Sono due Pubbliche Amministrazioni le destinatarie di due provvedimenti del Garante della Privacy.
Dal 2020 al primo quadrimestre 2021 oltre il 71% delle sanzioni per violazioni della privacy è stata irrogata ad enti pubblici e il 28,8% a soggetti privati.
Su un totale di 80 ordinanze-ingiunzioni, 57 sono state indirizzate a Pubbliche Amministrazioni e 23 a privati. E se quelle imposte a soggetti privati arrivano, in singoli casi, a importi milionari, quelle rivolte agli enti pubblici preoccupano per la loro capillare diffusione, indicatore del fatto che la materia non è ancora del tutto “digerita” e compresa.
Al trattamento dei dati personali effettuato dai soggetti pubblici continua ad applicarsi una disciplina in parte differenziata rispetto a quella cui sono sottoposti i soggetti privati e gli enti pubblici economici.
Anche in virtù del fatto che il sistema pubblico, ampio e complesso, prevede un continuo e reciproco scambio di informazioni; in alcuni casi definiti “sensibilissimi”, come nel caso di quelli riferiti a servizi socio assistenziali, che hanno quali interessati soggetti c.d. deboli (es. minori e/o persone affette da disabilità), con altri enti locali, organi statali, parastatali, regionali, pubblici, privati, partecipati, municipalizzati, associazioni, fondazioni e altro ancora, possiamo solo immaginare di quale sia la mole quotidiana di dati che transita.
Ma se pensiamo che il trattamento dei dati all’interno della Pubblica Amministrazione sia sempre lecito, rimarremo stupiti di sapere che invece la risposta breve è “No”.
E i dati di realtà dimostrano che i Comuni sono gli enti più a rischio di illeciti.
Sulla base di alcuni principi generali fissati dalla normativa, i trattamenti effettuati da soggetti pubblici sono legittimati per svolgere funzioni istituzionali, rispettando gli eventuali altri presupposti e limiti stabiliti da disposizioni specifiche ed astenendosi da ulteriori finalità che siano dall’acquisire il consenso degli interessati, specie per rendere lecito un trattamento altrimenti non ammesso.
Quindi “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” è una delle possibili basi giuridiche che consentono di ritenere lecito il trattamento.
Nella gestione del flusso informativo rimane fondamentale considerare che la base giuridica per i trattamenti sanitari non è il consenso ed è per questo che con il provvedimento ordinanza-ingiunzione nei confronti di Azienda Sanitaria Locale Frosinone (13 gennaio 2022), l'autorità ha applicato ad un’azienda sanitaria una sanzione di 7.500 euro per avere sbagliato a scrivere un'informativa privacy.
I profili contestati all'organismo sanitario pubblico sono stati numerosi, tra i quali considerare il consenso come base di liceità, sia del trattamento dei dati che per finalità di cura. Un errore di base ma che denota scarsa attenzione dell’ente alla materia, considerando che trattare i dati per tale finalità non ci vuole il consenso, in quanto la giustificazione è rappresentata dalla finalità di cura stessa.
Sempre con riferimento alla richiesta di consenso, il Garante, con il provvedimento n. 14 del 27 gennaio 2022, (Parere al Consiglio di Stato in ordine alla registrazione delle riunioni dell’organo consiliare dell’Autorità per le garanzie nelle comunicazioni), ha scritto a chiare lettere che, al fine di adempiere “compiti di interesse pubblico o connessi all'esercizio di poteri pubblici”, i soggetti pubblici non sono tenuti a chiedere all'interessato alcun consenso o autorizzazione.
In molti casi l’errore, derivato da un eccesso di zelo, poggia sul timore di non essere in regola con la normativa sulla privacy e sulla paura di non poter trattare i dati sulla base di altri presupposti.