Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

compliance

DPO nelle PA locali, quanti ritardi: ecco tutti i problemi privacy degli enti

La nomina del DPO negli enti locali procede molto a rilento e non va meglio per quanto riguarda l’adozione delle misure tecniche informatiche ed organizzative in capo al titolare. Ecco cosa rischiano le amministrazioni inadempienti in termini di sanzioni amministrative ed illeciti penali

03 Ott 2018

Antonio Guzzo

Responsabile ICT Comune di Praia a Mare - Security consultant e Data Protection Officer


Solo una pubblica amministrazione locale su tre avrebbe provveduto ad effettuare la nomina del DPO, come previsto dal GDPR,  e la stragrande maggioranza non non ha neanche comunicato il nominativo tramite la procedura telematica messa a disposizione dal Garante Privacy. Lo rivelano le stime pubblicate da federprivacy  e da organi di stampa autorevoli come il Sole 24 ore.

Se da un lato gli enti locali, alla scadenza del 25 maggio 2018, hanno provveduto mediante apposito atto deliberativo di consiglio comunale all’approvazione formale dello schema di adeguamento al regolamento Ue 679/2016 con la contestuale approvazione del registro dei trattamenti, molte amministrazioni ad oggi non solo non hanno deliberato ma addirittura non hanno neanche proceduto ad effettuare la nomina formale DPO, facendo riferimento alle disposizioni normative che di fatto con il Decreto Legislativo n° 51 del 18 maggio 2018 prorogavano alcuni adempimenti obbligatori al 21 agosto 2018 introdotti dal Regolamento UE 679/2016 ma non la nomina del DPO che restava ferma al 25 maggio 2018.

Inoltre molti enti locali hanno utilizzato soprattutto la nomina del DPO come persona giuridica. A tale proposito basta citare, in Calabria, il Centro Servizi Territoriali Asmenet Calabria, società consortile formata da comuni, dove la maggior parte degli enti consorziati ha provveduto ad effettuare la nomina congiunta del Responsabile della Protezione dei dati (DPO) come persona giuridica.

Di contro alcune amministrazioni, per ragioni di contenimento della spesa pubblica e spending review hanno nominato al loro interno il responsabile della protezione dei dati individuandolo in dipendenti pubblici che, a mio modo di vedere e di pensare e secondo quanto previsto dall’Autorità Garante sulla privacy, non erano in possesso dei requisiti e senza apposita esperienza professionale su tematiche di protezione dati e di privacy assessment.

L’adozione di misure tecniche informatiche e organizzative

Se da un alto ancora in Italia nella pubblica amministrazione locale, la situazione relativa alla nomina del DPO assume dimensioni allarmanti, per quanto concerne invece l’adozione di misure tecniche informatiche ed organizzative che stanno in capo al Titolare secondo quanto previsto dal regolamento e dal Decreto Legislativo n° 51 del 18 maggio 2018 che andrà in vigore il 21 agosto 2018 la geografia che viene prospettata è devastante.

La stragrande maggioranza degli enti locali di piccole e medie dimensioni non utilizza idonei strumenti di protezione di accesso alla rete, tecniche di crittografia dei dati, etc. ignorando quelle che sono le sanzioni amministrative e penali che il regolamento UE 679/2016 ed il Decreto Legislativo n° 51 del 18 maggio 2018 e cioè:

  • ai sensi dell’articolo 16 commi 1 e 2, il titolare del trattamento, tenuto conto delle cognizioni tecniche disponibili e dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, l’adozione di misure tecniche e organizzative adeguate, quale la pseudonimizzazione, per garantire la protezione dei dati e per tutelare i diritti degli interessati, in conformità alle norme del presente decreto. Inoltre mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, tali misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  • ai sensi dell’articolo 25 il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del grado di rischio per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati. Per il trattamento automatizzato il titolare o il responsabile del trattamento, previa valutazione dei rischi, adottano misure volte a:
    • vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento («controllo dell’accesso alle attrezzature»);
    • impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate («controllo dei supporti di dati»);
    • impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione («controllo della conservazione»);
    • impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell’utente»);
    • garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione d’accesso («controllo dell’accesso ai dati»);
    • garantire la possibilità di individuare i soggetti ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati («controllo della trasmissione»);
    • garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, il momento della loro introduzione e la persona che l’ha effettuata («controllo dell’introduzione»);
    • impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o il trasporto di supporti di dati («controllo del trasporto»);
    • garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»);
    • garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilità») e che i dati personali conservati non possano essere falsati da un errore di funzionamento del sistema («integrità»).

Le sanzioni amministrative

La mancata adozione di tali misure di sicurezza informatica prevede la comminazione di sanzioni amministrative ed illeciti penali tra cui per quanto concerne le sanzioni amministrative ai sensi dell’articolo 42 del suddetto decreto sono le seguenti:

  • Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all’articolo 3, comma 1, lettere a), b), d), e) ed f), all’articolo 4, commi 2 e 3, all’articolo 6, commi 3e 4, all’articolo 7, all’articolo 8, e’ punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro. La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34.
  • Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, è punita con la sanzione amministrativa del pagamento di una somma da 20.000 euro a 80.000 euro la violazione delle disposizioni di cui all’articolo 14, comma 2. Con la medesima sanzione e’ punita la violazione delle disposizioni di cui all’articolo 17, comma 2, all’articolo 18, commi 1, 2, 3 e 4, all’articolo 19, all’articolo 20, all’articolo 21, all’articolo 22, all’articolo 23, all’articolo 24, commi 1 e 4, all’articolo 26, all’articolo 27, all’articolo 28, commi 1 e 4, all’articolo 29, comma 2.
  • Nella determinazione della sanzione amministrativa da applicare secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di cui all’articolo 83, paragrafo 2, lettere a), b), c), d), e), f), g), h), i), k), del regolamento UE.

Per quanto concerne le sanzioni penali il Capo VI – Illeciti penali del suddetto decreto ai sensi dell’articolo 43 prevede:

Trattamento illecito di dati

  • Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall’articolo 5, comma 1, e’ punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi o, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni.
  • Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall’articolo 7 o dall’articolo 8, comma 4, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Sempre per quanto concerne gli illeciti penali l’articolo 44 del suddetto decreto prevede:

Falsità in atti e dichiarazioni al Garante

  • Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all’articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

Articoli 82 e 83 del regolamento

Inoltre ai sensi degli articoli 82 e 83 del regolamento 679/2016 la mancata adozione di tali attività comporterà la comminazioni di sanzioni previste dal regolamento e cioè nel dettagli

  • Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal responsabile del trattamentoArticolo 82 (Diritto al risarcimento e responsabilità)
  • Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti

Articolo 83Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure.

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 EURO, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

keyboard_arrow_right
keyboard_arrow_left
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
keyboard_arrow_right
keyboard_arrow_left
b)gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
keyboard_arrow_right
keyboard_arrow_left
c)gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

keyboard_arrow_right
keyboard_arrow_left
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
keyboard_arrow_right
keyboard_arrow_left
b)i diritti degli interessati a norma degli articoli da 12 a 22;
keyboard_arrow_right
keyboard_arrow_left
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
keyboard_arrow_right
keyboard_arrow_left
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
keyboard_arrow_right
keyboard_arrow_left
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7.Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

Compliance, la circolare Agid

Pertanto ad oggi la stragrande maggioranza degli enti locali non è “compliance” in termini di adozione di misure tecniche ed organizzative informatiche e soprattutto non ha preso coscienza del grave rischio sanzionatorio a cui va incontro. Inoltre tale compliance in termini di sicurezza informatica non fa altro che riprendere ciò che contemplava la circolare Agid del 18 Aprile 2017 n° 2/2017 cosi dettagliate:

  • vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento («controllo dell’accesso alle attrezzature»);
  • impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate («controllo dei supporti di dati»);
  • impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione («controllo della conservazione»);
  • impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell’utente»);
  • garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione d’accesso («controllo dell’accesso ai dati»);
  • garantire la possibilità di individuare i soggetti ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati («controllo della trasmissione»);
  • garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, il momento della loro introduzione e la persona che l’ha effettuata («controllo dell’introduzione»);
  • impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o il trasporto di supporti di dati («controllo del trasporto»);
  • garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»);
  • garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilità») e che i dati personali conservati non possano essere falsati da un errore di funzionamento del sistema («integrità»).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4