Gdpr

Privacy nei Comuni, bilancio disastroso: le cose cambieranno solo a suon di multe?

Il GDPR ha rivoluzionato la protezione dei dati personali, ma nei Comuni e in generale nelle Pubbliche Amministrazioni, poco o nulla è cambiato: non esistono uffici ad hoc o dipendenti istruiti appositamente, mancano le informative ai cittadini. Viene da pensare che il cambio di rotta si avrà con le prime pesanti sanzioni

30 Lug 2019
Alberto Varetto

Privacy Officer, Consulente sicurezza sul lavoro


Dopo oltre 15 mesi dalla piena operatività del Regolamento Ue 2016/679 (GDPR) e a oltre 10 mesi dall’entrata in vigore del d.lgs 101/2018, nei Comuni e in generale nelle Pubbliche Amministrazioni, poco è cambiato.

Terminato anche il periodo cosiddetto di “tregua” di otto mesi stabilito dal Garante privacy, le sanzioni amministrative sono dunque pienamente operative, senza che vi siano più scuse.

I problemi dei Comuni in tema di protezione dei dati

Tante sono le problematiche riscontrate nelle Pubbliche Amministrazioni e in particolare nei Comuni, in tema di rispetto della protezione dei dati. La scarsa conoscenza del personale è una delle patologie più gravi. In seguito all‘entrata del GDPR, la nomina del Responsabile della protezione dei dati (di seguito in breve DPO, ossia Data Protection Officer) è divenuto obbligatorio per tutti i comuni, in ottemperanza all’art. 37 GDPR. Tale norma infatti, prevede la nomina del DPO quando “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico”. Sempre in tale articolo viene citato il concetto di “larga scala”. Entrambe le caratteristiche appena enunciate, fanno rientrare i comuni nell’obbligo di nomina del DPO (anche i comuni con pochi abitanti).

Per capire il concetto di “larga scala”, è corretto prendere spunto dall’opinione del Gruppo dell’articolo 29 per la tutela dei dati. Esso era il gruppo di lavoro, ora sostituito dal Comitato europeo per la protezione dei dati (EDPB) composto dalle autorità Nazionali e dal Garante europeo della protezione dei dati, che aveva il compito precipuo di fornire pareri qualificati agli Stati in merito a privacy e protezione dei dati personali. Il gruppo di lavoro sottolineò un criterio che chiarisse il concetto di “larga scala”, ossia che non è il semplice numero di dati personali l’unico da tenere presente, ma anche “il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento”.

In caso contrario solo i Comuni più grandi rientrerebbero in tale fattispecie e sarebbero esclusi la maggior parte degli oltre 8.000 comuni italiani, che sempre ai sensi dell’art. 37 GDPR devono necessariamente nominare il DPO.

Tuttavia è bene dire che non basta la semplice nomina del DPO, un Comune per trattare adeguatamente molteplici dati: ogni ente dovrebbe dotarsi di strutture adeguate, che spesso, anzi oserei dire sempre, non sono all’altezza della mole di dati trattati. Non esistono infatti uffici ad hoc, al pari ad esempio di anagrafe, ufficio elettorale o urbanistico, non vi sono dipendenti istruiti appositamente o che abbiamo una preparazione adatta, per informare i cittadini delle novità apportate dalla normativa europea.

In futuro verranno certamente creati degli uffici specializzati e vi saranno senz’altro dei dipendenti esperti anche in tale settore, ma quando avverrà sostanzialmente? Probabilmente il vero cambio di rotta, si avrà nel momento in cui arriveranno sanzioni amministrative pesanti o l’avvenimento di un fatto grave mediatico (es. data breach di Comune con perdita di milioni di dati). Ad oggi purtroppo, non possiamo che registrare che gli uffici del DPO nei comuni siano secondari oppure al di fuori del comune stesso (capita non di rado che la persona giuridica gestisca la privacy dell’ente anche da lontano, via remoto).

Come limitare i pericoli, con informatici e giuristi

Un buon modo per limitare tali pericoli, sarebbe indubbiamente l’assunzione da parte dei comuni di tecnici specializzati, informatici e giuristi, i primi competenti per la parte tecnica (gestione Cloud, gestione parte informatica in caso di data breach o in caso di problemi ai server), i secondi per gli aspetti burocratici e legislativi (è necessario un aggiornamento continuo su tali temi perché la normativa è in continua fase di sviluppo, esempio pratico è l’e-privacy che dovrebbe entrare in vigore tra non molto). Sarebbero, dunque, necessarie risorse economiche affinché si tuteli la protezione dei dati personali, un diritto fondamentale dell’individuo (ai sensi dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea).

Un buon DPO deve conoscere entrambe le materie, il che non è semplice, perché sono discipline molto diverse tra loro. Interessante tuttavia è rimarcare uno dei pochi interventi di un Tribunale in una disciplina ancora acerba come quella delle competenze richieste e necessarie per svolgere la professione del DPO. Senza ambagi, possiamo dire che l’intervento del TAR del Friuli nella sentenza n°287 del 05/09/2018, ha determinato che il profilo ideale debba essere “eminentemente giuridico. E’ tuttavia necessaria anche una certa propensione alle nuove tecnologie (impensabile pensare a un DPO che non conosca il significato di Cloud o server o rete internet).

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Altro aspetto controverso è, nondimeno, il modesto compenso che viene mediamente riconosciuto al DPO, un soggetto dotato di una importante responsabilità (il Garante si rapporta con questa figura, non con il Titolare del Trattamento). Il Garante infatti, ha il suo ufficio a Roma e il DPO rappresenta la sua presenza nell’azienda o nel comune, il cui compito è quello della tutela della protezione dei dati personali delle persone. Nei Comuni la situazione sembra ancor peggiore rispetto alle aziende, i DPO sono il più delle volte pagati poco oppure capita di frequente che una società di consulenza abbia moltissimi comuni come clienti (il DPO, oltre che persona fisica, può anche essere una persona giuridica, deve essere sempre ovviamente individuata una persona specifica che si rapporti con il Garante). Vi è perciò un rischio notevole, ossia che i Comuni siano meno seguiti, da società di consulenti che magari sono molto lontani e non conoscano le particolarità di quel dato luogo. Il DPO ideale deve essere perciò, un professionista retribuito il giusto, specializzato per quel dato ambito, che conosca quel dato luogo e indipendente dal datore di lavoro/titolare del trattamento (ciò non sempre avviene).

L’aggiornamento è un altro aspetto fondamentale che deve essere valorizzato: un efficiente comune dovrebbe prevedere la partecipazione del DPO e di alcuni dipendenti a convegni, incontri tra professionisti e seminari. Pochi sanno in effetti, che il Garante organizza puntualmente dei convegni aperti ai professionisti in molte città importanti, quali Milano, Roma, Napoli, Torino e non solo. In una disciplina relativamente nuova come quella della protezione dei dati personali, tali convegni risultano essere indispensabili per meglio comprendere l’applicazione pratica della normativa nei casi reali.

Come viene percepito il GDPR

Sia dai cittadini, dai Comuni, dagli Enti pubblici e dalle imprese viene spesso visto come una norma inutile o peggio burocratica, che non cambia di molto il quadro normativo e che non rivoluziona più di tanto il vecchio Codice della Privacy d.lgs 196/03. Il GDPR invece è tutt’altro che dannoso, anzi è una conquista vera e propria. Un successo indubbio dell’UE, dopo anni di progetti e promesse. Eppure tanto è realmente cambiato, la privacy è finalmente tutelata, grazie a novità significative quali ad esempio il diritto all’oblio (o cancellazione dei dati), alla portabilità, all’accesso dei dati, alla rettifica, alla opposizione a molti altri diritti prima non regolamentati.

In Italia infatti la protezione dei dati personali era disciplinata solamente dal Codice della Privacy del 2003 che non poteva più stare al passo con i tempi. Il regolamento GDPR e il d.lgs 101/2018 hanno modificato profondamente il Codice della Privacy, che rimane vigente, ma è stato rivoluzionato dalle normative appena richiamate. I cittadini italiani sono stati poco informati sulla novellazione delle norme relative alla protezione dei dati personali e ciò è ampiamente dimostrato da uno studio pubblicato dalla Commissione dell’UE.

L’Eurobarometro diffuso esattamente dopo un anno dall’entrata in vigore del GDPR, nel maggio scorso, mise a confronto la consapevolezza dei cittadini dei paesi membri europei. Ciò che è emerso è un dato davvero allarmante per l’Italia: solo il 49% delle persone intervistate ha ammesso di conoscere o almeno aver sentito parlare del GDPR, un regolamento che protegge un diritto fondamentale e che da tutti deve essere percepito o conosciuto. Nella classifica redatta l’Italia, uno dei paesi più importanti e popolosi d’Europa risulta essere al penultimo posto della classifica. Ai primi posti vi sono Svezia e Olanda, nazioni in cui i cittadini hanno dimostrato di conoscere o perlomeno avere già sentito parlare del GDPR (90% della popolazione per quanto concerne i cittadini svedesi, 87% dei cittadini olandesi).

Uno dei problemi più in vista, sta nella pochezza di informazioni presenti nei siti dei comuni italiani e degli enti pubblici in generale. Secondo uno studio condotto dall’osservatorio di Federprivacy il 47% dei siti dei comuni analizzati risultano basati sul vecchio protocollo “http”, venendo dunque etichettati come siti “non sicuri” dai principali browser. Il pericolo dunque di un data breach è concreto. Ricordo che esso può essere informatico (hacker che sfrutta falla e ruba dati all’interno del sito istituzionale), ma anche essere di natura non informatica. Esempio tipico può essere un fascicolo cartaceo perso in un ospedale o in comune stesso, in cui vengono raccolti dati sensibili. Il danno può essere devastante e i Sindaci, in qualità di Titolari del Trattamento non possono non tenerne conto. Sempre secondo lo studio realizzato da Federprivacy i dati di contatto del DPO sono una volta su tre assenti (esattamente il 36% risultano non esserci nei vari siti dei comuni analizzati). Ciò è una palese violazione dell’art. 37 del GDPR che prevede l’obbligo di pubblicazione dei dati di contatto (solitamente sono indicati nome, cognome, e-mail e pec del DPO).

Sanzioni da applicare senza nessuna scusante

Come già detto, il GDPR ha rivoluzionato in positivo il tema della protezione dei dati personali, a dimostrazione di ciò infatti molte nazioni, stanno prendendo esempio dal presente Regolamento europeo. Nazioni come il Regno Unito (in seguito alla Brexit, è destinata ad uscire dalla UE, molto probabilmente però utilizzerà il GDPR come modello in caso di No Deal) e addirittura società di capitali private importanti, come Microsoft hanno più volte elogiato questa nuova normativa che sta risvegliando le menti di milioni di cittadini, di molti stati extra UE (in USA molti americani vorrebbero copiare o prendere comunque spunto dal GDPR).

È indubbio che molti colossi informatici ora trattano i dati con molta più parsimonia rispetto al passato. Google, Microsoft, Apple, Facebook, Instagram e molte altre società per molti, troppi anni hanno raccolto dati, informazioni, profilazioni sugli utenti, senza che vi fosse un reale controllo. Un potere non da poco, non solo a fini di pubblicità mirata, ma anche politico (sui social vengono espresse anche opinioni politiche e non solo).

Le sanzioni fanno paura e non solo alle società medio/piccole. Che lo scenario sia notevolmente cambiato in pochi anni è indiscutibile. Basti pensare alle recenti sanzioni imposte a Facebook per il caso Cambridge Analytica, con il Regno Unito che ha potuto sanzionare la società solamente per l’irrisoria cifra di 500.000 (il massimo previsto dalla norma nazionale britannica in tema di violazione di data protection), mentre negli Usa la multa ha toccato il record di 5 miliardi di dollari. Contrariamente se il Regno Unito avesse applicato il GDPR, avrebbe potuto infliggere alla società fondata da Mark Zuckerberg sanzioni molto più pesanti, potendo punire la multinazionale con il pagamento di una multa pari al 4% del fatturato mondiale totale annuo. Vista la gravità del caso, il Regno Unito avrebbe potuto condannare la società americana con una sanzione pari a 3 miliardi di sterline.

Le mosse del Garante italiano

Anche il Garante della Privacy italiano sta applicando la nuova normativa e la conferma ci arriva dai dati che l’Autorità stessa ha pubblicato, in maniera puntuale sul sito ufficiale. Nel 2018, sono cresciute del 115% le sanzioni, le violazioni amministrative contestate e sono stati riscossi 8,1 milioni di euro dall’autorità Garante, segno dunque che il sistema funziona e le aziende, come del resto i comuni stanno piano piano capendo che realmente vi è stato un cambiamento storico. Il numero delle sanzioni tuttavia è destinato a crescere notevolmente nel 2019 e nei prossimi anni. Nessuna azienda pubblica o privata che sia, sarà risparmiata. Recentemente il Garante della Privacy ha, inoltre, sanzionato Facebook per un importo pari a 1 milione di euro sempre per il caso Cambridge Analytica (provvedimento emesso il 28 Giugno 2019). In passato il Garante per il caso Street View multò Google con lo stesso importo per la violazione della privacy (targhe auto riconoscibili e volti non oscurati).

Le prime sanzioni Gdpr a enti pubblici in Europa

Esistono notevoli esempi di sanzioni anche per quanto riguarda i comuni e le Pubbliche Amministrazioni. Hanno fatto discutere due casi in ambito pubblico, avvenuti in Portogallo e in Norvegia. Nel primo caso si tratta di un ospedale pubblico portoghese, il Garante nazionale aveva inflitto lo scorso Luglio 2018 la sanzione più alta in ambito pubblico e ospedaliero, da quel che ci risulta. L’ospedale “Centro Hospitalar Barreiro Montijo”, in Portogallo si è visto recapitare una multa pari a 400.000 euro per un livello di protezione ritenuto non adeguato circa i dati personali dei pazienti custoditi nell’archivio digitale (accesso indiscriminato e soprattutto ingiustificato ai dati dei pazienti). Dei tecnici o anche dei terzi, avrebbero potuto accedere a dati personali sensibili che, dovrebbero essere consultati solo dai medici curanti.

Altro caso che recentemente, ha fatto scalpore riguarda un comune norvegese ed esattamente la città di Bergen, situata nella regione di Vestlandet. Anche in questo caso venne trovata una falla informatica all’interno del sito del comune, relativa a username e password di dipendenti e alunni della scuola primaria pubblica. Questo tipo di bug, risultava essere piuttosto pericoloso perché permetteva a chiunque di accedere al sito. Era piuttosto semplice entrare nella parte più riservata relativa all’e-learning, in cui erano raccolti compiti degli studenti, votazioni e dati personali dei minori (indirizzo, sesso, data di nascita, classe frequentata). Interviene quindi prontamente l’autorità Garante norvegese che impone al comune di Bergen una sanzione rilevante, imponendo il pagamento di circa 170.000€ (esattamente 1,6 milioni di corone norvegesi). Il comune ha ammesso l’errore ed è corso immediatamente ai ripari.

Gli attacchi ai comuni italiani

Quest’ultimo caso dovrebbe fare riflettere tutti i comuni italiani e anche le Pubbliche Amministrazioni varie, quali Regioni o enti pubblici economici. Essi frequentemente non risultano essere del tutto uniformati alle novità introdotte dal GDPR. Anche in Italia infatti sono avvenuti alcuni attacchi da parte di hacker nei confronti di alcuni comuni. Il caso più eclatante riguarda il comune di Massa Lubrense, in provincia di Napoli, che lo scorso anno fu vittima di “ransomware” (ransom significa riscatto in inglese), ossia di un virus che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione. La richiesta, proveniente da hacker indiani, era di 600 dollari per togliere definitivamente il virus.

Sempre nel napoletano, esattamente nel comune di Sant’Agnello, vi fu un altro caso specifico di attacco informatico. Nel settembre 2018, un hacker riuscì a penetrare nel sito istituzionale dell’ente. In questo caso tuttavia, nessun danno e nessuna richiesta di riscatto, ma solamente uno scherzo. Nelle news del sito comunale veniva riportata una notizia non attinente, di carattere umoristico. Venne immediatamente rimossa dai tecnici.

Possiamo sintetizzare, in conclusione, che i comuni e le Pubbliche Amministrazioni non possono assolutamente abbassare la guardia, le falle informatiche senza i giusti controlli possono sempre essere scovate da hacker o generalmente da terzi. L’autorità Garante è stata chiara, i controlli saranno sempre più frequenti e anche per quello che riguarda le sanzioni il tempo delle scuse è definitivamente finito.

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 2