La notizia del Comune sanzionato dal Garante[1] per aver pubblicato illecitamente alcune informazioni all’interno dell’Albo pretorio sta circolando oramai da qualche settimana, e dunque può essere un’occasione per una lettura critica del provvedimento al fine di trarre alcuni spunti per le contromisure da predisporre in casi analoghi.
Il fatto è piuttosto semplice: tutto parte da un reclamo da parte di un interessato per aver visto pubblicati sul sito web del proprio Comune, all’interno di una determina dirigenziale di liquidazione delle spese legali in una sezione dell’Albo pretorio, dati ed informazioni riguardanti un procedimento giudiziario con indicati anche dettagli relativi allo stato di salute dell’interessato e l’Iban del legale. L’illiceità riscontrata riguarda il duplice aspetto della mancata minimizzazione dei dati (art. 5 par. 1 lett. c) GDPR), con riferimento all’Iban dell’avvocato, e la violazione del divieto di diffusione dei dati relativi alla salute (art. 2-septies co. 8 Cod. Privacy e art. 9 GDPR).
Le non conformità rilevate sono state dunque ritenute sufficienti per giustificare l’applicazione di una sanzione pecuniaria dell’importo di diecimila euro, tenendo conto della permanenza delle informazioni per un periodo superiore a due mesi, del carattere colposo della violazione in quanto derivante da un “errore materiale degli addetti alla compilazione degli atti deliberativi”, nonché di ulteriori elementi quali la collaborazione con l’Autorità e l’immediata rimozione delle informazioni pubblicate, l’assenza di precedenti violazioni pertinenti e il riscontro di misure tecniche ed organizzative di conformità e sicurezza effettivamente predisposte.
È interessante notare come l’Autorità Garante in corso di istruttoria abbia inteso valutare in concreto la presenza di misure tecniche e organizzative predisposte per garantire la conformità degli articoli 25 e 32 GDPR, e dunque i presidi predisposti per assicurare, rispettivamente, la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita e la sicurezza dei trattamenti.
Astraendoci dal caso del Comune e dell’Albo pretorio, dunque, si tratta di comprendere come si possa affrontare la tematica del famigerato “errore umano” con la lente del GDPR.
È chiaro che sussiste un’esigenza di legal design del sistema di gestione della protezione dei dati, in cui si deve tenere conto (e dunque: identificare, valutare, verificare, correggere) anche di tutta una serie di misure preventive per il famigerato “errore umano” che, allo stato dei fatti, rappresenta una delle maggiori vulnerabilità di sicurezza (e, in alcuni casi, di conformità normativa).
Concretamente, però, in che modo è possibile?
Certamente, alcuni elementi chiave consistono nell’attribuzione di compiti e responsabilità, la formazione e sensibilizzazione degli operatori e la predisposizione di un sistema di controlli interni.
Ancor più, con la disabilitazione di funzioni “rischiose” (nel caso di specie: si è trattato di un’opzione che l’ostensione degli atti amministrativi per un periodo superiore ai 15 giorni nell’Albo pretorio) e la predisposizione di automatismi che, al contrario, vanno a trattare i rischi di non conformità e di sicurezza. Ad esempio: richiamando un comportamento positivo dell’operatore (e dunque: richiamando una maggiore attenzione) per operazioni che possono aumentare il rischio dell’attività di trattamento riferito alla minaccia dell’errore o disattenzione.
La
predisposizione di procedure in grado di standardizzare i comportamenti degli
operatori garantendo presidi di conformità normativa e una sicurezza adeguata è
(e altrimenti non può essere) un’operazione continua e complessa
nell’attuazione, che però assicura che per sistema sia garantita sia la
conformità che la sicurezza dei trattamenti.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9261227
