nuova riflessione che trova fondamento nelle motivazioni di due recenti provvedimenti sanzionatori del Garante. Nel momento in cui il PNRR spinge verso la trasformazione digitale, occorre nuovamente e con forza puntare sulla cultura e sulla formazione, affinché l’innovazione vada di pari passo con la tutela dei diritti e delle libertà individuali
22 Settembre 2021
Patrizia Cardillo
Esperta di Protezione dati personali, Coordinatrice del Network dei RPD delle Autorità indipendenti
Il Garante per la protezione dei dati personali (nel seguito: Garante), anche a seguito della segnalazione di alcuni utenti, è stato indotto nuovamente a rivolgere la sua attenzione al comportamento di alcune Pubbliche Amministrazioni in materia di trattamento di dati di persone fisiche e ad elevare pesanti sanzioni amministrative.
I fatti
Il caso di Roma Capitale
Il provvedimento del Garante è intervenuto in esito di un’istruttoria avviata su segnalazione di un utente relativa al trattamento dei dati personali in connessione all’uso dei nuovi parcometri installati nel territorio del Comune di Roma nel 2018. La società Atac Spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva infatti avviato un aggiornamento tecnologico dei parcometri per offrire nuovi servizi (ad esempio il pagamento di sanzione/tributi o l’acquisto/rinnovo dei titoli del trasporto pubblico) e per introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo. Parte della strumentazione era stata fornita da un’altra società, la Flowbird Italia srl (ex Parkeon srl). Tutte le informazioni relative alla sosta venivano poi gestite attraverso un sistema centralizzato al quale poteva accedere, tramite un’apposita App, anche il personale incaricato di controllare il pagamento dei parcheggi.
Diverse le irregolarità registrate e non sono state accettate le giustificazioni addotte dal Comune di Roma. È emerso che il Comune, nella sua qualità di titolare del trattamento, non aveva fornito alcuna informazione agli automobilisti, non aveva nominato la società Atac Spa responsabile del trattamento, né fornito a quest’ultima le necessarie istruzioni su come trattare i dati raccolti. Neppure la società subfornitrice era stata incaricata formalmente o istruita sulle modalità del trattamento dei dati personali.
È emerso altresì che le società non avevano predisposto il registro dei trattamenti dei dati e che il progetto era stato ideato senza rispettare i principi di protezione dei dati fin dalla progettazione, come richiesto dal Regolamento europeo (GDPR – General Data Protection Regulation). Non erano stati neppure definiti i tempi di conservazione dei dati raccolti né erano state adottate idonee misure di sicurezza per rendere sicuri i canali di trasmissione dei flussi di dati.
Alla luce delle violazioni riscontrate e dell’illecito trattamento dei dati, il Garante ha inflitto una sanzione di 800.000 euro al Titolare del trattamento Roma Capitale, di 400.000 euro al Responsabile del trattamento Atac Spa e di 30.000 euro al subresponsabile Flowbird Italia srl, per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio del Comune e ha prescritto anche l’adozione di misure correttive e di idonee misure di sicurezza a protezione delle informazioni raccolte.
Il caso di Regione Lombardia
Il provvedimento del Garante è intervenuto in esito di un’istruttoria avviata su segnalazione di un cittadino in relazione alla sezione del sito istituzionale della Regione Lombardia riservata agli elenchi per l’erogazione di contributi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, oppure per l’erogazione di borse di studio. Il cittadino aveva accertato come dall’home page del sito fosse possibile consultare e scaricare l’elenco delle domande ammesse e finanziate, l’elenco delle domande ammesse da finanziare, l’elenco dei beneficiari di borsa di studio statale e l’elenco delle domande non ammesse. Tali liste riportavano dati personali quali l’identificativo della domanda, il nominativo del richiedente, la classe dello studente, il codice e la denominazione della scuola, il numero della domanda.
Il Garante ha ribadito il principio che i dati di coloro che richiedono benefici economici vanno protetti in modo particolare per non rivelare la condizione di disagio economico e sociale delle persone interessate e che i soggetti pubblici, nel rispettare gli obblighi di trasparenza, possono diffondere dati personali solo se tale operazione è prevista da una norma di legge o di regolamento, nei casi previsti dalla legge e sempre nel rispetto dei principi in materia di protezione dei dati e, in particolare, il principio di minimizzazione.
In tale provvedimento la sanzione ammonta a 200.000 euro, tenendo conto dell’alto numero di persone i cui dati sono stati diffusi e del periodo di quasi 11 mesi in cui è avvenuta l’infrazione, comunque ritenuta di natura colposa, ma anche dalla pronta rimozione, dal sito istituzionale della regione, dei dati personali oggetto di violazione.
L’analisi
In entrambi gli episodi emerge preoccupante il segnale di una scarsa attenzione da parte del settore pubblico al tema della tutela del dato. Anche se assistiamo ad una maggiore consapevolezza da parte delle Amministrazioni centrali che si stanno muovendo in pieno accordo e sintonia con il Garante: il Green Pass e il via libera alle nuove e semplificate modalità di verifica nelle scuole ne sono l’ultimo e rassicurante segnale.
Dalle motivazioni dei due provvedimenti citati emerge come da un lato la Regione Lombardia non abbia avuto percezione che il trattamento posto in essere potesse palesare un requisito di disagio economico, e quindi un dato sensibile del singolo soggetto in quanto idoneo a rivelare la particolare situazione economica della famiglia dello studente. L’Ente ha quindi pubblicato quei dati, senza idonei presupposti normativi e adeguate misure di sicurezza, in violazione di principi fondanti del Regolamento europeo. Da lato di Roma Capitale, l’evidenza è ancora più rilevante: il titolare del trattamento non aveva fornito alcuna informativa ai soggetti interessati, non aveva nominato il Responsabile del trattamento né aveva fornito le necessarie istruzioni. Il subfornitore non era stato autorizzato né istruito. Ne consegue che non era stato predisposto il registro dei trattamenti, non era stato rispettato il principio della progettazione by design, non erano stati definiti i tempi di conservazione e adottate le adeguate misure di sicurezza. Con l’aggravante della notevole quantità di dati trattati.
Inevitabile le pesanti sanzioni a tutti i soggetti intervenuti nel trattamento e l’invito a dare riscontro e adottare le misure idonee a porre rimedio alle carenze evidenziate. Con la minaccia di ulteriori sanzioni in caso del persistere dell’inadempienza.
Conclusioni
Chi confidava che oramai i principi della tutela dei dati dei dati personali, ad oltre tre anni dalla effettiva entrata in vigore del Regolamento europeo, costituissero parte integrante della cultura delle nostre PA, deve avviare una nuova riflessione. Occorre nuovamente e con forza puntare sulla cultura e quindi sulla formazione delle persone.
Questo accade proprio nel momento in cui, come recentemente ha sottolineato anche il Garante, il paese si avvia ad attuare il NextGenEU che vedrà, inevitabilmente, un aumento di trattamenti di dati personali, conseguenza necessaria alla forte spinta all’innovazione digitale. Infatti tra le Missioni del PNRR, il Piano Nazionale di Ripresa e Resilienza, massimo rilievo assume la digitalizzazione del Paese, da intendersi come un rinnovamento della Pubblica Amministrazione tramite l’introduzione di servizi pubblici digitali accessibili a tutti i cittadini e l’innovazione di prodotti, processi e servizi offerti dalle PMI. La digitalizzazione e l’innovazione di processi, prodotti e servizi rappresentano un fattore determinante della trasformazione del sistema Paese e devono caratterizzare ogni riforma prevista dal Piano.
Non può esserci innovazione digitale che non ponga al centro le persone e i loro diritti e le loro libertà e pertanto prioritaria sarà la capacità di adottare tutte le adeguate misure per la loro tutela. L’auspicata nascita dell’infrastruttura di cloud nazionale, dove convergeranno tutti i dati di rilevanza nazionale, con le sue enormi potenzialità di innovazione del sistema, richiede una attenzione alla sicurezza come requisito fondamentale sin dalla sua progettazione.
Infine non dobbiamo dimenticare la doppia valenza del rispetto dei principi del Regolamento europeo: da una parte, infondere fiducia nei cittadini in relazione all’attività svolta dai soggetti pubblici nell’ambito dell’esercizio delle proprie funzioni e, dall’altra, garantire la sicurezza del processo di innovazione e, quindi, migliorare la competitività senza che ciò comporti limitazioni ai diritti e alle libertà individuali.
Il Campus di FPA Digital School
Come attuare il GDPR nelle pubbliche amministrazioni
Un percorso di formazione online con la supervisione scientifica e la conduzione di Patrizia Cardillo, docente ed esperta della materia, che ha ricoperto il ruolo di Responsabile protezione dati per Arera, in co-docenza per alcuni moduli con Anna Cataleta, Avvocato specializzata in temi di data protection e Giulia Adotti, Avvocato Cassazionista, esperta nell'ambito della tutela dei Diritti della Persona, in particolare in materia di privacy
9 Novembre 2024