Come il (giusto) DPO può far evitare (o ridurre) le sanzioni: il caso

Nuovi spunti di riflessione in materia di data protection giungono da un importante provvedimento del Garante per la protezione dati, il n. 118/2020 nel quale sottolinea l’importanza del ruolo del DPO.

Il provvedimento assume rilevanza non solo per il settore pubblico -riguardando un dipendente della PA- ma presenta degli aspetti interessanti anche per l’ambito privato.

 

Il caso

Una dipendente comunale è stata licenziata, dopo anni di servizio, a seguito di un’indagine condotta dall’Ufficio Procedimenti disciplinari, da cui è emerso che la stessa al momento della procedura di selezione, non possedeva i requisiti richiesti: in particolare risultava avere procedimenti penali in corso. L’ente comunale ha provveduto anche all’esclusione dalla selezione per carenza di requisiti, rettificando i verbali di assegnazione del posto di lavoro.

Il caso è stato portato all’attenzione del Tar, oltre che dell’Autorità Garante: la dipendente ha presentato ricorso per richiedere l’annullamento della determinazione dell’ente comunale.

Nello specifico, il relativo atto di conferimento di incarico del legale sull’albo pretorio online del Comune, indicava dati anagrafici della dipendente con le sole iniziali, insieme al ricorso al Tar, agli estremi della determinazione del Comune di cui si richiedeva l’annullamento e l’indicazione della circostanza per cui la selezione per la posizione lavorativa controversa richiedesse come requisiti l’assenza di condanne penali o procedimenti penali pendenti a carico dei candidati.

 

Il reclamo formale all’Autorità Garante

La dipendente ha poi presentato un reclamo formale per violazione dei dati personali dinanzi all’Autorità Garante, con riferimento all’atto di incarico pubblicato dal Comune. Quest’ultimo, in propria difesa, ha utilizzato le seguenti argomentazioni:

  • di aver utilizzato le sole iniziali della dipendente nell’oggetto dell’Atto d’incarico, quindi senza la possibilità di identificazione del soggetto;
  • la pubblicazione delle informazioni contenute nell’oggetto dell’Atto d’incarico sull’albo pretorio online è obbligatoria per legge, in conformità alla normativa sulla pubblicità e trasparenza per gli atti degli enti pubblici (ex art. 15, D. Lgs. 33/2013 e art. 124 del D. lgs. 267/2000);
  • che non vi fosse alcun riferimento a condanne penali o reati nell’atto amministrativo oggetto di reclamo, dal momento che i riferimenti presenti erano riconducibili solo ad un requisito di partecipazione e non anche ad una condanna o procedimento pendente;
  • ed infine di aver richiesto, prima della pubblicazione, il parere del DPO del Comune, il quale aveva avallato la scelta di utilizzare le iniziali del nome e del cognome della dipendente, ritenendola conforme alla disciplina di protezione dei dati.

Nonostante il Garante abbia poi comminato una sanzione di 4.000,00 euro nei confronti del Comune ha ritenuto di sottolineare l’importanza dell’essersi rivolto al proprio DPO, per un parere pro veritate tenendone conto ai fini della stessa sanzione.

 

Riflessioni sul provvedimento

Nel provvedimento del Garante si legge: “si è tenuto favorevolmente atto che il Comune di Greve in Chianti aveva provveduto a coinvolgere il proprio responsabile della protezione dei dati personali e a conformarsi in buona fede al parere dello stesso.”

In tal senso, acquistano rilevanza una vera e reale preparazione del DPO, lo studio e il continuo aggiornamento e la competenza di chi di tale materia è esperto e non si improvvisa. In tale ottica il giusto DPO può far evitare (o ridurre) sanzioni o errori che possono comportare importi spesso salatissimi.

Il provvedimento in commento pone l’accento sull’essenza stessa del parere e sulla figura del DPO: ciò non può significare che lo stesso possa evitare, tout court, le sanzioni, ma può gestirle e affrontarle facendo in modo che il Garante possa prendere in considerazione alcune circostanze tali da comminare un importo inferiore, soprattutto in un ambito, come quello del GDPR, in cui non vi sono massimali. Ma il provvedimento pone l’attenzione, altresì, su altri rilievi degni di nota, tra cui la definizione di dato personale e di identificabilità indiretta.

Difatti, dall’istruttoria condotta dall’Autorità emerge come il concetto di “dato personale” ex art. 4, comma 1, del GDPR abbracci una portata tale da includere anche le sole iniziali del soggetto interessato, anche, solo potenzialmente identificabile. La sola probabilità di essere identificati da diversi soggetti, seppur in via indiretta, ha posto un’estensione alla nozione di dato personale anche alle sole iniziali (nome e cognome). Inoltre, lo stesso provvedimento consente di definire quale sia la portata dei “dati personali relativi a condanne penali e reati”, di cui non vi è nel GDPR una specifica definizione (come, invece, accade per i dati personali in generale)

Tuttavia, il Garante ha adottato una linea interpretativa abbastanza ampia, ritenendo che le determinazioni oggetto di ricorso al Tar possano rientrare nella nozione di dati personali relativi a condanne e reati. In altre parole, è sufficiente che vi sia l’identificabilità (anche solo indiretta) e la mera associazione con una vicenda giudiziale che possa riguardare il soggetto, senza altri riferimenti ed estremi ai procedimenti nello specifico, affinché vi sia una violazione di dati personali relativi a condanne penali e reati.

 

Conclusioni

Nonostante si sia rinvenuta una violazione dei dati personali della dipendente, il Garante ha ritenuto di estrema importanza il riferimento al DPO e la circostanza che lo stesso Comune abbia richiesto e fatto affidamento al parere dello stesso. Una svolta interpretativa è rappresentata da tale provvedimento, poiché si dà la giusta importanza al ruolo del responsabile della protezione dei dati nel pieno rispetto del principio di accountability disciplinato dal GDPR.

Infine, il DPO funge da consulente e da “misura di sicurezza e protezione” per il titolare: ne consegue che la scelta e la nomina di tale figura devono necessariamente essere precedute da una accurata valutazione delle competenze, affinché il suo supporto si traduca in un mezzo efficace di sicurezza e prevenzione che possa fare da scudo al titolare.

E-learning: Data Protection Officer

Percorso valido ai fini del riconoscimento delle competenze previste dal Regolamento europeo

Il Percorso Professionalizzante “Data Protection Officer” è organizzato da Euroconference e Digital & Law Department con il patrocinio di ANORC Professioni.

Il ruolo di DPO può essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze professionali: il percorso intende fornire ai partecipanti una preparazione manageriale completa e multidisciplinare secondo quanto previsto dal GDPR – Regolamento UE 679/2016 per la protezione dei dati personali.

I partecipanti potranno iscriversi all’Elenco dei Professionisti della Privacy di ANORC Professioni, a seguito del superamento di un esame. L’iscrizione permette inoltre di usufruire di una scontistica riservata ai soci per i servizi di certificazione professionale ai sensi della norma UNI 11697:2017, rilasciati da Enti di certificazione convenzionati con ANORC Professioni.