Mancata nomina di un responsabile: quali conseguenze e sanzioni?
In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate dal Comune al gestore del sito web istituzionale (il webmaster).
La nomina ai sensi dell’articolo 28 del GDPR, infatti, non può essere considerata un “mero adempimento formale”: si tratta della condizione essenziale che legittima i responsabili/fornitori (in questo caso, il webmaster) a trattare dati personali per conto dei titolari. Cosa succede se non viene formalizzata? Quali conseguenze per titolari e responsabili del trattamento?
Il caso
Il caso in esame prende le mosse da un reclamo presentato al Garante. Una signora lamentava la diffusione non autorizzata dei propri dati personali, all’interno di una graduatoria pubblicata sul sito istituzionale del Comune di Nepi.
Nel corso delle indagini, l’Autorità, oltre ad accertare la diffusione segnalata, rilevava delle carenze in merito alla gestione dei ruoli privacy, in particolare nei confronti della società incaricata della gestione del sito web istituzionale. Il Garante decideva, quindi, di avviare due distinte attività istruttorie: una nei confronti del Comune, per la diffusione illecita di dati personali (v. provvedimento n. 372 del 20 giugno 2024), ed una nei confronti del webmaster, che da anni operava per conto del Comune senza che fosse stato formalizzato alcun atto di nomina (v. provvedimento n. 373 del 20 giugno 2024).
L’istruttoria nei confronti del Comune
Terminati gli accertamenti effettuati nei confronti del Comune, il Garante rilevava:
- la diffusione dei dati personali dei partecipanti ad una prova preselettiva, all’interno di una graduatoria pubblicata sul sito istituzionale del Comune, in assenza di un idoneo presupposto normativo. Tale condotta ha riguardato un numero significativo di interessati (oltre 200), per un lasso di tempo particolarmente esteso (da febbraio 2015 a febbraio 2022). D’altro canto, il Garante ha considerato la natura isolata dell’episodio, derivante da “un mero errore umano conseguente all’errato convincimento della necessità di diffondere la graduatoria preselettiva”, nonché il fatto che la graduatoria stessa includesse esclusivamente dati personali e non particolari. Al termine delle valutazioni effettuate, l’Autorità ha comminato al Comune una sanzione pari a 8.000 euro.
- l’omessa regolamentazione del rapporto con la società Grafiche E. Gaspari S.r.l., che si occupava della gestione del sito istituzionale del Comune. I dati personali degli utenti, infatti, erano stati affidati alla Grafiche E. Gaspari S.r.l. senza che fosse stato definito un accordo ai sensi dell’articolo 28 del GDPR. Anche in questo caso, il Garante ha considerato il numero di interessati coinvolti ed il prolungarsi della violazione (la società operava per conto del Comune sin dal 2011). Al termine delle valutazioni effettuate, l’Autorità ha comminato al Comune una sanzione pari a 12.000 euro.
L’istruttoria nei confronti del responsabile
Come anticipato, in relazione alle carenze rilevate nella gestione dei ruoli privacy, il Garante decideva di avviare uno autonomo e separato procedimento nei confronti della Grafiche E. Gaspari S.r.l.
Da questo secondo provvedimento, in particolare, si ricavano utili considerazioni sui profili di responsabilità attribuibili ai soggetti fornitori che operano per conto dei titolari del trattamento e, più nello specifico, indicazioni sulla qualificazione giuridica dei “superamministratori” a cui viene affidata la gestione dei siti web.
Nel caso in esame, il Comune di Nepi si era rivolto alla società Grafiche E. Gaspari S.r.l. per la gestione del sito web istituzionale. Il fornitore aveva effettuato l’infrastrutturazione del sito creando un apposito layout di base, svolgeva il ruolo di intermediario con il provider dello spazio web (l’hosting) e conferiva i profili di accesso agli amministratori di sistema del Comune, agendo in qualità di “superamministratore”.
Secondo la società, tali attività non comportavano la gestione di dati personali, in quanto erano gli utenti del Comune, abilitati dalla Grafiche E. Gaspari S.r.l. ma operanti in completa autonomia, a caricare i contenuti ed interfacciarsi direttamente con gli utenti. “Il Comune di Nepi”, si legge in un estratto della nota difensiva della Grafiche E. Gaspari S.r.l., “non aveva alcuna necessità di nominarci “responsabile dei trattamenti di dati personali del sito”, perché i trattamenti se li faceva in autonomia, creando, modificando e cancellando sia le pagine del sito che i documenti linkati”.
Nominare o non nominare?
Per comprendere se l’attività svolta dal webmaster comporti un trattamento di dati personali, in questo caso ed in situazioni analoghe, è necessario risalire alla definizione di “trattamento” che, ricordiamo, include operazioni quali “la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Secondo il Garante, lo svolgimento della funzione di “superamministratore” dei profili di accesso al sito web è tale da comportare, inevitabilmente, il coinvolgimento della società nel trattamento dei dati personali degli utenti del sito, nonché degli altri dati personali ivi pubblicati. Ciò sebbene la società – in via ordinaria – non avesse accesso diretto ai dati. A riprova di ciò, il fatto che sia stata la stessa Grafiche E. Gaspari S.r.l. ad intervenire – in via straordinaria – per rimuovere la graduatoria erroneamente pubblicata dal Comune.
Le indicazioni del Garante: obbligatorio formalizzare i ruoli
Accertato, quindi, che la società Grafiche E. Gaspari S.r.l. svolgeva, effettivamente, dei trattamenti per conto del Comune, il Garante ha contestato la mancanza di un contratto o di un altro atto giuridico ai sensi dell’art. 28 del GDPR volto a disciplinare gli aspetti privacy rilevanti, anche mediante specifiche istruzioni.
In risposta alla nota difensiva della società, l’Autorità ha chiarito che la corrispondenza intercorsa con il Comune, il contratto di affidamento dell’incarico e le altre policy in essere, non possono sostituire l’accordo ai sensi dell’articolo 28 del GDPR, in quanto quest’ultimo deve includere tutti gli elementi essenziali espressamente previsti dal Regolamento, con garanzie a tutela dei diritti e delle libertà delle persone fisiche coinvolte.
La formalizzazione dei ruoli, quindi, rappresenta un adempimento essenziale: se manca l’accordo con il responsabile, il trattamento affidato allo stesso viene meno delle condizioni di liceità previste dal GDPR. All’atto pratico ciò significa che la mancanza di un accordo fra titolare e responsabile è tale da comportare sia la violazione dell’articolo 28 del GDPR, sia la violazione del principio di liceità (rientrante nella cornice edittale più severa). Per tale ragione il Garante, nel commisurare l’importo della sanzione, ha fatto riferimento al paragrafo 3 dell’articolo 85 e, dopo aver applicato i criteri per il calcolo e considerato vari fattori attenuanti, ha comminato un’ammenda pari a 12.000 euro.
Non sottovalutare il contenuto
Per completezza, ricordiamo che la formalizzazione dell’accordo con i responsabili del trattamento, ai sensi dell’art. 28 del GDPR, deve avvenire rispettando criteri ben precisi. Nelle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento, il Comitato europeo per la protezione dei dati ha chiarito che un accordo generico, che si limiti a ribadire le disposizioni del GDPR, senza includere dettagli sui trattamenti affidati e garanzie di sicurezza, non è conforme.
Se vuoi sapere come predisporre una nomina conforme, ne abbiamo parlato in questo articolo.
Se, invece, desideri approfondire la gestione dei ruoli privacy ti ricordiamo che il 25 settembre 2024 parte la 58esima edizione del nostro corso di alta formazione. Tutti i percorsi formativi previsti (Data Protection Officer, Privacy Manager, Privacy Specialist) includono una parte introduttiva con focus sulla corretta gestione dei ruoli privacy.