Privacy, prima sanzione (a un Comune polacco) per violazione del Gdpr

Non ci sono scuse. Questo è il monito che ci viene dalla Polonia, dove il responsabile della protezione dati del Comune di Aleksandròw Kujawski, un paese di circa 11.000 anime, ha comminato al sindaco una sanzione di ben 40.000 euro. La sanzione è arrivata in ragione del fatto che il Comune non è stato in grado di dimostrare l'adempimento dell'articolo 28 del regolamento Ue 2016/279 con cui il Gdpr stabilisce che il trattamento di dati da parte di soggetti esterni al titolare, compiuto per conto dello stesso, deve essere disciplinato in un accordo a parte, dove siano definiti gli elementi essenziali richiesti dalla norma, quali la finalità del trattamento, le categorie di interessati, nonché obblighi e diritti sia del titolare che del responsabile del trattamento.

Il Comune polacco, nell'esternalizzare il servizio di gestione del Bulletin of Public Information, strumento istituzionale che permette l'accesso a informazioni pubbliche, dati pubblici, beni pubblici detenuti da enti pubblici e da soggetti privati che esercitano compiti pubblici, sindacati e partiti politici, non avendo sottoscritto un accordo per nominare il gestore quale responsabile del trattamento non aveva operato una conseguente verifica delle modalità di gestione dei dati da parte del gestore, dacché sono emerse diverse violazioni da cui è scaturita la sanzione finale.

Il caso riporta ancora una volta in evidenza il fatto che l'applicazione del Gdpr non consiste nel mero adempimento di obblighi di legge quali formalità di rito ma che la protezione dei dati personali, in quanto diritto fondamentale dell'uomo, esige una esplicita strutturazione organizzativa che mostri la capacità di chi tratta questi dati di limitarne la violazione. Per intenderci, l'istanza di un interessato che richieda la cancellazione dei propri dati personali dal sito internet dell'amministrazione non dovrebbe avere meno solennità di un procedimento secondo la legge 241/1990. La difficoltà per molte amministrazioni sta, tuttavia, proprio nel non considerare adeguatamente il valore della protezione dei dati personali. La considerazione più ricorrente per quel che riguarda, in particolare, il rapporto con i gestori esterni inerisce alla carenza di adeguati sistemi di protezione, in ragione delle ridotte dimensioni aziendali degli stessi. Eppure, l'articolo 28 del Gdpr è molto chiaro nello stabilire che il titolare del trattamento deve ricorrere «unicamente» a responsabili del trattamento che presentino «garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate» a soddisfare i requisiti richiesti dal regolamento. Questo significa che Pmi e terzo settore devono essere accantonati, a discapito, tra l'altro, del favor che gli garantiscono le Direttive 2014/23 e 2014/24? No. Significa semplicemente che anche loro devono adeguarsi. E il fatto che un'amministrazione ponga degli standard di protezione ai gestori esterni non può che favorire un movimento generalizzato di cambiamento.

L'altro aspetto della difficoltà a garantire adeguati livelli di protezione dei dati personali trattati da soggetti esterni all'amministrazione si verifica nella presunta incapacità delle Pa di sostenere ispezioni presso i gestori, legata principalmente a quella concezione deviante dell'esternalizzazione quale momento di spoliazione totale di qualsivoglia responsabilità da parte dell'amministrazione titolare del servizio. L'impostazione adottata dal Gdpr esige, invece, un cambio culturale nella gestione complessiva dei processi aziendali delle pubbliche amministrazioni, anche di quelli esternalizzati. E chi già ha avviato questo cambiamento testimonia una notevole crescita nella concezione organizzativa, progettuale e di controllo, assolutamente in linea con la visione di una Pa in grado di produrre valore pubblico attraverso il superamento della logica adempimentale e dello spauracchio sanzionatorio, nel solco di una diffusa responsabilizzazione.