Le Pubbliche Amministrazioni sono tra i principali destinatari del GDPR. Vista la mole di dati dei cittadini che gli Enti Pubblici sono chiamati a gestire ogni giorno, c’era da aspettarselo che saltassero fuori dei casi di trattamento dei dati poco conformi alla normativa.
In questo articolo riportiamo 3 casi di violazioni da parte delle PA.
GDPR scuole: esempio scuola ad Anzio
Un primo interessante caso risale a maggio 2019 e vede come protagonista la Dirigente scolastica di un Istituto Professionale di Stato ad Anzio che ha acconsentito alla pubblicazione sul sito internet della scuola di una circolare interna che serviva a convocare un gruppo di lavoro composto da studenti minori affetti da disabilità.
La messa online dell’elenco ha reso di dominio pubblico il fatto che gli studenti citati fossero affetti da disabilità. In sostanza la dirigente ha autorizzato la pubblicazione di dati relativi allo stato di salute dei propri allievi, violando di fatto il GDPR.
Il Garante della Privacy ha quindi sanzionato l’istituto per violazione dell’art. 22, c. 8, D.lgs. n. 196/2013 per una somma pari a 20.000 euro. Successivamente, lo Stato ha chiesto i danni alla Dirigente.
GDPR Enti Pubblici: l’esempio della Regione Calabria
Esempio analogo si è verificato in Calabria. Questa volta però gli attori chiamati in causa sono la Regione Calabria e una sua dipendente, che accusava una scarsa tutela nel trattamento di dati personali relativi alla sua salute.
A seguito di tale accusa è intervenuta l’Autorità Garante che ha confermato il mancato rispetto delle misure minime in materia di conservazione dei dati personali. Nello specifico, è stata riscontrata la mancata designazione degli incaricati al trattamento dei dati, cosa che è costata una sanzione pecuniaria di 60.000 euro. A tale somma si aggiungono anche altri 20.000 euro per un tardivo riscontro alla richiesta di informazioni da parte dell’Autorità Garante.
Come nel caso visto precedentemente, anche qui lo Stato ha fatto valere la responsabilità risarcitoria erariale nei confronti dell’allora Presidente della Regione per un valore di 66.000 (rispetto agli 80.000 totali alla Regione Calabria).
GDPR Pubblica Amministrazione: esempio pubblicazione su albo
Atro caso ancora, sempre attinente alla diffusione di dati personali sulla salute. Questa volta l’Ente “colpevole” è un comune che ha reso pubblici su albo pretorio informazioni sensibili sulla patologia di cui è affetto un cittadino.
L’atto in questione è un’istanza per il riconoscimento della patologia stessa, solo che oltre alle informazioni sulla salute, sono state rese pubbliche anche le coordinate bancarie dell’avvocato per la liquidazione delle spese del procedimento.
La violazione sembrerebbe dovuta ad una lacuna procedurale che ha portato il personale a commettere un errore materiale… errore che però è costato al comune una sanzione amministrativa di 10.000 euro.
Cosa ci insegnano tutti questi casi?
L’elemento che accomuna i 3 esempi visti di sanzioni GDPR è la mancanza di procedure ben definite e conformi con le linee guida sul trattamento dei dati. Operazioni esecutive sottovalutate? Dimenticanze? Sbagli in buona fede? Il GDPR non ammette nessun genere di errore, soprattutto se il trattamento dei dati è contestualizzato nello svolgimento delle attività del settore pubblico.
Dall’analisi della natura dei dati trattati, passando per l’individuazione di procedure ad hoc, fino all’attribuzione corretta di ruoli e responsabilità, servono professionalità ed esperienza per arrivare ad essere GDPR compliant.