Dirigenti e politici come evitare il rimborso di sanzioni privacy al proprio ente

16/02/2020

Con l’ultima sentenza n. 429 del 08/11/2019 la Corte dei Conti sezione Calabria conferma la responsabilita’ patrimoniale, per procurato danno erariale, addebitabile in capo al  legale rappresentante dell’Ente in caso di violazioni in materia di protezione dei dati personali.

Viene, quindi, condannato dalla Corte dei Conti il Presidente pro-tempore della Regione Calabria Giuseppe Scopelliti, in carica al momento della violazione, a risarcire la Regione Calabria dell’indebito esborso della sanzione di Euro 66.000,00 comminata dal Garante della privacy per violazioni ascrivibili al Presidente. 

Gia’ con precedente sentenza di condanna di un Dirigente scolastico, vedi articolo ACTANEWS del 07 giugno 2019,  la Corte dei Conti, sez. giurisd. per il Lazio., 28/5/2019 n. 246 aveva ribadito la responsabilità patrimoniale  personale del legale rappresentante del Titolare del trattamento e non dei soggetti che collaborano alla stesura, spedizione o pubblicazione di atti che violano la protezione dei dati personali.

C’e’ da considerare che quelle sopra citate sono sentenze emesse per violazioni commesse anteriormente all’entrata in vigore del GDPR 2016/679 quando le sanzioni e le responsailita’ individuali erano meno gravose.

Cosa e’  cambiato dopo il 25 maggio 2018 con l’entrata in vigore del GDPR 2016/679

1. SONO CAMBIATE LE SANZIONI

Le sanzioni pecuniarie applicabili alle violazioni in materia di protezione dei dati personali hanno subito un notevole inasprimento e, in base alla natura della violazione, sono irrogabili fino a 10 o fino a  20 milioni di Euro. Detti massimali sono aumentbili,per le imprese, al 4% del fatturato  Alle sanzioni si aggiungono l’eventuale risarcimento del danno e la responsabilita’ penale.

2. SONO CAMBIATE LE RESPONSABILITA’

Il titolare del trattamento, in persona del legale rappresentante, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformita’ al Regolamento europeo GDPR n. 2016/679. Dette misure devono essere riesaminate e aggiornate qualora necessario.

Le responsabilita‘ del titolare del trattamento non sono trasferibili ad altri soggetti facenti parte della propria organizzazione nè è possibile stipulare polizze assicurative a copertura del rischio derivante da sanzioni pecuniarie.

3. SONO CAMBIATI  GLI STRUMENTI OBBLIGATORI

Ogni titolare del trattamento e’ obbligato a tenere un Registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le informazioni relative alla raccolta relative alle finalita’, ai rischi, alle violazioni, alle misure di protezione adottate. Questo registro, da esibire con data certa, rechera’ tutti i dati utili a dimostrare la accountability e compliance del titolare del trattamento.

4. SONO CAMBIATI I SOGGETTI

L’organigramma privacy si compone delle seguenti figure:
Titolare del trattamento
Contitolare del trattamento
DPO Responsabile della protezione dei dati
– Responsabile del trattamento dei dati esterno
Autorizzati al trattamento
Designati al trattamento.

La nuova figura fondamentale per il rispetto degli adempimenti previsti dal GDPR e’ quella del Responsabile della protezione dei dati personali, anche conosciuto con la dizione in lingua inglese data protection officerDPO, obbligatoria per la Pubblica Amministrazione e raccomandata per le organizzazioni private che trattano dati su larga scala o dati particolari artt. 9 e 10 del GDPR (vedi FAQ del Garante Privacy  n. 4).

Il DPO è una figura prevista dall’art. 37 del Regolamento (UE) GDPR 2016/679. Si tratta di un soggetto designato dal titolare del trattamento o dal responsabile del trattamento esterno per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità nazionale e, per questo motivo, il suo nominativo va comunicato al Garante  per il quale costituisce il punto di contatto per gli adempimenti connessi al trattamento dei dati personali (artt. 38 e 39 del GDPR).

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve:

– possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, 
– possedere un’approfondita conoscenza delle norme e procedure amministrative che caratterizzano lo specifico settore di riferimento,  
– poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali
– coadiuvare il titolare nell’adozione di un complesso di misure, anche di sicurezza, adeguate al contesto in cui è chiamato a operare, 
– agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici, 
– poter disporre di risorse fornite dal titolare del trattamento in termini di personale, locali, attrezzature, ecc., necessarie per l’espletamento dei propri compiti.

Questa figura, mutuata dal mondo anglosassone e tedesco, deve costituire il punto di forza e lo scudo protettivo personale del titolare del trattamento dei dati personali e, quindi, di chi lo rappresentanta. 

Per svolgere la sua funzione il DPO deve essere individuato e nominato con il compito di prevenire. Il Data Protection Officer deve conoscere la normativa privacy per sapere cio’ che e’ giusto e cio’ che e’ vietato ma non è sufficiente. Per prevenire le violazioni, per essere proattivo e capace di intervenire in anticipo per evitare situazioni, tendenze lesive o problemi futuri in materia di protezione dei dati personali, deve avere anche approfondite conoscenze ed esperienza nei seguenti campi: 

 organizzazione del lavoro e le dinamiche d’ufficio,
– procedure di raccolta dei dati personali,
– sistemi di gestione digitale per la trasmissione, validazione, archiviazione, conservazione dei dati elettronici,
– misure di protezione fisica, logica e organizzativa dei sistemi e dei dati informatici.

La mancata richiesta di queste competenze pratiche ha comportato la conseguenza che gli oltre 53mila DPO nominati in Italia hanno raramente rapporti diretti con il top management e non vengono tempestivamente e adeguatamente coinvolti in tutte le questioni riguardanti la protezione dei dati personali. Da ricognizioni sul campo risultano migliaia di segnalazioni di Dpo frustrati, avviliti e malpagati che, sulle questioni che hanno impatti sui dati personali, vengono consultati solo a giochi fatti e incontrano ostruzionismo o indifferenza da parte dei vertici dell’organizzazione.

La causa della marginalità di fatto del ruolo del DPO si deve ricercare nello svolgimento di un ruolo svolto principalmente con funzione di garanzia e non operativo. Ne deriva che quando un’organizzazione necessita di un supporto proattivo deve avvalersi di un consulente esterno in grado di garantire le necessarie competenze operative. Queste, purtroppo non si acquisiscono con un corso ma, come esplicitamente previsto dall’art. 36 del GDPR, con la “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“.

Il Legale rappresentante e i dirigenti di un’organizzazione, per arginare le loro responsabilita’, hanno l’interesse primario di avvalersi di un DPO che, oltre che alla conoscenza della normativa, garantisca la conoscenza della prassi in materia di protezione dei dati.
Ma cosa si deve intendere per prassi in materia di protezione dei dati?
Partendo dal significato del termine prassi, con esso si intende l’attività pratica, specificatamente contrapposta all’attività teorica. E un dato personale, che normalmente viene trattato con sistemi digitali, come puo’ essere praticamente e non teoricamente protetto
E’ questa la domanda cui il Legale rappresentante e i dirigenti devono trovare la risposta. La soluzione e’ quella di avvalersi di un DPO che sia in grado di trasmettere anche i metodi pratici per la protezione di dati personali scambiati attraverso le email, contenuti nei documenti informatici anche firmati digitalmente, pubblicati sui siti web, achiviati e conservati sui sistemi informatici propri e di  terzi.

In conclusione, le organizzazioni e il DPO avranno interesse a perseguire due obiettivi convergenti che sono quelli, per l’organizzazione, di cercare e per il DPO, di costituire, una professionalita’ capace di guidare lo sviluppo digitale, la valorizzazione dei dati personali e l’assolvimento degli adempimenti per evitare le sanzioni previste dal GDPR con le conseguenti responsabilita’ patrimoniali, risarcitorie e penali.

Per l’organizzazione un ulteriore elemento da tenere presente nella nomina del DPO è che lo stesso non deve avere conflitto di interessi nello svolgimento del proprio ruolo.  I Garanti europei si sono espressi  affermando che il DPO – non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

A tal proposito nelle FAQ pubblicate dal Garante della privacy si riporta che è preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

Altro elemento da considerare a tutela delle responsabilita’ risarcitorie del Titolare del trattamento e’ quello di incaricare, qualora si avvalga del trattamento esterno dei dati personali raccolti dalla propria organizzazione, di soggetti che, ai sensi dell’art. 28 del GDPR definiti  Respnsabili del trattamento, “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento (GDPR) e garantisca la tutela dei diritti dell’interessato.”

Ne discende che chi rappresenta l’organizzazione deve selezionare, istruire controllare adeguatamente i propri fornitori che trattano, per suo conto, i dati  personali.
Ultima annotazione utile per chi rappresenta il titolare del trattamento e’ quella di comprendere appieno il siginificato di “trattamento” dei dati personali. 
Ci soccorre l’art. 4 del GDPR che definisce “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Quindi, attenzione, anche la consultazione, l’uso e la comunicazione costituiscono “trattamento” dei dati personali.

 

Igino Addari

 

 

 

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

          

         

 

 

 

 

 

 

TAG

Leggi anche

Online ActaFOIA, applicativo con accesso SPID e registro FOIA.

Il Dlgs. 25 maggio 2016, n. 97 prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della Pubblica Amministrazione e che non abbia la possibilità di ricevere rifiuto alla richiesta di informazioni, se non motivato. L’Articolo 5 introduce una nuova forma di accesso civico ai dati e documenti pubblici equivalente a […]

Microsoft word a Rischio Privacy per salvataggio One Drive

Word

Da agosto 2025, Microsoft ha annunciato che Word per Windows salverà automaticamente tutti i nuovi documenti su OneDrive per impostazione predefinita. Estenderà il modello di salvataggio su cloud predefinito a tutti gli di Excel e PowerPoint nel corso dell’anno. Microsoft presenta questo cambiamento come un vantaggio per la sicurezza, la conformità, la collaborazione e le […]

Scade 31 dicembre 2025 – Dataset Open Data – Piano ICT

Come riportato tra gli adempimenti di AGID sul Piano Triennale Informatica 2024-26, scade il 31 Dicembre 2025 per – Ogni Comune con popolazione tra 10.000 e 100.000 abitanti, ogni Unione di Comuni o altri tipi di consorzi e associazioni, ogni Comunità Montana o isolana pubblica (non ancora presenti nel 2024 nel catalogo dati.gov.it) pubblicano e […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677