Il 6 novembre a Roma si è concluso il ciclo di incontri formativi sulla Privacy organizzati dal Garante con il progetto SMEDATA finanziato dalla UE. Prestiamo attenzione ad irregolarità frequenti dei Comuni che comportano pesanti sanzioni pecuniarie da parte dell’Authority.

Il progetto SMEDATA si è concluso il 6 novembre con un incontro a Roma cui ha partecipato il team del Garante per la protezione dei dati personali. È stato un progetto formativo finanziato dalla UE, svolto in partenariato con la Bulgaria, che il Garante ha messo al servizio di tutti gli operatori della privacy. In occasione dell’incontro conclusivo di ieri forniamo dei suggerimenti per i Comuni.

Ieri il Garante ha rimarcato che, nelle ispezioni condotte di frequente nei riguardi dei Comuni, a seguito di segnalazioni dei cittadini, è costretto a comminare sanzioni di importi anche molto consistenti soprattutto per:

  • pubblicazione di delibere contenenti dati personali, anche particolari;
  • mancata nomina del responsabile di trattamento esterno.

Ricordiamo in proposito che le verifiche del Garante non si limitano al riscontro del rispetto dei requisiti formali di cui al GDPR (Reg UE n. 679/2016), ovvero, la presenza nell’ente locale di un regolamento sulla privacy o di una nomina formale di un DPO ma sono verifiche di tipo sostanziale volte ad accertare come di fatto funziona l’organizzazione della privacy che il Comune (o altro ente) si è autodeterminato.
Ciò significa, giusto per fare un esempio, che verrà verificato concretamente se il personale è stato istruito su come trattare dati personali in occasione delle proprie mansioni, a prescindere dalla presenza o meno di corsi di formazione.

Relativamente alla pubblicazione delle delibere, ricordiamo che queste devono rispettare il principio di minimizzazione e necessità del trattamento dei dati. Ciò significa che in tali provvedimenti non devono essere presenti dati personali se questi non sono necessari ai fini dell’atto amministrativo. In caso invece di dati personali necessari, eventualmente contenuti nella delibera, la pubblicazione del provvedimento non deve mostrarli con la tecnica che l’ente locale ritiene più opportuna alla situazione.
Ricordiamo inoltre che ogni volta che un Comune esternalizza un servizio, deve provvedere a nominare la società esterna come responsabile di trattamento in relazione ai dati personali che questa si troverà a trattare con lo svolgimento del servizio.
Questa situazione è conseguenza del fatto che il Comune demanda alla società delle prestazioni che dovrebbe svolgere esso stesso e dunque la società agisce per conto dell’ente locale, secondo le sue istruzioni.
Nell’ambito pertanto delle prestazioni erogate dalla società esterna saranno effettuati dei trattamenti di dati personali ed, in relazione a questi, l’ente locale deve delimitare le competenze della società tramite la nomina del responsabile di trattamento. Cosa significa? Chiariamo operativamente.
Ogni volta che la società esterna effettua, in occasione dello svolgimento del servizio esternalizzato, una raccolta di dati personali, e con ciò intendiamo anche solo il nome e cognome di un cittadino, il Comune deve indicare se spetta alla società esterna provvedere alle informative sul trattamento o se queste restino in capo all’ente locale titolare del trattamento. Se la società esterna ha ricevuto, tra i propri compiti, la redazione delle informative e poi omette di presentarle ai cittadini (tecnicamente per il GDPR ai “soggetti interessati”) la società sarà responsabile nei riguardi dell’ente locale. In caso invece l’ente locale non abbia provveduto a presentare le informative perché compito della società esterna ma si sia dimenticato di conferirglielo nell’atto di nomina a responsabile di trattamento, non potrà agire in rivalsa verso la società per la sanzione del Garante ma sarà il solo ed esclusivo inadempiente.

In ultimo chiudiamo con una considerazione: ci rendiamo conto che nella prassi è difficile distinguere laddove un soggetto agisce in qualità di autonomo titolare di trattamento e laddove agisce in qualità di responsabile di trattamento.
Il distinguo va fatto solo a livello operativo sulla base di cosa in concreto faccia il soggetto e come agisca sempre in relazione al trattamento dei dati personali.

Da regola e principio generale: ogni soggetto è un autonomo titolare di trattamento ma, a determinate condizioni, si atteggia nei confronti di un altro come responsabile di trattamento.

Una società è autonoma titolare di trattamento con tutte le conseguenze sul lato di accountability ma se questa società viene delegata a svolgere per conto del Comune un servizio che l’ente locale non effettua in proprio, tale società, solo ed esclusivamente in relazione a tale servizio, ed al trattamento dei dati personali che ne consegue si configura quale responsabile di trattamento dell’ente locale.

Ricordatevi per ogni dubbio di consultare il vostro consulente DPO obbligato a rispondervi e ad assumersi la responsabilità di quanto vi suggerisce di fare; in caso però il DPO non sia consultato ma l’ente locale agisca in autonomia o, non agisca proprio, sarà sempre il Comune il solo responsabile di eventuali inadempimenti.
Il DPO deve fare da tramite con il Garante e da filtro; in caso di segnalazione del cittadino di qualche irregolarità, attivate immediatamente il DPO e cercate di risolvere la questione; prevenite l’intervento del Garante.

Fonte: Redazione Paweb – Emanuela Castrataro, 07 novembre 2019.