NEWS

Sanzioni Gdpr e altre penalità per inottemperanze della Pubblica Amministrazione: spunti per scenari futuribili

Applicando la regola delle 5 W del giornalismo anglosassone ecco di cosa intendiamo parlare: What: che accade se la gestione della privacy non è GDPR compliant? Who: se ad essere interessata è una entità pubblica? Where: se, in particolare, accade in Italia, When: dal 25 maggio 2018, Why: se si verifica un data breach o se il Garante accerta un mancato rispetto delle previsioni per trattamenti di dati personali non lesivi dei diritti degli interessati? La normativa europea e nazionale in tema di privacy disegnano per la P.A. un assetto più articolato e dotato di maggiore “elasticità” nel definire il campo di gioco per il trattamento dei dati personali.

Pubblica Amministrazione e GDPR: ancora molte cose da fare a distanza di oltre 4 anni dall'entrata in vigore del Regolamento UE

Basti pensare da un lato all’obbligo di dotarsi di un consulente e supervisore dell’architettura privacy ovvero il Responsabile per la protezione dei dati (DPO, artt. 37 - 39 GDPR) e dall’altro, dalle disposizioni del Codice Privacy aggiornate con il c.d. “Decreto Capienze” convertito dalla legge 205/2021, inerenti fra l’altro alla base giuridica dei trattamenti (cfr art. 2-ter e, per i dati particolari, 2-sexies), che la P.A. può eseguire anche facendo leva su “atti amministrativi generali” o “se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti”, nel rispetto comunque delle altre previsioni del GDPR.

In teoria dovrebbe essere quindi del tutto residuale l’eventualità che possano verificarsi incidenti (data breach o near miss) ovvero mancanza di base giuridica per i trattamenti eseguiti. In pratica non è così e numerosi interventi dei Garanti, sanzionatori o per data breach trattati, lo testimoniano.

In questa sede ci si sofferma su ulteriori dimensioni delle sanzioni comminate per inottemperanze alle norme europee ed italiane sulla privacy. In primo luogo va considerata la possibile “trasmigrazione” degli effetti sanzionatori dall’Ente che ne venisse colpito ai responsabili delle decisioni/omissioni a base della sanzione, se chiamati in causa per danno erariale.

Al riguardo ci sono stati nel tempo interventi di autorevoli esperti, basti qui citare che già nel 2020 Antonio Ciccio Messina aveva trattato l’argomento in “Se il dirigente o l'amministratore della Pubblica Amministrazione sono negligenti devono pagare di tasca propria la sanzione del Garante per la Privacy”.

Su tale argomento rammentiamo ora, come spunto di riflessione, la revisione temporanea delle disposizioni sul danno erariale, per ovviare al fenomeno definito della “paura di firmare”, connesso all’esigenza di favorire la funzionalità della macchina amministrativa, limitatamente alle previsioni che – sino al 2023 – dispongono i) che «la prova del dolo richiede la dimostrazione della volontà dell'evento dannoso» e ii) la limitazione della responsabilità amministrativo-contabile, per i fatti commessi dall’entrata in vigore del decreto semplificazioni (17 luglio 2020) fino al 30 giugno 2023, solo per quelli commessi con dolo.

C’è da stare più tranquilli quindi per i pubblici amministratori? Sicuramente sì per chi è attento in maniera sostanziale alla privacy ma meno per gli Enti che non lo sono in quanto, come chiarito anche dal GDPR, resta in ballo anche la responsabilità civile per Titolari e Responsabili del trattamento. Anche questa, peraltro, con effetti in termini di danno erariale.

Ma c’è qualcosa d’altro, che si potrebbe ipoteticamente riverberare in questo caso anche sul Data Protection Officer: se, ai sensi del GDPR, non è responsabile delle scelte dell’Ente e se ciò dovrebbe salvaguardarlo a ben vedere da chiamate in causa per danno erariale, nondimeno a) il Titolare – Responsabile del trattamento potrebbe avanzare nei suoi confronti pretese risarcitorie ancorché facendo leva sulla responsabilità contrattuale, eccependo ad esso inadempimenti rispetto al compito assegnato e b) l’interessato danneggiato potrebbe chiamare in causa il DPO per dolo o colpa grave nella causazione dell’evento dannoso ex art. 2043 cc. Siamo nella teoria, è bene ribadirlo. Ma la realtà a volte supera la fantasia.

Ma, con immaginazione molto vicina al reale, chiudiamo richiamando e rimandando ai molti casi ipotizzati da Ciccia Messina in “DPO su un campo minato: sono almeno 20 i possibili casi di violazioni” (a carico del Titolare / Responsabile del trattamento) su Federprivacy, in cui inoltre aggiunge, come spunto alla discussione, “Quanto regga la tesi dell’incompatibilità dell’articolo della legge 689/1981 con lo ‘statuto della privacy’ (composto da Gdpr e Codice della Privacy), ce lo diranno gli interventi, futuri, di autorità garanti e giudici”.

Aggiungerei a quello un ulteriore spunto alla discussione: ma se il DPO è consapevole (come dovrebbe esserlo) che i) per gli incarichi interni e/o esterni che ricopre e/o ii) per il livello delle sue competenze non potrebbe ragionevolmente, a motivo della natura degli incarichi e/o numerosità degli enti presso cui è DPO, essere in grado di adempiere correttamente e integralmente alle previsioni contrattuali (mirror del GDPR) non potrebbe essere ritenuto quantomeno responsabile solidale con il Titolare / Responsabile del trattamento?

Per fare un esempio concreto, se una Pubblica Amministrazione del Lussemburgo svolgesse trattamenti di dati personali complessi e nominasse domani come DPO un professionista con meno di tre anni di esperienza in campo privacy - periodo che lo stesso Garante Lussemburghese ha dichiarato essere necessario per un Ente complesso - tale professionista sarebbe esente da sanzioni GDPR ma lo sarebbe da eventuali chiamate in causa per danno erariale (se ci fosse in Lussemburgo una norma analoga a quella italiana), mentre nulla quaestio per la sua possibile chiamata in causa per presunti danni da parte di un interessato ai fini del relativo risarcimento. E mettiamo che ciò accadesse oggi in Italia, e la Corte dei Conti nel caso di sanzioni GDPR chiamasse in causa (anche) il DPO, reggerebbe per lui lo scudo GDPR (per semplicità astraendo dalle limitazioni temporali alla norma sulla responsabilità per danno erariale sopra citate)?

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Quando installare una fotocamera finta a scopo deterrente non è lecito ed espone a rischi di richieste di risarcimenti
Next Spazio europeo dei dati sanitari: il parere dei garanti dell’UE sulla proposta di regolamento

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy