La compliance al GDPR: costo o investimento? In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in…

Mancata nomina di un responsabile: quali conseguenze e sanzioni? In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate…

Come si realizza una DPIA su un sistema di Intelligenza Artificiale? La guida dell’ICO Lo scorso 19 giugno l’Information Commissioner's Office (“ICO”), Autorità Garante inglese per la protezione dei dati, ha pubblicato la decisione sul caso “My AI”, il chatbot…

Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro    L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso…

Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Mancata nomina di un responsabile: quali conseguenze e sanzioni?

In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate dal Comune al gestore del sito web istituzionale (il webmaster).

La nomina ai sensi dell’articolo 28 del GDPR, infatti, non può essere considerata un “mero adempimento formale”: si tratta della condizione essenziale che legittima i responsabili/fornitori (in questo caso, il webmaster) a trattare dati personali per conto dei titolari. Cosa succede se non viene formalizzata? Quali conseguenze per titolari e responsabili del trattamento?

Il caso

Il caso in esame prende le mosse da un reclamo presentato al Garante. Una signora lamentava la diffusione non autorizzata dei propri dati personali, all’interno di una graduatoria pubblicata sul sito istituzionale del Comune di Nepi.

Nel corso delle indagini, l’Autorità, oltre ad accertare la diffusione segnalata, rilevava delle carenze in merito alla gestione dei ruoli privacy, in particolare nei confronti della società incaricata della gestione del sito web istituzionale. Il Garante decideva, quindi, di avviare due distinte attività istruttorie: una nei confronti del Comune, per la diffusione illecita di dati personali (v. provvedimento n. 372 del 20 giugno 2024), ed una nei confronti del webmaster, che da anni operava per conto del Comune senza che fosse stato formalizzato alcun atto di nomina (v. provvedimento n. 373 del 20 giugno 2024).

L’istruttoria nei confronti del Comune

Terminati gli accertamenti effettuati nei confronti del Comune, il Garante rilevava:

  1. la diffusione dei dati personali dei partecipanti ad una prova preselettiva, all’interno di una graduatoria pubblicata sul sito istituzionale del Comune, in assenza di un idoneo presupposto normativo. Tale condotta ha riguardato un numero significativo di interessati (oltre 200), per un lasso di tempo particolarmente esteso (da febbraio 2015 a febbraio 2022). D’altro canto, il Garante ha considerato la natura isolata dell’episodio, derivante da “un mero errore umano conseguente all’errato convincimento della necessità di diffondere la graduatoria preselettiva”, nonché il fatto che la graduatoria stessa includesse esclusivamente dati personali e non particolari. Al termine delle valutazioni effettuate, l’Autorità ha comminato al Comune una sanzione pari a 8.000 euro.
  1. l’omessa regolamentazione del rapporto con la società Grafiche E. Gaspari S.r.l., che si occupava della gestione del sito istituzionale del Comune. I dati personali degli utenti, infatti, erano stati affidati alla Grafiche E. Gaspari S.r.l. senza che fosse stato definito un accordo ai sensi dell’articolo 28 del GDPR. Anche in questo caso, il Garante ha considerato il numero di interessati coinvolti ed il prolungarsi della violazione (la società operava per conto del Comune sin dal 2011). Al termine delle valutazioni effettuate, l’Autorità ha comminato al Comune una sanzione pari a 12.000 euro.
L’istruttoria nei confronti del responsabile

Come anticipato, in relazione alle carenze rilevate nella gestione dei ruoli privacy, il Garante decideva di avviare uno autonomo e separato procedimento nei confronti della Grafiche E. Gaspari S.r.l.

Da questo secondo provvedimento, in particolare, si ricavano utili considerazioni sui profili di responsabilità attribuibili ai soggetti fornitori che operano per conto dei titolari del trattamento e, più nello specifico, indicazioni sulla qualificazione giuridica dei “superamministratori” a cui viene affidata la gestione dei siti web.

Nel caso in esame, il Comune di Nepi si era rivolto alla società Grafiche E. Gaspari S.r.l. per la gestione del sito web istituzionale. Il fornitore aveva effettuato l’infrastrutturazione del sito creando un apposito layout di base, svolgeva il ruolo di intermediario con il provider dello spazio web (l’hosting) e conferiva i profili di accesso agli amministratori di sistema del Comune, agendo in qualità di “superamministratore”.

Secondo la società, tali attività non comportavano la gestione di dati personali, in quanto erano gli utenti del Comune, abilitati dalla Grafiche E. Gaspari S.r.l. ma operanti in completa autonomia, a caricare i contenuti ed interfacciarsi direttamente con gli utenti. “Il Comune di Nepi”, si legge in un estratto della nota difensiva della Grafiche E. Gaspari S.r.l., “non aveva alcuna necessità di nominarci “responsabile dei trattamenti di dati personali del sito”, perché i trattamenti se li faceva in autonomia, creando, modificando e cancellando sia le pagine del sito che i documenti linkati”.

Nominare o non nominare?

Per comprendere se l’attività svolta dal webmaster comporti un trattamento di dati personali, in questo caso ed in situazioni analoghe, è necessario risalire alla definizione di “trattamento” che, ricordiamo, include operazioni quali “la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Secondo il Garante, lo svolgimento della funzione di “superamministratore” dei profili di accesso al sito web è tale da comportare, inevitabilmente, il coinvolgimento della società nel trattamento dei dati personali degli utenti del sito, nonché degli altri dati personali ivi pubblicati. Ciò sebbene la società – in via ordinaria – non avesse accesso diretto ai dati. A riprova di ciò, il fatto che sia stata la stessa Grafiche E. Gaspari S.r.l. ad intervenire – in via straordinaria – per rimuovere la graduatoria erroneamente pubblicata dal Comune.

Le indicazioni del Garante: obbligatorio formalizzare i ruoli

Accertato, quindi, che la società Grafiche E. Gaspari S.r.l. svolgeva, effettivamente, dei trattamenti per conto del Comune, il Garante ha contestato la mancanza di un contratto o di un altro atto giuridico ai sensi dell’art. 28 del GDPR volto a disciplinare gli aspetti privacy rilevanti, anche mediante specifiche istruzioni.

In risposta alla nota difensiva della società, l’Autorità ha chiarito che la corrispondenza intercorsa con il Comune, il contratto di affidamento dell’incarico e le altre policy in essere, non possono sostituire l’accordo ai sensi dell’articolo 28 del GDPR, in quanto quest’ultimo deve includere tutti gli elementi essenziali espressamente previsti dal Regolamento, con garanzie a tutela dei diritti e delle libertà delle persone fisiche coinvolte.

La formalizzazione dei ruoli, quindi, rappresenta un adempimento essenziale: se manca l’accordo con il responsabile, il trattamento affidato allo stesso viene meno delle condizioni di liceità previste dal GDPR. All’atto pratico ciò significa che la mancanza di un accordo fra titolare e responsabile è tale da comportare sia la violazione dell’articolo 28 del GDPR, sia la violazione del principio di liceità (rientrante nella cornice edittale più severa). Per tale ragione il Garante, nel commisurare l’importo della sanzione, ha fatto riferimento al paragrafo 3 dell’articolo 85 e, dopo aver applicato i criteri per il calcolo e considerato vari fattori attenuanti, ha comminato un’ammenda pari a 12.000 euro.

Non sottovalutare il contenuto

Per completezza, ricordiamo che la formalizzazione dell’accordo con i responsabili del trattamento, ai sensi dell’art. 28 del GDPR, deve avvenire rispettando criteri ben precisi. Nelle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento, il Comitato europeo per la protezione dei dati ha chiarito che un accordo generico, che si limiti a ribadire le disposizioni del GDPR, senza includere dettagli sui trattamenti affidati e garanzie di sicurezza, non è conforme.

Se vuoi sapere come predisporre una nomina conforme, ne abbiamo parlato in questo articolo.

Se, invece, desideri approfondire la gestione dei ruoli privacy ti ricordiamo che il 25 settembre 2024 parte la 58esima edizione del nostro corso di alta formazione. Tutti i percorsi formativi previsti (Data Protection Officer, Privacy Manager, Privacy Specialist) includono una parte introduttiva con focus sulla corretta gestione dei ruoli privacy.


CLICCA QUI PER ULTERIORI INFORMAZIONI

Recent posts
Follow us on
Our Gallery