Il 2021 si è aperto con l’irrogazione di tre provvedimenti sanzionatori del Garante per la protezione dei dati personali nei confronti di altrettante PA.
- Regione Lazio – Registro dei provvedimenti n. 9 del 14 gennaio 2021 (Clicca per saperne di più)
- MISE – Registro dei provvedimenti n. 54 dell'11 febbraio 2021 (Clicca per saperne di più)
- INPS – Registro dei provvedimenti n. 87 del 25 febbraio 2021 (Clicca per saperne di più)
Nei confronti della Regione Lazio è stata comminata una sanzione amministrativa di importo pari a €.75.000, avendo nominato tardivamente (solo a gennaio 2019) responsabile del trattamento la società cooperativa alla quale aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie.
Come si legge nel comunicato del Garante, la società ha "trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali", realizzando in tal modo una violazione dell'art.29 D.Lgs.196/2003 prima e dell'art.28 Regolamento UE 2016/679 successivamente.
Sanzione di uguale ammontare – €.75.000 – è stata comminata al MISE, per non aver designato il Responsabile della protezione dei dati (DPO – Data Protection Officer), entro il 25 maggio 2018 (data in un cui è divenuto applicabile nel nostro Paese il Regolamento UE 2016/679).
La comminazione di tale sanzione assume un particolare rilievo, tenuto conto che è stata la prima volta che il Garante ha sanzionato una PA per non avere designato il RDP entro il termine stabilito, provvedendo alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo (dopo un anno e mezzo dalla data del 25 maggio 2018), nonostante "il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del RPD tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento".
Sanzione di ben altro tenore è stata inflitta all'INPS che, per la "mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il “bonus Covid”, per l' uso di informazioni non necessarie rispetto alle finalità di controllo, per il ricorso a dati non corretti o incompleti, per l' inadeguata valutazione dei rischi per la privacy", si è vista ordinare il pagamento di un importo pari ad €.300.000, relativamente alle violazioni commesse nell'ambito degli accertamenti antifrode effettuati riguardo al bonus Covid per le partite IVA. L’istruttoria svolta dal Garante ha messo in luce come l'INPS non abbia adeguatamente progettato il trattamento e non sia stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability, statuiti, rispettivamente, dagli articoli 25 e 5, par.2, del Regolamento UE 2016/679.
Questi provvedimenti sanzionatori adottati dal Garante mettono in evidenza come, a quasi tre anni dall'applicazione del Regolamento UE 2016/679, siano ancora numerosi i dubbi che comportano delle consequenziali infrazioni, legati alla corretta interpretazione ed applicazione del Regolamento stesso, soprattutto da parte delle PA.
Ulteriore aspetto di cui le PA non possono ignorare la portata è l’armonizzazione che necessariamente deve essere realizzata tra privacy (ex GDPR 2016/679 e D.Lgs.196/2003) e trasparenza amministrativa (ex D.Lgs.33/2013).
La stessa Corte Costituzionale, chiamata ad esprimersi sul bilanciamento tra diritto alla riservatezza e libero accesso ai dati e alle informazioni detenute dalle PA, ha riconosciuto che entrambi i diritti siano “contemporaneamente tutelati sia dalla Costituzione che dal diritto europeo, primario e derivato” (C. Cost. sentenza n. 20/2019).
Già in passato, una superficiale conoscenza della regolamentazione in materia di trasparenza amministrativa e di trattamento dei dati personali, aveva portato il Garante per la protezione dei dati personali ad oscurare i siti web di diversi Comuni italiani, di piccola e media grandezza. In tali siti venivano pubblicate talune ordinanze nelle quali i Sindaci disponevano il trattamento sanitario obbligatorio (TSO) per determinati cittadini, rendendo note le generalità e le patologie di riferimento.
Oggi, a seguito delle riforme normative in materia di protezione dei dati personali, alle PA è richiesta una maggiore attenzione nell’effettuare un’armonizzazione tra diritto alla privacy ed obblighi di pubblicazione, tenuto conto dell’inasprimento delle sanzioni che potrebbero derivare da una inosservanza delle norme.
Clicca sul link seguente per conoscere i dettagli.