Come il (giusto) DPO può far evitare (o ridurre) le sanzioni: il caso

Nuovi spunti di riflessione in materia di data protection giungono da un importante provvedimento del Garante per la protezione dati, il n. 118/2020 nel quale sottolinea l’importanza del ruolo del DPO.

Il provvedimento assume rilevanza non solo per il settore pubblico -riguardando un dipendente della PA- ma presenta degli aspetti interessanti anche per l’ambito privato.

Il caso

Una dipendente comunale è stata licenziata, dopo anni di servizio, a seguito di un’indagine condotta dall’Ufficio Procedimenti disciplinari, da cui è emerso che la stessa al momento della procedura di selezione, non possedeva i requisiti richiesti: in particolare risultava avere procedimenti penali in corso. L’ente comunale ha provveduto anche all’esclusione dalla selezione per carenza di requisiti, rettificando i verbali di assegnazione del posto di lavoro.

Il caso è stato portato all’attenzione del Tar, oltre che dell’Autorità Garante: la dipendente ha presentato ricorso per richiedere l’annullamento della determinazione dell’ente comunale.

Nello specifico, il relativo atto di conferimento di incarico del legale sull’albo pretorio online del Comune, indicava dati anagrafici della dipendente con le sole iniziali, insieme al ricorso al Tar, agli estremi della determinazione del Comune di cui si richiedeva l’annullamento e l’indicazione della circostanza per cui la selezione per la posizione lavorativa controversa richiedesse come requisiti l’assenza di condanne penali o procedimenti penali pendenti a carico dei candidati.

Il reclamo formale all’Autorità Garante

La dipendente ha poi presentato un reclamo formale per violazione dei dati personali dinanzi all’Autorità Garante, con riferimento all’atto di incarico pubblicato dal Comune. Quest’ultimo, in propria difesa, ha utilizzato le seguenti argomentazioni:

di aver utilizzato le sole iniziali della dipendente nell’oggetto dell’Atto d’incarico, quindi senza la possibilità di identificazione del soggetto;
la pubblicazione delle informazioni contenute nell’oggetto dell’Atto d’incarico sull’albo pretorio online è obbligatoria per legge, in conformità alla normativa sulla pubblicità e trasparenza per gli atti degli enti pubblici (ex art. 15, D. Lgs. 33/2013 e art. 124 del D. lgs. 267/2000);
che non vi fosse alcun riferimento a condanne penali o reati nell’atto amministrativo oggetto di reclamo, dal momento che i riferimenti presenti erano riconducibili solo ad un requisito di partecipazione e non anche ad una condanna o procedimento pendente;
ed infine di aver richiesto, prima della pubblicazione, il parere del DPO del Comune, il quale aveva avallato la scelta di utilizzare le iniziali del nome e del cognome della dipendente, ritenendola conforme alla disciplina di protezione dei dati.

Nonostante il Garante abbia poi comminato una sanzione di 4.000,00 euro nei confronti del Comune ha ritenuto di sottolineare l’importanza dell’essersi rivolto al proprio DPO, per un parere pro veritate tenendone conto ai fini della stessa sanzione.

Riflessioni sul provvedimento

Nel provvedimento del Garante si legge: “si è tenuto favorevolmente atto che il Comune di Greve in Chianti aveva provveduto a coinvolgere il proprio responsabile della protezione dei dati personali e a conformarsi in buona fede al parere dello stesso.”

In tal senso, acquistano rilevanza una vera e reale preparazione del DPO, lo studio e il continuo aggiornamento e la competenza di chi di tale materia è esperto e non si improvvisa. In tale ottica il giusto DPO può far evitare (o ridurre) sanzioni o errori che possono comportare importi spesso salatissimi.

Il provvedimento in commento pone l’accento sull’essenza stessa del parere e sulla figura del DPO: ciò non può significare che lo stesso possa evitare, tout court, le sanzioni, ma può gestirle e affrontarle facendo in modo che il Garante possa prendere in considerazione alcune circostanze tali da comminare un importo inferiore, soprattutto in un ambito, come quello del GDPR, in cui non vi sono massimali. Ma il provvedimento pone l’attenzione, altresì, su altri rilievi degni di nota, tra cui la definizione di dato personale e di identificabilità indiretta.

Difatti, dall’istruttoria condotta dall’Autorità emerge come il concetto di “dato personale” ex art. 4, comma 1, del GDPR abbracci una portata tale da includere anche le sole iniziali del soggetto interessato, anche, solo potenzialmente identificabile. La sola probabilità di essere identificati da diversi soggetti, seppur in via indiretta, ha posto un’estensione alla nozione di dato personale anche alle sole iniziali (nome e cognome). Inoltre, lo stesso provvedimento consente di definire quale sia la portata dei “dati personali relativi a condanne penali e reati”, di cui non vi è nel GDPR una specifica definizione (come, invece, accade per i dati personali in generale)

Tuttavia, il Garante ha adottato una linea interpretativa abbastanza ampia, ritenendo che le determinazioni oggetto di ricorso al Tar possano rientrare nella nozione di dati personali relativi a condanne e reati. In altre parole, è sufficiente che vi sia l’identificabilità (anche solo indiretta) e la mera associazione con una vicenda giudiziale che possa riguardare il soggetto, senza altri riferimenti ed estremi ai procedimenti nello specifico, affinché vi sia una violazione di dati personali relativi a condanne penali e reati.

Conclusioni

Nonostante si sia rinvenuta una violazione dei dati personali della dipendente, il Garante ha ritenuto di estrema importanza il riferimento al DPO e la circostanza che lo stesso Comune abbia richiesto e fatto affidamento al parere dello stesso. Una svolta interpretativa è rappresentata da tale provvedimento, poiché si dà la giusta importanza al ruolo del responsabile della protezione dei dati nel pieno rispetto del principio di accountability disciplinato dal GDPR.

Infine, il DPO funge da consulente e da “misura di sicurezza e protezione” per il titolare: ne consegue che la scelta e la nomina di tale figura devono necessariamente essere precedute da una accurata valutazione delle competenze, affinché il suo supporto si traduca in un mezzo efficace di sicurezza e prevenzione che possa fare da scudo al titolare.

E-learning: Data Protection Officer

Percorso valido ai fini del riconoscimento delle competenze previste dal Regolamento europeo

Il Percorso Professionalizzante “Data Protection Officer” è organizzato da Euroconference e Digital & Law Department con il patrocinio di ANORC Professioni.

Il ruolo di DPO può essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze professionali: il percorso intende fornire ai partecipanti una preparazione manageriale completa e multidisciplinare secondo quanto previsto dal GDPR – Regolamento UE 679/2016 per la protezione dei dati personali.

I partecipanti potranno iscriversi all’Elenco dei Professionisti della Privacy di ANORC Professioni, a seguito del superamento di un esame. L’iscrizione permette inoltre di usufruire di una scontistica riservata ai soci per i servizi di certificazione professionale ai sensi della norma UNI 11697:2017, rilasciati da Enti di certificazione convenzionati con ANORC Professioni.

SCOPRI IL CORSO

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Come il (giusto) DPO può far evitare (o ridurre) le sanzioni: il caso

Il caso

Il reclamo formale all’Autorità Garante

Riflessioni sul provvedimento

Conclusioni

E-learning: Data Protection Officer

Percorso valido ai fini del riconoscimento delle competenze previste dal Regolamento europeo

Invio di dati all’estero: non è solo un problema di Google Analytics

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

L’ora del GDPR | Attività di marketing e social conformi al GDPR: mission impossible

AMMINISTRARE, OGGI. La formazione dei cittadini, dei giovani che intendono dedicarsi alla politica, dei giovani amministratori e decisori pubblici, dei dipendenti degli enti locali

Corso di diritto amministrativo 2021-2022 XXX edizione

RadioSkylab ‖ Ladies and Gentleman

eLearning: Nuovo Regolamento sulla Privacy: la soluzione formativa per la compliance aziendale

eLearning: Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

E-learning: Professionisti della digitalizzazione

E-learning: Professionisti della protezione dei dati

E-learning: Focus tematici su digitalizzazione e protezione dei dati

Di

NEWSLETTER

Lecce

Milano

Roma

Biella

NAVIGA