Il Garante per la privacy non perde occasione per ricordare alle pubbliche amministrazioni di trattare in modo corretto i dati personali degli utenti, al fine di garantirne la piena tutela.
È successo anche qualche giorno fa durante la presentazione della Relazione annuale 2020, nella quale l’Autorità ha richiamato le amministrazioni ad evitare diffusioni illecite di dati personali e a contemperare agli obblighi di pubblicità degli atti e di dignità delle persone.
Tale sollecitazione è dovuta al fatto che, a partire dal 2020 e fino al primo quadrimestre del 2021, oltre il 71% delle sanzioni per violazioni della privacy hanno riguardato enti pubblici.
A preoccupare in particolare è la capillare diffusione delle infrazioni, ripartita in egual misura tra amministrazioni centrali ed enti locali.
Tra le PA coinvolte compaiono l’Arma dei Carabinieri, il Ministero dell’interno, e ancora scuole e università, ospedali e aziende sanitarie, fino ad arrivare ai comuni, che si aggiudicano il “primo posto” con un numero di sanzioni inflitte pari al 31%.
Il Garante, nella propria relazione, ha affermato nello specifico di aver ricevuto numerosi reclami e segnalazioni aventi oggetto la pubblicazione sui siti web istituzionali delle scuole di dati personali riguardanti alunni e personale dipendente in assenza di una base giuridica idonea a giustificare tale diffusione.
L’Autorità ha perciò censurato il comportamento di diversi istituti che hanno pubblicato sul proprio sito web dati personali che non avrebbero dovuto essere diffusi.
Principali criticità nell’era del GDPR
Il GDPR, pur essendo pienamente operativo dal 25 maggio 2018, non è ancora riuscito a disporre una vera e propria unificazione regolamentare in materia di tutela e protezione della privacy e dei dati personali.
Un’autentica “crisi da innesto” di un quadro normativo che, per quanto sulla carta univoco, appare al contrario estremamente generico, specie se applicato in contesti nazionali molto diversi tra di loro.
In questi anni, da quando cioè è entrato in vigore il GDPR, sono emerse particolari difficoltà – specie da parte dei titolari di trattamento – ad implementare un valido ed efficace sistema di gestione della privacy.
Questo vale sia per le pubbliche amministrazioni che per le imprese, nel cui ambito sono stati sanzionati operatori della ristorazione, dei trasporti, delle telecomunicazioni e del marketing, senza tralasciare quelli impiegati nella piccola e grande distribuzione.
E se questo scenario prevede anche chi, senza porsi alcuno scrupolo, trascura volutamente e sotto la propria responsabilità l’adeguamento alle normative vigenti, di contro c’è anche chi non è in grado di gestire le sfide lanciate dall’accountability menzionata nello stesso GDPR, ovvero da quel principio di “consapevolezza” relativa agli eventuali fattori di rischio che coinvolgono i dati personali raccolti, conservati e trattati, e che potrebbe banalmente essere tradotto come un “ognuno scriva le proprie regole, rapportate alla propria realtà aziendale, in relazione ai principi generali imposti”.
L’assenza di linee guida specifiche e ben definite, ha da un lato lasciato ampio spazio all’autonomia nella pianificazione degli adempimenti e dell’adeguamento legato alla privacy, mentre dall’altro ha messo in secondo piano tutti coloro che confidavano nella propensione da parte del legislatore di assegnare regole precise, mirate e dirette.
Gli errori da evitare e le possibili soluzioni
L’errore più comune riscontrato fino ad oggi da parte delle pubbliche amministrazioni – così come dei privati – è generalmente rappresentato dalla pubblicazione sul proprio sito web istituzionale di dati personali in difetto di un obbligo di legge, quando in realtà la diffusione di tali informazioni da parte di soggetti pubblici può avvenire solo in base a una norma di legge o nei casi previsti dal Regolamento Europeo (specie quando si fa riferimento al contesto web).
Fondamentale è dunque attenersi alle Linee Guida dell’Autorità Garante “La trasparenza sui siti web delle PA”: all’interno del documento sono infatti elencati i principi, i riferimenti normativi e i casi pratici che possono essere utilizzati come riferimento.
Al contempo, può essere altrettanto utile per le pubbliche amministrazioni imparare ad acquisire maggiore familiarità col principio di “minimizzazione” dei dati.
Generalmente, infatti, atti e documenti amministrativi prevedono una notevole quantità di informazioni personali spesso non necessarie: limitarne l’utilizzo rispetto alle finalità può senza alcun dubbio aiutare a non commettere errori.
Imprescindibile, poi, appare ad oggi il coinvolgimento del DPO, ossia il Responsabile della protezione dei dati personali, che può fornire consulenza alla scuola circa i documenti e le informazioni che possono essere pubblicate sul sito web per finalità di trasparenza amministrativa, e che non comportano una violazione della privacy del soggetto interessato.