GDPR e trattamento dei dati personali e sensibili nella Pubblica Amministrazione

MICHELE Gorga 05/09/18
Amministrazioni ed Enti Locali a velocità e a rischio differenziato. Da un lato quelle che stanno procedendo speditamente, con l’ausilio del Responsabile alla protezione dei dati, all’adeguamento alla normativa del GDPR, dall’altro quelle che, invece, a forte rischio responsabilità (amministrativa, civile, penale, contabile) stanno procedendo a fari spenti dal 25 maggio scorso, data di entrata in vigore del Regolamento europeo sulla protezione dei dati personali, perché hanno ignorato l’obbligo di nomina del Data Protection Officer (DPO) e continuano a trattare i dati personali e i dati sensibili in modo inconsapevole e, quindi, in violazione dei principi del GDPR.
Il divieto di trattare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, è fissato all’art. 9 del Reg. UE 2016/679 ma, nonostante il divieto, si continua a raccogliere dati per le più diverse attività che la normativa ha allocato in capo agli Enti Locali senza alcuna differenziazione e, quindi, senza predisporre misure idonee per proteggerli.
Posto che le amministrazioni sono del tutto o largamente inconsapevoli che qualsiasi informazione riguardante una persona fisica identificata o identificabile direttamente o indirettamente con: nome, numero di identificazione, dati relativi all’ubicazione, identificativo online ( indirizzo; Indirizzo email; Indirizzo IP), uno o più elementi caratteristici della sua identità fisica (origini razziale o etnica), fisiologica, genetica, psichica (Informazioni sanitarie e sulla identità sessuale o di genere) economica, culturale o sociale (opinioni politiche; credenze religiose) è, ai sensi del GDPR 2016/679 e dell’art. 15 d.lgs. 30 giugno 2003, n. 196, attività tipicamente pericolosa sotto il profilo civilistico; è pertanto utile illustrare le conseguenze di una tale colposa trattazione dei dati personali e sensibili, illecita non solo se esterna dell’Ente, ma anche se posta in essere internamente alla struttura degli stessi uffici o servizi degli Enti stessi se e in quanto effettuata in violazione dei principi della minimizzazione e della riservatezza.
Conseguentemente, nei casi di violazione della normativa sul trattamento dei dati personali, il titolare e con lo stesso, eventualmente, gli obbligati in via solidale quali il responsabile al trattamento e l’incaricato al trattamento, saranno chiamati a rispondere, sotto il profilo del risarcimento dei danni cagionati per effetto del trattamento dei dati personali, che sono assoggettati alla disciplina di cui all’art. 2050 c.c., che attiene alla responsabilità per attività pericolose. La conseguenza, sotto il profilo probatorio, sarà che il danneggiato avrà solo l’onere di provare il danno e il nesso di causalità tra questo e l’attività posta in essere dal titolare che ha trattato o fatto trattare i dati personali, mentre quest’ultimo dovrà dimostrare di aver adottato tutte le misure idonee volte a evitare il danno.

Trattamento dei dati personali da parte delle Pubbliche Amministrazioni

Lo spartiacque per le amministrazioni pubbliche sarà proprio quello di dover dimostrare di aver adottato tutte le misure idonee volte ad evitare il danno. Misure consistenti sia nell’avere nominato il Data Protection Officer che nell’aver adottato le misure volte all’adeguamento alla normativa del GDPR 2016/679 e del d.lgs. 30 giugno 2003, n. 196 e ss.mm. ii., misure che gran parte degli Enti locali non ha adottato o adottato in maniera molto fantasiosa mediante personale interno, privo della relativa formazione e indipendenza, o attingendo all’esterno, mediante reclutamento di personale secondo procedure non trasparenti e o per clientelismo politico e quasi sempre in violazione delle procedure previste dall’art. 26, comma 3, della Legge 23/12/1999 n. 488 e dell’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135, che comminano la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione dalle centrali di committenza.
Sotto il profilo delle sanzioni amministrative pecuniarie proprio le amministrazioni che hanno reclutato in violazione di legge i DPO potrebbero ricevere la visita della Guardia di finanza che è stata chiamata a effettuare i controlli programmati dall’Ufficio del Garante sulla base del protocollo d’intesa stipulato il 10 marzo 2016, protocollo che fissa i principi e i criteri alla base dell’attività ispettiva della GdF presso amministrazioni pubbliche che effettuano il trattamento di dati.
L’accertamento delle inadempienza porterebbe alla luce la violazione dell’art. 82 del Regolamento 2016/679, il quale prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Norma che, letta con il disposto dell’art. 2050 c.c., che disciplina la responsabilità per l’esercizio di attività pericolose, obbliga chi ha cagionato il danno, nello svolgimento di un’attività pericolosa, al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.
Allo stato dell’arte molte amministrazioni non potranno affatto dare tale prova perché ancora non si sono adeguate al GDR.

Volume consigliato

MICHELE Gorga

Scrivi un commento

Accedi per poter inserire un commento