Guida agli adempimenti su data protection e cybersecurity: sanzioni e responsabilità per gli Enti locali

di LUISA DI GIACOMO*

Nella mia qualità di Data Protection Officer per diversi Enti Locali e Pubbliche Amministrazioni, mi sono imbattuta più volte in amministratori poco attenti che hanno liquidato la questione privacy, ovvero l’adeguamento obbligatorio di tutti gli Enti Locali al Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”) come un balzello burocratico e nulla di più.

Attenzione, perché si tratta di un errore che potrebbe costare molto caro. Non solo per l’importanza intrinseca dei dati, ma anche per l’impianto sanzionatorio che il GDPR porta con sé:
– sanzioni amministrative fino a 20 milioni di Euro (art. 83 GDPR);
– responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82 GDPR).

Peraltro, non si cada nel secondo errore, ovvero che si tratti di una mera responsabilità dell’Ente, in quanto la giurisprudenza ha già chiarito che sussiste responsabilità erariale in tutti i casi in cui la mancata adozione delle misure di sicurezza adeguate abbia determinato un risarcimento al privato danneggiato.
Il GDPR non si presta alla mera “cultura dell’adempimento”, essendo basato sul principio di accountability (“responsabilizzazione”) in virtù del quale il titolare del trattamento è tenuto ad attuare politiche e misure tecniche ed organizzative adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali effettuato è conforme al GDPR (art. 5, par. 2).
Chiarito questo, vediamo dunque quali sono gli adempimenti obbligatori per qualsiasi Pubblica Amministrazione per evitare di incorrere nelle sanzioni e responsabilità che il Regolamento porta con sé.

Definire un ufficio o un soggetto che prenda in carico la tematica GDPR

Le tematiche da affrontare sono molteplici e il GDPR non si riduce a un adeguamento one shot, che una volta fatto rimane scolpito nella pietra ed immutato: si tratta al contrario di una materia in continua evoluzione ed una volta adottato il Modello Organizzativo relativo, esso si estenderà a tutte le attività ed a tutti gli uffici della PA. Per questo motivo, è essenziale che ciascuna amministrazione definisca internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR e, in generale, degli adempimenti da questo previsti (dalla revisione delle informative alla istituzione e tenuta del registro delle attività di trattamento).
Secondariamente, poiché il GDPR non è un menhir che si staglia solitario nella vastità delle norme a cui un Ente Locale è tenuto ad adeguarsi. È essenziale assicurare il coordinamento del processo di adeguamento al GDPR con gli altri adempimenti previsti dalla normativa vigente, in particolare quelli previsti dal Codice dell’Amministrazione Digitale: protezione dei dati, digitalizzazione della PA e sicurezza informatica sono tre pilastri che sostengono tutti insieme lo stesso soffitto. L’unità organizzativa incaricata dell’adeguamento al Regolamento dovrà – ad esempio – coordinarsi con il responsabile della transizione digitale dell’amministrazione, cui l’art. 17 comma 1, d.lgs. n. 82/2005 assegna le funzioni di “indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture”.

Nomina del DPO

Il GDPR prevede, all’art. 37, che le autorità pubbliche e gli organismi di diritto pubblico nominino un DPO – Data Protection Officer (in italiano, RPD o responsabile della protezione dei dati personali). Si tratta di una figura professionale altamente specializzata, che deve possedere requisiti specifici ed in particolare una preparazione ed una formazione adeguata nei temi della data protection e della cybersecurity. Il suo ruolo sarà quello di informare e fornire consulenza sulla corretta applicazione della normativa, curando con particolare attenzione della formazione del personale.
Attenzione: i DPO non rispondono personalmente in caso di inosservanza della normativa, in quanto la responsabilità ricade sempre sul Titolare.
Attenzione due: in base al principio di accountability non è sufficiente nominare formalmente un DPO, magari scelto a caso tra i dipendenti dell’Ente, per aver adempiuto alla norma. La figura del DPO funge da raccordo tra Titolare e Interessati e tra Titolare e Garante e quanto più sarà competente e preparata, tanto più sarà difficile che il Titolare incorra in responsabilità.
Se nominato internamene il DPO non potrà coincidere con l’ufficio preposto alle politiche di data protection e cybersecurity. Se nominato esternamente, oltre ad avere diritto ad un equo compenso ed essere supportato con risorse umane e finanziarie adeguate per svolgere il suo compito, non deve essere trattato alla stregua di consulente. Il DPO fa un mestiere, il consulente privacy ne fa un altro, e controllore e controllato difficilmente possono coincidere.

Registro dei trattamenti, analisi dei rischi, misure di sicurezza

Uno dei principali adempimenti previsto dall’art. 30 del GDPR è quello dell’adozione e dell’aggiornamento continuo di un registro delle attività di trattamento. Si tratta di un documento in cui il Titolare, dopo aver compiuto una adeguata mappatura, con l’ausilio, se necessario, del DPO e del suo privacy team, dovrà descrivere:

  1. il nome e i dati di contatto del titolare del trattamento e del DPO;
  2. le finalità dei vari trattamenti effettuati, che dovranno essere elencati;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  5. i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  6. una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione;

Per quanto riguarda l’ultimo punto, è essenziale rilevare come sia impossibile fare data protection senza entrare nel merito delle misure di cybersicurezza adottate dall’ente. I dati passano nella rete e la rete deve essere sicura.
È quindi obbligatorio effettuare una analisi dei rischi (fisici e informatici, ma soprattutto informatici) ed approntare le misure di protezione tecniche adeguate, anche a seguito di apposito assessment informatico. Non serve a niente, infatti, aver nominato un DPO e aver creato il più bel registro dei trattamenti del mondo, se poi non si ha un firewall a protezione di potenziali attacchi, o una copia di back up dei dati aggiornata per il ripristino in caso di attacco di successo.
La valutazione dei rischi e le misure di sicurezza, tra l’altro, sono essenziali quando il Titolare è tenuto a stilare una Valutazione di Impatto del trattamento (DPIA – Data Protection Impact Assessment), obbligatoria per alcuni trattamenti dei Comuni, come ad esempio in caso di presenza di un impianto di videosorveglianza.

La nomina ed i rapporti con i responsabili esterni dei trattamenti

L’art. 28 del GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Di conseguenza, è obbligatorio che l’Ente provveda alla nomina a responsabili esterni di tutti i fornitori che trattano dati personali per suo conto, con particolare attenzione a quelli di natura “tecnologica”. La scelta dei fornitori, dunque, andrà fatta non più (o non solo, per lo meno) sulla base del criterio “economicamente più vantaggioso”, ma anche sulle caratteristiche di affidabilità del fornitore in tema di compliance al GDPR.
I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che regoli la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Ricordiamo che qualora un responsabile esterno del trattamento sia vittima di un attacco cyber, è obbligatorio che lo notifichi al Titolare che lo ha nominato, il quale, a sua volta, obbligatoriamente dovrà aprire la procedura di data breach e valutare, secondo la propria procedura interna, se notificare o meno il Garante privacy.

Trasparenza del trattamento, data protection by design, procedure

Il Regolamento 679/2016 prevede un generale dovere di trasparenza del titolare del trattamento (da non confondere con la trasparenza amministrativa disciplinata dal d.lgs. n. 33/2013).
Questo dovere di trasparenza si concretizza nelle corrette informative sui vari trattamenti, da fornire agli interessati, con l’adozione di adeguate procedure, con l’obbligo di riscontrare le richieste dell’interessato (diritto di accesso ai dati personali) in una parola con l’adozione del principio di data protection by design, che vuol dire, in sostanza, adottare un approccio che tenga il dato al centro in qualsiasi progetto o attività e mantenere costantemente aggiornato l’impianto costruito in ottemperanza al GDPR.
Un lavoro, nella pratica, in continua evoluzione, sul fronte organizzativo e su quello della sicurezza informatica dei dati.

Riconoscere e difendersi dagli attacchi phishingL’AUTORE
*Luisa Di Giacomo
è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

© RIPRODUZIONE RISERVATA

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.