NEWS

La privacy nel comparto della Pubblica Amministrazione a quattro anni dall'introduzione del Gdpr

A quattro anni dall’entrata in vigore del GDPR, può risultare interessante effettuare una analisi degli interventi delle Autorità Garanti per trarne delle indicazioni, delle lesson learned utili per i diversi attori per operare in maniera consapevole il trattamento dei dati personali. In questa sede si pone l’attenzione sul contesto della Pubblica Amministrazione, che svolge un ruolo primario nell’ecosistema privacy, sia per il rispetto dei diritti dei cittadini, sia per il ruolo propulsivo che può avere nei confronti della sfera privatistica delle nostre società.

A 4 anni dall'introduzione del Gdpr è possibile delineare un quadro sugli impatti privacy nella pubblica amministrazione

Nell’analisi verrà generalmente considerato il settore P.A. in senso stretto, escludendo quello sanitario in genere considerato autonomamente nelle analisi di settore (ancorché quella pubblica in Paesi come l’Italia è molto rilevante e su cui ci si riserva di fare analisi apposite).

Quali fonti per l’analisi comparativa? Per avere cognizione delle questioni affrontate dai Garanti privacy nazionali, le Relazioni annuali alle Istituzioni nazionali, previste dall’art. 59 del GDPR e “in cui può figurare un elenco delle tipologie di violazioni notificate e di misure adottate a norma dell'articolo 58, paragrafo 2”.

Peraltro, al momento non risultano disponibili banche-dati pubbliche che, analiticamente, diano conto dell’esercizio dei poteri correttivi da parte di ciascun Garante.

Occorre inoltre sottolineare che focalizzare l’analisi sulle sole sanzioni pecuniarie, come spesso avviene da parte di diversi osservatori, non è comunque esaustivo del ruolo di guida dei Garanti tramite l’esercizio dei loro poteri atteso che: a) possono esserci provvedimenti non pubblicati e b) andrebbero definiti indicatori circa l’esercizio di poteri correttivi diversi dalle sanzioni pecuniarie.

Infine, occorre anche dire che i provvedimenti dei Garanti, che comportino o meno sanzioni amministrative, possono essere impugnati di fronte all’Autorità giudiziaria e, quindi, anche essere oggetto di eventuale revisione.

Utilizzare il metro monetario delle sanzioni permette comunque di ottenere un parametro indicativo a) della compliance alla privacy dei soggetti esaminati e, specularmente, b) dell’attenzione che vi pongono le Autorità Garanti.

Le sanzioni alla P.A. nei Rapporti di Federprivacy - Alcuni operatori del settore, fra cui Federprivacy, si impegnano per fornire notizia dei provvedimenti più rilevanti e lavori di sintesi: qui si ricordano i due Rapporti dell’Osservatorio Federprivacy sulle sanzioni inerenti agli anni 2019 e 2020, tramite i quali è possibile comunque seguire alcune coordinate generali della situazione.

Come rilevabile nella seguente tabella nel biennio considerato, il numero di fattispecie sanzionate per la componente P.A. crescono con velocità decisamente inferiore (+32%) rispetto alla crescita del totale delle fattispecie sanzionate (+79%) sebbene, in controtendenza al decrescere in valore totale e medio queste ultime, per la P.A. tali valori aumentino, pur restando comunque su livelli assoluti decisamente inferiori a quelli totali.

 Elaborazione su dati Federprivacy - BFA: Banca, Finanza, Assicurazioni

Una banca-dati open access, come utile riferimento - Una banca-dati analitica disponibile al pubblico è rappresentata dal portale impiantato da CMS Legal Services EEIG, Gruppo Europeo di Interesse Economico che coordina gli Studi Associati CMS, con sede principale a Francoforte. Il portale, oltre a pubblicare periodicamente un documento sulle dinamiche che attengono la privacy nell’area GDPR, mette a disposizione un registro in cui sono singolarmente raccolte, con note sintetiche, le sanzioni emanate dalle Autorità Garanti, dal maggio 2018, dei paesi SEE (27 UE oltre a Islanda, Liechtenstein e Norvegia) e della Gran Bretagna; di tali paesi solo la Slovenia non ha elaborato una nuova legislazione per recepire il GDPR, ma il relativo Governo ha recentemente definito un disegno di legge in tal senso.

I dati sulle sanzioni vengono periodicamente aggiornati anche sulla base di segnalazioni di esperti e persone interessate alla materia (tant’è che su indicazione dello scrivente è stato inserito l’evento censito come ETid-1278. L’ETiD specifica in ordine progressivo gli eventi inseriti e per ciascuno di essi vi è un link al provvedimento dell’Autorità Garante; l’elenco è sottoposto ad alimentazione continua).

Le sanzioni alla P.A. in Europa - In tale database, il settore Pubblica Amministrazione viene censito assieme a quello Istruzione che, nelle statistiche elaborate a inizio luglio 2022 sui 1165 ad allora censiti, si colloca, rispetto alla somma cumulata dei provvedimenti sanzionatori dei Garanti pari a 1165 per un totale di 1.667.339.836 euro):

i) nella settima posizione come importo complessivo di sanzioni (18.921.563 euro pari all’1,1% del totale)
ii) nella terza posizione come numero di sanzioni (153 pari al 13% del totale), con un importo medio per sanzione di 124.418 euro (pari all’8,7% rispetto alla media di 1.425.300 euro per quelle totali).

Da tali dati come indicazione di tenore generale può desumersi che la non-compliance del comparto in cui è inclusa la Pubblica Amministrazione, stimata col metro economico della sanzione economica, si mantiene entro margini di più contenuta lesione della privacy rispetto ad altri settori; quelli con maggior numero di sanzioni, per importi totali oltre ai 100 mln di euro sono: Industry and Commerce con 274 sanzioni per 825.705.322 euro e Media, Telecoms and Broadcasting con 191 sanzioni per 623.773.741 euro.

Con riguardo alle sanzioni più rilevanti nei confronti della Pubblica Amministrazione, è censito un numero contenuto di sanzioni superiori alla soglia del milione di euro, comminate da 3 Autorità Garanti:

- due comminate dal medesimo Garante nei confronti i) dell’Amministrazione fiscale e doganale per aver impostato un database che raccoglieva indizi di frode per 270.000 nominativi, ritenuto privo di base giuridica, contenente errori e non adeguatamente protetto da misure di sicurezza (3.700.000 euro – cfr evento ETiD-1124) e ii) del Ministero delle Finanze per un trattamento connesso all’erogazione di sussidi per l’infanzia ritenuto senza base giuridica e discriminatorio (2.750.000 euro – cfr evento ETiD-946);
- una comminata verso l’Amministrazione della Capitale per un trattamento dati inerenti a manifestazioni ritenuto oltre che senza base giuridica, in contrasto con diverse altre norme del GDPR (1.250.000 euro – cfr evento ETiD-995);
- una comminata al Servizio di consulenza medica telefonica, per un trattamento dati ritenuto non adeguatamente protetto, effettuato con il ricorso a una controparte non idonea e in assenza di idonea informativa agli interessati (1.200.000 euro – cfr evento ETiD 718).

Le sanzioni alla P.A. in Italia - Considerando i dati aggiornati al 19 luglio, sui 1278 eventi censiti dalla predetta banca dati, 47 sono riferibili al comparto P.A.-Istruzione. Fra i diversi Paesi, l’Italia si palesa come quello con maggior numero di sanzioni sul totale delle nazioni (47, pari a ca. il 37%), con un arco di variazione delle stesse che va da un minimo di 1.000 verso una Università telematica su istanza di un docente per aver reso pubblici propri dati personali (cfr evento ETiD-1066) a un massimo di 800.000 euro verso una primaria Amministrazione locale, inerente a modalità di trattamento inappropriate per il sistema di gestione dati acquisiti tramite i parchimetri (cfr eventi ETiD-827).

Circa i soggetti interessati da sanzioni, questa la distribuzione:

Tabella ripartizione sanzioni per violazioni del GDPR nella PA

Sul totale complessivo indicato, emergono come soggetti sanzionati: una primaria Amministrazione locale con 5 sanzioni per complessivi euro 1.720.000 (pari al 58% ca. del totale sanzioni per il comparto – cfr ETiD 531, 617, 618, 827, 1278) e uno degli Enti previdenziali e assistenziali – fra i Titolari, in Italia, che tratta dati personali del maggior numero di persone - con tre sanzioni per complessivi euro 317.000 (pari al 10% ca. del totale; per una di queste sanzioni nei mesi scorsi ha avuto esito positivo il suo ricorso nel primo grado di giudizio presso il competente Tribunale).

Un ulteriore indicatore: i data breach - L’andamento degli incidenti di sicurezza mostra un trend tendenzialmente crescente in Italia, come emerge dai dati del Garante (a titolo esemplificativo si riportano anche i dati generali per la Francia, che mostrano volumi maggiori di segnalazioni, pure in forte crescita):



Emerge, dai data breach segnalati, la crescita di quelli nel settore pubblico che può riflettere diverse ipotesi: dalla maggiore trasparenza che deve ispirare la P.A. alla diversa robustezza tecnica dei diversi attori pubblici a seconda delle loro dimensioni, dal ruolo che possono espletare al riguardo i DPO – figura presente per default nella P.A. - alla diversa consistenza e appetibilità dei dati trattati ai diversi livelli della stessa.

Il crescere degli eventi della specie peraltro deve indurre ad attenta riflessione sulla adeguatezza delle misure di sicurezza, tecniche e organizzative.

Da parte sua il Garante, con provvedimento 27 maggio 2021, n. 209 (doc. web n. 9667201), ha messo a disposizione dei Titolari un tool telematico per agevolare l’autovalutazione e la notifica delle violazioni dei dati personali, nonché l’individuazione delle informazioni.

Prime considerazioni - Sulla base di questi dati, tenendo anche conto che la sanzione media in Italia è stata di circa 63.000 euro, inferiore a quella media di settore in Europa (come detto pari a 124.418 euro), si potrebbero trarre queste prime indicazioni: cresce il fenomeno delle violazioni rilevate ai dati personali gestiti e quindi crescente deve essere l’azione per la messa in sicurezza degli stessi; il Garante italiano è molto attento verso l’osservanza della privacy nel settore pubblico e alla calibrazione delle sanzioni; il fatto che una Organizzazione (ed Enti collegati) assorba oltre il 50% delle sanzioni può essere frutto della complessità che connota la sua struttura e, in particolare, il trattamento dei dati connessi alla mobilità, cui sono riferibili tre delle sanzioni (una come detto per i parchimetri e due per la gestione degli accessi alla ZTL).

Circa l’importo delle sanzioni, c’è da aggiungere che, una volta entrate in vigore anche le nuove Guidelines 04/2022 on the calculation of administrative fines under the GDPR, la comparabilità del metro sanzionatorio monetario fra ciò che avviene nei diversi Paesi dovrebbe tendenzialmente aumentare.

Indicazioni conclusive - Come detto in premessa, sarebbe auspicabile che quanto sino ad ora avvenuto possa essere messo a frutto dai Titolari del trattamento del settore pubblico. E’ in conclusione interesse di tutti che vi sia una crescita sostenibile di un comparto così importante per l’economia e la società, per la democrazia economica e sociale e, quindi, che le relazioni in essere e le innovazioni che lo connotano oggi e domani siano governate anche con riguardo alle implicazioni per i cittadini-utenti per garantire correttezza, trasparenza, equità.

Noi continueremo a seguire il settore, auspicando che i diversi attori dell’ecosistema privacy mettano a disposizione di interessati e studiosi, in formato possibilmente editabile, i dati inerenti all’applicazione delle norme sulla privacy al fine di consentire la possibilità di un ampio e propositivo dibattito utile alla crescita positiva dell’ecosistema della privacy. 

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Integrazione tra la normativa sulla protezione dei dati ed il Dlgs 231/2001
Next Dall'AgID le nuove Linee Guida di design per i siti internet e i servizi web della Pubblica Amministrazione

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy