Dati personali nella PA, compliance e accountability

1. Cosa cambia rispetto al passato

Parlare di data protection nel settore pubblico, soprattutto nell’epoca del freedom of information act[1], pare oggi quasi una contraddizione in termini. La Corte costituzionale ha recentemente dichiarato l’incostituzionalità, per alcuni aspetti, dell’art. 14-bis del testo unico sulla trasparenza amministrativa[2], ma la visione complessiva della pubblica amministrazione come “casa di vetro” rimane – e crea tensioni di principio – quando le esigenze del procedimento amministrativo si scontrano con quelle di protezione della riservatezza individuale. Con questo, a scanso di equivoci, non si vuole sostenere la divergenza tra la “trasparenza” come intesa dal GDPR[3] e quella disciplinata dal d.lgs. 33/2013, bensì solo alcuni aspetti di sovrapposizione e reciproco bilanciamento.

Gli obblighi di trasparenza delle pubbliche amministrazioni, unitamente alle basi giuridiche alternative al consenso di cui le medesime possono beneficiare per il trattamento dei dati personali di cittadini[4], sembrerebbero rimasti invariati rispetto al precedente assetto normativo. Anche a seguito dell’emanazione del d.lgs. 101/2018[5], il ruolo impattante della nuova disciplina sui diritti e le libertà degli individui non pare aver creato un moto verso il virtuosismo nella gestione dei flussi informativi.

L’attuazione concreta ed effettiva delle cautele che il Regolamento prevede è cosa ben diversa rispetto al mero susseguirsi di adempimenti di stampo burocratico-amministrativo, da parte di dirigenti, funzionari e impiegati, alla cui stregua si riducono le previsioni del regolatore europeo. Per giunta, molto spesso, attacchi informatici a pubbliche amministrazioni o a enti ad esse equiparati[6] sono conseguenza di negligenze (anche gravi) nelle più basilari forme di rispetto degli standard minimi di sicurezza[7] dei dati personali e della preservazione rispetto alle basi di dati detenute dalle PP.AA., a spregio di ogni sforzo legislativo-regolamentare e a dimostrazione di quanto ancora lontani si sia dalla garanzia dell’effettività della protezione[8].

Un primo appunto – sia chiaro, di carattere meramente soggettivo – si potrebbe fare rispetto alla scelta del collocamento sistematico delle norme su enti e organismi pubblici con riguardo alla materia della protezione dei dati personali: nessuno in particolare. Per rendere più comprensibile quanto appena esposto, è sufficiente dire che, forse nello sforzo di parificare le posizioni soggettive dei titolari del trattamento dati di stampo pubblico e privato, il regolatore europeo ha scelto di utilizzare lo stesso impianto di regole per entrambi, salvo qualche precisazione[9]. Tale scelta teleologica, a parere di chi scrive, seppur condivisibile nella perentorietà dei termini assoluti e onnicomprensivi del GDPR, non può essere corretta per il perseguimento dei risultati che il regolatore europeo vorrebbe ottenere.

Infatti, nonostante l’Autorità amministrativa, nel rapportarsi con soggetti terzi per atti stampo negoziale, si ponga come soggetto di diritto privato, resta fermo che il perseguimento di funzioni istituzionali e l’erogazione di servizi al cittadino passino perentoriamente dalla massiva raccolta di dati personali di interessati in larga scala. Ciò, com’è ovvio, comporta una serie precisa e puntuale di obblighi di protezione per i diritti e le libertà degli individui tale da meritare, quantomeno, un capo o un titolo a sé stante o una maggiore specificazione in sede di integrazione nazionale. L’art. 2-ter del nuovo Codice privacy[10], come emendato dal d.lgs. 101/2018, viene incontro all’interprete in questo senso, disponendo al comma 1 che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”. Tale previsione restringe lo spazio interpretativo potenzialmente vasto che si sarebbe potuto creare senza la suddetta necessaria precisazione. In questo modo, di fatto, si costituisce una riserva di legge relativa sulla liceità del trattamento che si raccorda con quanto il GDPR prevede con una vera e propria delega[11].

Fatto presente quanto sopra, comunque, è necessario elencare sinteticamente i più grandi cambiamenti (da verificare nella pratica e monitorare attraverso il Garante per la protezione dei dati personali) che il Regolamento comporta[12]:

1. Valutazione d’impatto sulla protezione dei dati (DPIA);
2. DPO obbligatorio;
3. Obblighi di formazione sul personale per il titolare;
4. Registro delle attività di trattamento;
5. Notifica delle violazioni di dati personali;
6. Sanzioni pecuniarie fino a € 20.000.000,00 in caso di mancato rispetto delle norme.

Questi fondamentali accorgimenti previsti per il titolare del trattamento vanno ricondotti, in ogni caso, sotto l’alveo del principio di accountability, vera innovazione del Regolamento, traducibile in “responsabilizzazione e rendicontazione”, con cui si sposta il baricentro delle tutele degli interessati – e degli oneri che ne conseguono – sul titolare stesso anziché sulle autorità di controllo. Di seguito verrà approfondito uno degli aspetti ancora problematici della materia, che potrebbe in futuro generare profili di responsabilità civile e amministrativa per i soggetti che non proteggano adeguatamente i dati personali da essi trattati.

2. Ciò che andrebbe fatto (e in molti casi non si fa): il caso del DPO

Il ruolo della protezione dei dati personali affidato alle pubbliche amministrazioni con il principio appena menzionato riveste una portata rivoluzionaria. Esse, dopo i big players del web, possiedono impressionanti quantitativi di dati (comuni e particolari) la cui mole può essere un succulento bersaglio da parte dei sempre più frequenti attacchi hacker alle infrastrutture critiche. Ciò che viene percepito, si ribadisce, è invece un frustrante insieme di seccature relative a eventi visti come “lontani” e improbabili. Niente di più errato, specie alla luce delle nuove sanzioni amministrative irrogate ex artt. 82 ss. del GDPR e al fatto che molti data breach passano ancora “in sordina”.

Non è possibile, in questa sede, trattare con accuratezza tutti i profili attinenti alle cautele da adottare. Tuttavia, a titolo esemplificativo e per rendere l’idea di quanto il problema della protezione dei dati sia quasi sempre preso sotto gamba, ci si soffermi per un attimo sulla figura dell’RPD (Responsabile per la Protezione dei Dati). L’art. 37, paragrafo 1, lettera a) del GDPR dispone espressamente l’obbligo di nominarne uno quando il trattamento dei dati personali sia effettuato da un’Autorità pubblica, senza ulteriormente soffermarsi sulle modalità esecutive della nomina stessa (o dell’incarico). Il legislatore italiano, dal canto suo, nulla ha aggiunto rispetto alla previsione del Regolamento.

Il successivo articolo 38 descrive le caratteristiche di una tale figura all’interno della realtà amministrativa o d’impresa, di fatto delineando una posizione organizzativa particolarmente delicata, specializzata e con compiti di responsabilità. Al contrario, non indica la necessità che il RPD (o DPO) possieda particolari certificazioni che attestino la competenza in materia di data protection[13]. Infine, non v’è l’obbligo di nominare come RPD un soggetto interno all’amministrazione, ma si può designare anche con specifico incarico un professionista esterno, impedendo così eventuali conflitti di interesse o problematiche legate al rapporto fra titolare del trattamento e DPO[14] altrimenti irrisolvibili.

Quel che, di fatto, è accaduto nella stragrande maggioranza delle amministrazioni italiane (basti pensare, fra le molteplici realtà, ai Comuni o alle scuole dell’obbligo) è stato designare soggetti spesso privi delle necessarie competenze, senza una specifica posizione organizzativa e in palese conflitto di interessi con il titolare del trattamento, riducendo tali figure, anziché a un’opportunità per nuovi posti di lavoro e/o una efficace tutela dei dati personali, a meri “titoli” vuoti, malpagati o non remunerati e comunicati all’Autorità Garante solo come specifico adempimento burocratico.

Ciò che lo Stato avrebbe potuto fare, se avesse interpretato correttamente tale norma (ma che, anche e soprattutto per ragioni di bilancio, si trova nell’impossibilità di attuare), era avviare di concertazioni tra ARAN e sindacati maggiormente rappresentativi per il rinnovo della contrattazione collettiva e/o integrativa nel settore pubblico (sia per le amministrazioni centrali che per quelle indipendenti, territoriali o legate all’istruzione) nonché l’introduzione, fra le posizioni organizzative, di quella del responsabile della protezione dei dati, facoltativa rispetto alla scelta del conferimento di incarico esterno. Resterebbe inteso che, su base discrezionale da parte dell’amministrazione per la scelta più efficiente ed efficace in termini economici, la posizione di DPO rivestirebbe portata e remunerazione diverse, attese le difficoltà assolutamente incomparabili tra le diverse realtà nel settore pubblico nelle quali esperire tali funzioni. Inoltre, la scelta fra il libero mercato e la specifica posizione organizzativa così come concertata dalle parti sociali avrebbe il potere di stabilizzare le tariffe per le imprese o i liberi professionisti.

Questo, comunque, rimane solo uno degli aspetti legati alla (non abbastanza efficace) protezione dei dati da parte di soggetti pubblici, che comunque possiedono un’eccellente capacità di adattamento e, in molti casi, prassi virtuose che in altre realtà (private) comparabili non sono neppure pensate. Basti pensare alle privacy policies e alle cookie policies tempestivamente aggiornate in molti siti istituzionali – cosa non effettiva, purtroppo, in molti siti web ministeriali –, nonché alle cautele informatiche relative alle credenziali di accesso nei portali delle PP.AA. prese sempre più sul serio e con migliori standard di sicurezza.

Quanto agli ulteriori obblighi introdotti dal Regolamento, convergenti verso l’accountability, spetta alle pubbliche amministrazioni porre la lente su quanto c’è ancora da fare per adeguarsi, mentre sul Garante resta l’onere di vigilare e sanzionare le condotte inammissibili a partire dal 25 maggio 2018[15], oltre che di promuovere e garantire la protezione dei dati personali in tutte le realtà e in tutto il territorio nazionale.

3. Principio di effettività e cambiamento di approccio

Quanto già elencato supra, in termini di novità per le PP.AA., non può trovare fondamento senza la garanzia del principio di effettività. Esso può concretarsi soltanto qualora i cittadini, in veste di interessati, prima ancora che gli enti pubblici, si impegnino a vigilare sulla protezione dei loro dati personali (specialmente in ambiente digitale). Ciò implica necessariamente che gli utenti stessi devono trasformarsi nella longa manus dell’Autorità di controllo.

Per la precisione, ciò comporterà una maggiore attenzione (oltre che una preventiva formazione a largo raggio, che se istituzionalizzata servirebbe anche a ridurre l’analfabetismo digitale) a come i propri dati personali vengono trattati. In molte realtà geograficamente “remote”, considerate le dimensioni del Garante privacy e le sue priorità, sarà difficile intervenire in mancanza di molteplici segnalazioni. Con esse, si potrà sopperire alle – seppur fisiologiche – carenze dei controllori, attivandone i poteri di istruttoria e di sanzione, nonché alla superficialità delle PP.AA. inottemperanti e non compliant. In ogni caso, occorrerà garantire ai pubblici dipendenti la possibilità di apprendere in modo continuativo l’evoluzione di una materia “magmatica” come quella della data protection e adeguarsi, volta per volta, alle soluzioni protettive che la tecnica e il diritto consentiranno.

[1] D.lgs. 97/2016, che modifica il d.lgs. 33/2013 in materia di riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni. La fonte normativa è consultabile gratuitamente qui: http://www.bnnonline.it/getFile.php?id=3348.

[2] Corte cost., sent. n. 20/2019, disponibile gratuitamente qui per la lettura: https://www.cortecostituzionale.it/actionSchedaPronuncia.do;jsessionid=E10184AA2F4B7A96888C072C239704AA. Vengono, invece, dichiarate infondate o inammissibili alcune altre questioni conflittuali tra gli obblighi di trasparenza delle PP.AA. e le esigenze di riservatezza di alcune tipologie di dirigenti.

[3] Regolamento (UE) 2016/679, il cui testo è disponibile qui: https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Arricchito+con+riferimenti+ai+Considerando+Aggiornato+alle+rettifiche+pubblicate+sulla+Gazzetta+Ufficiale++dell%27Unione+europea+127+del+23+maggio+2018.pdf/1bd9bde0-d074-4ca8-b37d-82a3478fd5d3?version=1.9.

[4] L’art. 6, lett. e) del GDPR (Regolamento UE 2016/679) comporta la liceità del trattamento quando “è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Le PP.AA. non sono tenute ad acquisire il consenso dell’interessato per il trattamento dei dati personali finalizzato all’esperimento delle loro funzioni istituzionali. Nella sostanza, rispetto alle basi giuridiche applicate, si rimane ancorati ai capisaldi della Direttiva “madre” (Direttiva 95/46/CE).

[5] Decreto legislativo di coordinamento al nuovo framework comprendente il vecchio Codice privacy (d.lgs. 196/2003) e il Regolamento europeo. Il nuovo testo modificato del Codice è disponibile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9042678.

[6] Ultimo lampante esempio ne è l’attacco alla piattaforma Lextel e l’enorme fuga di dati personali di avvocati che ne è conseguita. A tal proposito, v. fra i molti l’articolo di E. Limone, “In corso attacco hacker all’Ordine degli Avvocati di Roma (inclusa Virginia Raggi). Password in chiaro e PEC violate”, 7 maggio 2019, disponibile qui: https://www.key4biz.it/cybercrime-in-corso-attacco-hacker-allordine-degli-avvocati-password-in-chiaro-e-pec-violate/257037/.

[7] V. art. 32 del GDPR.

[8] Basti pensare che le PP.AA. sono oberate da adempimenti di prevenzione imposti da diversi corpi normativi (T.U. sulla trasparenza, legge anticorruzione, GDPR, codice dell’amministrazione digitale) che, anche alla luce dell’impossibilità di formare i dipendenti in maniera uniforme, comporta sbilanciamenti in termini di tutele e “gerarchie informali” nella scelta degli obblighi cui fare fronte.

[9] L’interesse pubblico come condizione di liceità ne è un esempio. Si dirà infra a proposito del responsabile della protezione dei dati (RPD o DPO) e dell’apparato sanzionatorio di cui agli artt. 82 ss. GDPR.

[10] V. nota 4.

[11] L’articolo 6, paragrafo 3, infatti, rinvia a quanto espressamente disciplinato sia dal diritto dell’Unione che dal diritto degli Stati membri, prevedendo soltanto alcune ipotesi esemplificative di ciò che la legge nazionale potrebbe prevedere. Risulta, comunque, utile tale elencazione non esaustiva, in quanto dà la direttrice da seguire affinché il diritto nazionale possa essere compliant a quanto stabilito nel Regolamento.

[12] A titolo esemplificativo per gli enti locali, cfr. A. Amiranda, GDPR: quali conseguenze avrà sui Comuni?, in Ius in itinere, 21 aprile 2018, disponibile qui: https://www.iusinitinere.it/gdpr-quali-conseguenze-avra-sui-comuni-9565.

[13] A tal proposito, cfr. ancora A. Amiranda, La selezione a DPO di un Ente pubblico non può essere condizionata al possesso di qualifiche informatiche, in Ius in itinere, 19 ottobre 2018, disponibile qui: https://www.iusinitinere.it/la-selezione-a-dpo-di-un-ente-pubblico-non-puo-essere-condizionata-al-possesso-di-qualifiche-informatiche-13166.

[14] V., a titolo esplicativo, Gruppo di Lavoro ex articolo 29, Linee guida sui responsabili della protezione dei dati, adottate il 13 dicembre 2016, emendate e adottate il 5 aprile 2017, wp243.

[15] Data di applicabilità del Regolamento negli Stati membri.