ADEMPIMENTI PRIVACY

Il trattamento dei dati particolari nelle aziende e nella PA: regole pratiche alla luce del GDPR

Il rischio di sanzioni è elevato, nel caso di un errato trattamento dei dati particolari nei settori privato e pubblico (aziende e PA): per non sbagliare, è necessario approfondire cosa prevede la normativa privacy

24 Giu 2020
P
Rosario Palumbo

Giurista d'impresa, Data protection specialist


Il trattamento dei dati particolari da parte di aziende e pubbliche amministrazioni deve essere svolto in adeguamento al GDPR. Ecco tutte le regole per non incorrere in sanzioni.

Premessa: l’adeguamento della PA e delle aziende

In ragione dei molteplici dati di cui dispone e la delicatezza degli ambiti in cui opera, la PA non è solo la destinataria principale degli obblighi stabiliti dal legislatore eurounitario (GDPR) ma costituisce, per così dire, un banco di prova dell’effettività del diritto alla protezione dei dati personali quale diritto fondamentale dell’Unione Europea. E che la protezione dei dati personali non rimanga un mero enunciato giuridico nel panorama dei diritti costituzionali dei cittadini europei.

Le recenti notizie riportate dalla cronaca non sono confortanti. Un brevissimo elenco dei soggetti che operano nel perimetro pubblico coinvolti in incidenti di sicurezza, ed i relativi disservizi arrecati agli interessati, è utile per rappresentare la criticità della situazione attuale:

  • Comune di Aprilia
  • IREN
  • Comune di Priverno
  • Ordine avvocati
  • NoiPa
  • Comune di Spoleto
  • Unisi
  • UniBasilicata
  • Roma tre

Le sanzioni del Garante privacy finora irrogate sono esemplificative, e con l’imminente (auspicabile) rinnovo del Collegio saranno forse esemplari anche per il settore pubblico.

Come riportato dall’Osservatorio di Federprivacy “già alla fine del primo semestre del 2019 il Garante aveva proceduto all’iscrizione a ruolo di 779 contravventori con una riscossione complessiva prevista di circa 11 milioni di euro […] ed i settori che risultano più colpiti sono la pubblica amministrazione con il 17% del totale delle multe”.

La percentuale di Comuni italiani che si sono adeguati al GDPR è molto bassa. In una provincia italiana[1], ad esempio, notiamo che la percentuale di Comuni che ha pubblicato il nominativo del DPO sul proprio sito web è del 37,5%. Ed il 22% dei Comuni ha nominato un DPO che ha sede in un’altra regione italiana.

Ben il 62,5% non ha ritenuto di dover rendere noti i dati di contatto del RPD. Un Comune ha designato il Sindaco della città come DPO. Un altro Comune ha ritirato la manifestazione di interesse per “indisponibilità di risorse finanziarie e sopravvenuta non convenienza economica”. Inviando questa comunicazione tramite e-mail a tutti gli operatori – alcuni dei quali avevano fornito e-mail nominative – in maniera visibile e non personalizzata. È grande la confusione sotto il cielo.

Le difficoltà di implementazione di misure di sicurezza adeguate da parte della PA sono ben visibili. Ma a colpire è l’aspetto culturale, nel senso di una mancanza di una sensibilità in materia da parte dei dipendenti.

Ad esempio, il recente ammonimento alla Provincia di Trento da parte del Garante privacy mette in luce l’importanza del fattore umano (c.d. human firewall) e la formazione del personale come elemento di mitigazione del rischio.

Dal canto loro, le aziende non hanno minori problematiche rispetto a quelle incontrate dalla PA, ma visto la dimensione (medio piccola) che caratterizza il ns tessuto imprenditoriale, non disponiamo di dati facilmente reperibili ed affidabili da cui emergano le conseguenti difficoltà di adeguamento.

Ma da operatori possiamo constatare la difficoltà a far passare il messaggio che la “privacy” non termina con la redazione di qualche documento – alcuni di dubbia qualità specie se standardizzati – ma deve entrare nei processi aziendali, tutti.

Ebbene, dopo avere illustrato il concetto di dato particolare nel prosieguo dell’articolo esamineremo le regole, cogenti, che la PA e le aziende devono rispettare per poter lecitamente procedere al trattamento di dati particolari.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

In conclusione, i rischi per la PA e le aziende al di là delle salatissime sanzioni irrogabili dal Garante privacy: il danno erariale e il risarcimento del danno, in sede giurisdizionale, da parte degli interessati.

Il concetto di dato particolare

Com’è noto, per dato particolare si intende dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Trovare una base giuridica legittima è fondamentale per le aziende e per la PA in quanto il Legislatore eurounitario ha disposto il generale divieto di trattamento indicando tassativamente le deroghe al suddetto divieto generale.

Il principio di legalità

Il trattamento di dati particolari da parte della PA, così come previsto dall’art. 9, par. 2, lett. g) GDPR, è ammesso solo se è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Il Legislatore nazionale, mediante il D.lgs. 101/18, ha previsto all’art. 2 sexies, rubricato “Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante” che:

“I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:

  • accesso a documenti amministrativi e accesso civico;
  • tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero, e delle liste elettorali, nonché’ rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità;
  • tenuta di registri pubblici relativi a beni immobili o mobili;
  • tenuta dell’anagrafe nazionale degli abilitati alla guida e dell’archivio nazionale dei veicoli;
  • cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
  • elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché’ documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell’attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari; Garante per la protezione dei dati personali 7
  • esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonché’ l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche;
  • svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo;
  • attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
  • attività di controllo e ispettive;
  • concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
  • conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonché’ rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d’onore e ammissione a cerimonie ed incontri istituzionali;
  • rapporti tra i soggetti pubblici e gli enti del terzo settore;
  • obiezione di coscienza;
  • attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
  • rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
  • attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
  • attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
  • compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché’ compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
  • programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
  • vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria; aa) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili; bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario; cc) trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati Garante per la protezione dei dati personali 8 dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica, nonché’ per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan); dd) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell’ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva”.

Occorre evidenziare che tale elenco deve intendersi come esemplificativo e non esaustivo ed il riferimento alla base giuridica dell’interesse pubblico rilevante un forte ancoraggio al principio di legalità sostanziale.

Il trattamento di dati particolari da parte delle aziende

Per quanto attiene alle aziende, ci occuperemo di quelle che operano nel settore economico-produttivo, ad esclusione quindi del settore sanitario.

Ebbene, prima di procedere al trattamento di dati particolari tali aziende devono rispettare il principio di minimizzazione. Con tale principio si intende che non si possono, ad esempio, raccogliere e conservare più di quei dati personali che sono necessari per mettermi in regola con il mio fornitore/committente/cliente.

Si deve osservare la seguente regola: quali dati personali mi sono necessari per dare seguito alla mia commessa/servizio? I dati eccedenti, semplicemente, non devo trattarli.

A ben vedere, nell’ambito del diritto contrattuale, il principio di minimizzazione si atteggia come un formante legislativo di matrice europea, depurando lo strumento contrattuale già nella fase preliminare di tutti quei dati personali “sovrabbondanti” e quindi non necessari rispetto all’oggetto del contratto.

Ebbene, quali potrebbero essere i casi concreti di trattamento di dati particolari da parte delle aziende? Nelle linee guida sul consenso ai sensi del regolamento (UE) 2016/679 redatto a cura del WP29, ad esempio, si indica il seguente.

Un’azienda di successo è specializzata nella fornitura di occhiali da sci e da snowboard su misura e altri tipi di occhiali personalizzati per gli sport all’aria aperta.

L’idea è che le persone possano indossare tali occhiali senza dover portare anche gli occhiali da vista. La società riceve ordini presso un punto centrale e consegna prodotti in tutta l’UE a partire da un’unica sede. Per poter fornire i propri prodotti personalizzati ai clienti miopi, tale titolare del trattamento richiede il consenso all’uso delle informazioni sulle condizioni di vista dei clienti. I clienti forniscono i dati sanitari necessari – ad esempio i dati della loro prescrizione – online quando effettuano l’ordine.

Senza questi dati non sarebbe possibile fornire gli occhiali personalizzati richiesti. L’azienda offre anche una serie di occhiali con valori correttivi standardizzati. I clienti che non desiderano condividere i dati sanitari possono optare quindi per le versioni standard.

Di conseguenza, nel caso di specie, è richiesto un consenso esplicito ai sensi dell’articolo 9 e il consenso può essere considerato come espresso liberamente. Come ben riportato dal WP29, l’articolo 9, paragrafo 2, non riconosce il trattamento “necessario all’esecuzione di un contratto” come un’eccezione al divieto generale di trattare categorie particolari di dati.

Di conseguenza i titolari del trattamento e gli Stati membri che rientrano nel contesto di applicazione di tale circostanza dovrebbero esaminare le eccezioni specifiche di cui all’articolo 9, paragrafo 2, lettere da b) a j).

Conclusioni

Tanto la pubblica amministrazione quanto le aziende private, in particolare B2C, debbono ineludibilmente confrontarsi la normativa rilevante in materia di protezione dei dati personali. Tale attenzione deve essere rigorosa se i dati trattati appartengono alla categoria di “dati particolari”.

I rischi concreti sono quelli di una richiesta di risarcimento del danno da parte degli interessati ad esempio, come accaduto, per una illecita diffusione di dati sanitari e del rischio di una contestazione di un danno erariale per il comparto pubblico.

Di conseguenza, devono essere implementate misure tecniche ed organizzative idonee, deve essere applicato il concetto di digitalizzazione ed altresì valutare la conformità con il dettato normativo per una governance digitale ed una sicurezza in termini di riservatezza, integrità e disponibilità dei dati dei propri concittadini e dei propri clienti al fine di conseguire un aumento della fiducia nel mercato unico digitale paneuropeo dei dati.

NOTE

  1. Indagine effettuata il 01/01/2020 analizzando i siti web pubblici dei Comuni appartenenti ad un’unica Provincia.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5