Gestire il sito web di un ente pubblico in assenza di un accordo come responsabile comporta un trattamento illecito di dati
Con il provv. n. 373 del 20 giugno 2024 il Garante Privacy conferma il proprio orientamento secondo il quale in assenza di un accordo scritto formalizzato conformemente all’art. 28 GDPR, le attività di trattamento svolte dal soggetto che assume il ruolo di responsabile sono illecite in quanto prive di alcuna valida base giuridica. Ciò comporta, di conseguenza, una condotta sanzionabile in capo al responsabile stesso per violazione del principio di liceità e di conseguenza l’applicazione di provvedimenti correttivi.
Il caso in questione ha riguardato un reclamo presentato per la pubblicazione sul sito web istituzionale di un Comune di una graduatoria contenente l’elenco dei candidati ammessi e non ammessi, formata successivamente alla prova preselettiva di un concorso pubblico. Di conseguenza, il Garante ha aperto due separate istruttorie nei confronti dell’ente e del fornitore di servizi e la violazione contestata alla società è incentrata proprio sull’omessa regolamentazione delle attività di trattamento svolte per conto del Comune ai sensi dell’art. 28 GDPR. Ed è proprio nell’ambito dell’istruttoria rivolta nei confronti del gestore del sito web che emergono elementi in grado di fornire spunti di portata generale utili anche in sede di consulenza.
Innanzitutto, la qualificazione un soggetto come responsabile del trattamento deriva dall’analisi del caso concreto e deve considerare lo svolgimento di attività di trattamento “per conto del titolare”. Secondo il Garante, nell’ipotesi di operazioni di accesso diretto svolte anche in modo non continuativo o non regolare, tale evenienza «comporta inevitabilmente, stante la definizione di “trattamento” (art. 4, punto 2), del Regolamento), il coinvolgimento della stessa nel trattamento dei dati personali degli utenti del predetto sito nonché degli altri dati personali ivi pubblicati». Per tale motivo nel caso in questione lo svolgimento della funzione di “superamministratore” dei profili di accesso al sito web ha implicato il coinvolgimento effettivo nelle attività di trattamento dei dati personali sia degli utenti sia di altri interessati a cui sono riferite le pubblicazioni e dunque il ruolo di responsabile del trattamento del soggetto gestore del sito web.
Premessi questi chiarimenti circa il metodo da seguire per un corretto inquadramento soggettivo, il provvedimento affronta l’aspetto della regolamentazione dei rapporti con il responsabile del trattamento. Innanzitutto viene confermata la natura prescrittiva inderogabile dell’art. 28 GDPR riguardante tanto la forma quanto i contenuti «in quanto solo in tal modo l’accordo in questione può garantire un’adeguata regolazione del rapporto tra il titolare e il responsabile del trattamento e, conseguentemente, il soddisfacimento di tutte le garanzie sostanziali connesse». Considerate tali premesse, la corrispondenza intercorsa o una policy di gestione degli spazi web dei fornitori è stata valutata dal Garante come insufficiente. Tale formalizzazione è richiesta «al fine di evitare trattamenti in assenza di un idoneo presupposto di liceità, stante la nozione di “terzo” di cui all’art. 4, punto 10, del Regolamento» .
Infine, nell’analisi del caso specifico per cui il titolare è un ente pubblico è interessante notare come il Garante voglia precisare che i fondamenti di liceità riscontrabili nell’art. 6 par. 1 lett. c) e e) GDPR (rispettivamente: l’adempimento di un obbligo legale a cui è soggetto il titolare e l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di poteri pubblici di cui è investito il titolare) possono essere riferibili al solo titolare e dunque non sono idonei a legittimare altri soggetti che trattano i dati per conto e nell’interesse del titolare in assenza di regolamentazione del rapporto ai sensi dell’art. 28 GDPR.
Conseguenza logica è dunque che, in carenza di valida regolamentazione mediante un accordo, tanto la comunicazione dei dati personali effettuata dal titolare verso il responsabile quanto le operazioni da quest’ultimo svolte su tali dati debbano trovare il proprio fondamento su una base giuridica valida fra quelle indicate dall’art. 6 GDPR. Altrimenti, viene violato il principio di liceità con separate conseguenze sanzionatorie nei confronti di entrambi i soggetti.
