Sanzione per mancata formalizzazione dei rapporti privacy

Con due provvedimenti datati dicembre 2020 il Garante Privacy ha sanzionato sia il Titolare del trattamento che il Responsabile, legato al primo da un contratto di servizi, per l’inosservanza di alcune norme e principi privacy.



Cos’è successo

Nel corso dell’attività di controllo svolta dal Nucleo speciale Privacy della Guardia di Finanza nel 2018 veniva verificato, presso l’ente territoriale Roma Capitale, il funzionamento, fornito da una società esterna, per la gestione delle prenotazioni dei servizi al pubblico erogati allo sportello.

Il sistema consentiva agli utenti di prenotare servizi, o fissare appuntamenti, presso soggetti pubblici e privati, utilizzando diversi canali: l’app mobile, il sito web oppure, mediante l’uso di totem direttamente presso le sedi fisiche.

Per usufruire del servizio di prenotazione, tramite app mobile o sito, gli utenti dovevano preventivamente registrarsi sulla piattaforma della Società, creando un account che consentisse di fissare o revocare appuntamenti presso tutti i soggetti che utilizzavano il servizio di prenotazione. 

In questa fase, tuttavia, non veniva fornita alcuna informativa dell’Ente Titolare del trattamento bensì un’informativa generica della Società fornitrice sul funzionamento del proprio sistema.

A seguito di accertamenti istruttori, con il provvedimento n. 81 del 7 marzo 2019, è stata dichiarata l’illiceità del trattamento dei dati personali di utenti e dipendenti effettuato da Roma Capitale mediante il suddetto sistema, fornito dal Responsabile e utilizzato, fin dal 2015.

Il Garante dichiarava illecito il trattamento effettuato con tale sistema per violazione del Regolamento privacy UE 2016/679 (GDPR) e del Codice Privacy.

L’esito delle attività istruttorie

In particolare, all’esito delle istruttorie nei confronti del Titolare e del responsabile emergeva la violazione:

  • dei principi di liceità, correttezza e trasparenza e con l’obbligo, posto in capo al titolare del trattamento, di fornire l’informativa agli utenti e ai dipendenti
  • dell’obbligo di regolamentare ai sensi dell’articolo 28 del Reg Ue 2016/679, i trattamenti di dati personali affidati, per conto del titolare, al fornitore esterno nell’ambito dei servizi di assistenza e manutenzione 
  • dell’obbligo di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, tenendo conto, in particolare, della natura, dell’oggetto, del contesto, delle finalità e dei rischi inerenti al trattamento per i diritti e le libertà delle persone fisiche

Inoltre, emergeva anche:

  • che la particolare funzionalità di reportistica connessa alla piattaforma, era in grado di operare un controllo a distanza sui dipendenti, ricadendo pertanto nell’ambito di applicazione dell’art. 4 della L. 300/1970
  • la non adeguatezza delle misure di sicurezza adottate, con particolare riferimento all’utilizzo del protocollo http per il traffico tra i server e i totem impiegati negli uffici dell’ente
  • l’impossibilità di configurare caso per caso la tipologia dei dati ed i tempi massimi di conservazione nel sistema.

Con i provvedimenti n. 280 e 281 del 17 dicembre 2020, Il Garante provvedeva quindi a sanzionare sia il Titolare del Trattamento che il Responsabile.

Le carenze rilevate risultavano infatti idonee a rendere illecito il trattamento dei dati di utenti e dipendenti del Comune di Roma. A quest’ultimo e al fornitore di servizi sono state quindi elevate sanzioni pari rispettivamente a € 500.000,00 e € 40.000,00.

Conclusioni

Qualora il Titolare del trattamento deleghi alcuni trattamenti a fornitori esterni, c.d. responsabili, la mancata formalizzazione dettagliata dei rapporti privacy, così come il mancato rispetto dei principi della privacy by design e by default, possono comportare in campo a entrambi l’elevazione di sanzioni pecuniarie o l’obbligo di porre in essere determinate azioni da parte dell’Autorità.

Cosa può dedurre un Titolare dal provvedimento in oggetto?

Sicuramente il Titolare che intenda esternalizzare un servizio quale lo sviluppo, assistenza e manutenzione di un software, oltre a verificare preliminarmente i principi di cui all’articolo 5 del GDPR rispetto al trattamento, dovrà: 

  • verificare l’adeguatezza privacy del fornitore
  • chiedere di poter valutare la privacy by design e by default del servizio/prodotto da acquistare e inquadrare detto soggetto mediante apposite e specifiche clausole contrattuali o addendum così come previsto dall’articolo 28 del GDPR
  • accertarsi che l’interessato riceva l’informativa privacy del Titolare per i trattamenti di propria competenza e non quella del Responsabile.

E il Responsabile?

Il Responsabile dovrà prestare maggior attenzione alla nomina a responsabile sottoscritta, accertandosi che i servizi resi non vadano oltre a quelli delegati dal Titolare. Quest’ultimi eventuali ulteriori trattamenti, salvo un’informativa e delle basi giuridiche che li legittimi, saranno svolti quale autonomo titolare con tutti gli incombenti privacy che ne possano derivare. 

Sebbene da una lettura restrittiva della norma, sembrerebbe competere al Titolare assicurare la privacy by design e by defoult dei trattamenti, il provvedimento sopradescritto imputa anche al fornitore l’onere di collaborare per garantire tali logiche di progettazione e funzionamento.

Se ti è piaciuto l'articolo condividi: