A tutti i titolari sarà successo di pensare, in modo un po’ fatalista, che le sanzioni del Garante arrivano, sì, ma non a noi, soprattutto se si tratta di un Ente di piccole dimensioni. Questa mentalità molto diffusa può essere rischiosa. Non solo Google, i colossi del web, Meta e Amazon, non solo le Telco e i fornitori di energia o i grandi gruppi privati, ma anche le pubbliche amministrazioni e segnatamente anche gli Enti di piccole dimensioni possono essere raggiunti da un provvedimento sanzionatorio del Garante. Naturalmente, titolare che incontri, sanzione che ricevi: un Comune di qualche migliaio di abitanti non deve certamente temere le multe milionarie che qualche volta leggiamo essere irrogate a carico dei grandi player della tecnologia, ma siccome tutto risulta proporzionato, anche qualche migliaio di euro potrebbe pesare sul bilancio del nostro Ente.
Peraltro, e come già sottolineato altre volte in questa rubrica, le disposizioni del GDPR a volte vengono messe a dura prova da quelle sulla trasparenza amministrativa, per non parlare dei nuovi processi che dovrebbero nascere dalla famosa (ma ormai dovremmo dire famigerata) digitalizzazione della PA, con tutta l’innovazione tecnologica che ne consegue. Si tratta, come spesso accade, di effettuare un corretto giudizio di bilanciamento, di ponderare le scelte secondo il principio di “approccio basato sul rischio” e di affidarsi a consulenti e DPO competenti, anche a costo di pagarli un po’ di più del “minimo sindacale”.
In una serie di provvedimenti a carico di Piccoli Comuni (dai mille ai 2mila abitanti) il Garante della Privacy ha sanzionato alcuni Titolari del trattamento per diverse fattispecie, tutte però riconducibili ad un minimo comune denominatore: la pubblicazione di dati personali online, sull’albo e nella sezione trasparenza amministrativa, per un tempo superiore a quello consentito dalla legge, con dati eccedenti rispetto alle finalità, in maniera che gli interessati fossero facilmente riconoscibili e senza il supporto di una adeguata base giuridica, ossia di una disposizione di legge che consentisse la pubblicazione.
Come bisogna comportarsi, quindi, per la pubblicazione dei dati personali da parte dell’ente pubblico, in modo da ottemperare all’obbligo di trasparenza e allo stesso tempo rispettare le regole dettate dalla normativa sulla protezione dei dati personali? Vediamo insieme quali sono i principi da adottare.
La base giuridica
Che si tratti di rapporti di lavoro e collaborazione, di appalti, di graduatorie di concorsi, di incarichi assegnati dal Comune a consulenti esterni, o di dati riguardanti i propri consiglieri, il Comune deve rispettare la regola per cui la diffusione di dati personali da parte di soggetti pubblici può avvenire soltanto in base ad una norma di legge o, nei casi previsti, di regolamento. Questa è l’unica base giuridica che il Titolare ente pubblico può utilizzare per la pubblicazione. Dunque, non basta appellarsi al principio della trasparenza, ma è necessario, obbligatorio verificare caso per caso se esiste una legge che impone la pubblicazione online ogni volta in cui nel documento sono presenti dati di natura personale.
Il principio di minimizzazione
Una volta verificato che la legge impone la pubblicazione dei dati (a questo proposito esistono Linee guida dell’Autorità Garante sulla “La trasparenza sui siti web delle PA” che possono risultare molto utili per comprendere come comportarsi, con principi, riferimenti normativi e casi pratici), il secondo principio da tenere a mente è quello di minimizzazione. È necessario pubblicare solo i dati strettamente necessari a ottemperare all’obbligo di legge e nulla in più. Spesso, nella pubblicazione ci si fa tentare ad inserire dati e informazioni non necessarie, ma ciò che ci deve guidare nella scelta è sempre il Regolamento per la Protezione dei Dati Personali. L’art. 5, tra gli altri, enuncia appunto il principio di minimizzazione, secondo cui bisogna trattare i dati adeguati, pertinenti e limitati alle finalità. A questo scopo, avere ben chiaro il flusso dei trattamenti (il che vuol dire, a monte, aver effettuato una corretta mappatura dei trattamenti e dunque aver redatto un ottimo registro) ci viene in aiuto, perché il principio di minimizzazione non si rispetta lasciando che sia il dipendente, caso per caso, a decidere quali dati pubblicare, ma con scelte ponderate da parte del Titolare, che a sua volta deve impartire istruzioni precise agli autorizzati che operano al suo interno.
La durata della pubblicazione
Anche in questo caso, i principi generali del trattamento devono essere rispettati. Se abbiamo operato correttamente, individuando una legge che ci obbliga a pubblicare e rispettato il principio di minimizzazione, sapremo anche quanto tempo deve rimanere pubblicato online quel determinato dato personale. Nelle informative che il Titolare è tenuto a redigere, deve essere contenuta anche la policy di conservazione del dato, così come essa va riportata sul registro dei trattamenti. Scriverla è corretto, fa parte della documentazione di accountability, ma poi bisogna (o almeno bisognerebbe) anche ricordarsi di applicarla in concreto.
L’utilizzo delle iniziali degli interessati come forma di anonimizzazione
In alcuni dei casi che il garante si è trovato ad esaminare, il Comune sanzionato si è difeso sostenendo che l’interessato non era facilmente riconoscibile perché erano state pubblicate online solo le sue iniziali puntate. Il Garante, pur avendo apprezzato il tentativo di “anonimizzazione” del Comune, ha ritenuto che anche l’indicazione delle iniziali (soprattutto se accompagnata da altri particolari riferibili all’interessato) sia idonea a rendere riconoscibile l’interessato. Non è quindi sufficiente utilizzare questo espediente per ritenersi “in regola” con la normativa GDPR, poiché, lo ricordiamo, un dato è considerato personale quando si riferisce ad un soggetto non solo identificato, ma anche identificabile, tramite altri strumenti e mezzi e, soprattutto on un Comune di modeste dimensioni, ciò non è impedito dall’utilizzo delle semplici iniziali.
Ricordiamoci che esiste un DPO, sempre
In tutti i casi in cui il Garante ha comminato la sanzione, non si faceva menzione nell’istruttoria e nemmeno nelle difese dell’Ente, del coinvolgimento del Data Protection Officer, né in fase preventiva, e nemmeno successivamente, durante l’indagine ispettiva che ha poi portato alla sanzione. Ricordiamo che il DPO, oltre ad essere una figura obbligatoria per tutti gli enti pubblici, ai sensi dell’art. 37 del Reg. UE 679/2016, non è un professionista meramente ornamentale, che non va disturbato in nessun caso. Al contrario, il DPO è il primo soggetto che deve essere coinvolto quando ci si trova davanti a qualsiasi decisione che riguardi i dati. Andrebbe dunque consultato per lo meno in due momenti. Il primo, quando si stabiliscono le linee guida per la pubblicazione dei dati personali degli interessati online, perché il suo contributo ed il suo essere il trait d’union tra titolare e interessati faciliterà l’applicazione corretta della normativa. Il secondo, nella malaugurata ipotesi in cui venga avviata un’indagine ispettiva, perché tra i suoi compiti c’è anche quello di mantenere i rapporti col il Garante e pertanto il suo ruolo di mediatore potrà essere essenziale, anche e soprattutto per mostrare all’Autorità di controllo tutti i passi effettuati dal Titolare nell’impervia e tortuosa via dell’accountability.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento