NEWS

La recente sentenza che annulla la sanzione all’Inps induce a riflessioni più generali sul trattamento degli open data

Come si ricorderà, nell’agosto 2020 in piena emergenza pandemica, ebbe clamore sulle prime pagine estive dei giornali l’attività che l’Inps stava conducendo per procedere all’erogazione del bonus Covid-19, per supposti riflessi sulla privacy di chi ricopriva incarichi di parlamentare o di amministratore regionale o locale.

Il tribunale di Roma ha annullato la sanzione di 300mila euro cheil Garante Privacy aveva fatto all'Inps


Federprivacy, sin dal 12 agosto di due anni fa si è attivata per una compiuta informazione su tale questione che vide il Garante per la protezione dei dati personali impegnarsi in una istruttoria sulla metodologia seguita dall’Inps “rispetto al trattamento dei dati dei beneficiari e alle notizie al riguardo diffuse”, al termine della quale ha contestato all’Istituto di previdenza la “mancata definizione dei criteri per trattare i dati di determinate categorie di richiedenti il ‘bonus Covid’, uso di informazioni non necessarie rispetto alle finalità di controllo, ricorso a dati non corretti o incompleti, inadeguata valutazione dei rischi per la privacy”.

In esito a ciò il Garante con provvedimento n. 87 del 25 febbraio 2021 ha comminato all’Inps una pesante sanzione, una delle più alte comminate sul versante della pubblica amministrazione. Ne segue un dialogo a distanza fra i due Enti, con comunicati stampa entrambi del 9 marzo 2021, con il Garante che fra l’altro evidenzia “L’istruttoria dell’Autorità ha messo in luce che l’Inps non ha adeguatamente progettato il trattamento e non è stata in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento, violando i principi di privacy by design, di privacy by default e di accountability” mentre l’Inps rende noto che avrebbe “prontamente attivato la valutazione d’impatto richiesta e la cancellazione dei dati non necessari”, peraltro affermando “Ma giudizio e sanzione paiono eccessivi. Difficile ora fare controlli massivi”.

Un passaggio di tale comunicato è particolarmente interessante e vale la pena di riportarlo integralmente: “È opportuno rilevare che l’applicazione della privacy by design e by default – indicata dal Garante in ogni sua declinazione teorica come vincolante per tutte le attività – può, per un Istituto che gestisce decine di milioni di prestazioni per lo Stato e i cittadini nella previdenza e nell’assistenza, creare nella pratica molte incertezze nel funzionamento dell’amministrazione, che tende sempre più a gestioni automatizzate e digitali, e nelle sue legittime azioni di controllo massivo e di antifrode in tempi rapidi che uno Stato equo, efficiente ed agile richiede”.

Per chi si occupa di privacy , in particolare nella pubblica amministrazione, sono parole che meritano molta attenzione perché assicurare il buon andamento e l’imparzialità amministrativa potrebbe portare a conflitti con la tutela della privacy e su questo aspetto i DPO possono e devono svolgere una importante funzione nell’individuazione e realizzazione delle scelte più appropriate.

E il prosieguo della questione fornisce utili spunti di riflessione: al ricorso promosso dall’Inps è seguita, in questi giorni, la sentenza in suo favore n. 4735 / 2022 della XVIII sezione civile del Tribunale di Roma, specializzata sui Diritti della Persona ed Immigrazione. Il Giudice nella sentenza ha effettuato una disamina puntuale delle violazioni contestate dal Garante, che può avere valenza più generale circa il trattamento di dati personali reperibili su fonti aperte, da parte di pubbliche amministrazioni come di privati.

Nel rimandare alla lettura della sentenza per una più analitica cognizione dei ragionamenti svolti per derubricare l’accusa di violazione dei fondamentali principi di liceità, correttezza e trasparenza, di minimizzazione e di esattezza (Gdpr art. 5 . 1. lett.a/b/d), qui interessa richiamare in particolare le considerazioni riportate nella sentenza verso:

1) il requisito della privacy by design e by default (Gdpr art. 25) che, diversamente da quanto eccepito dal Garante, per il Giudice non è stato violato in quanto i dati personali trattati sono stati acquisiti da banche dati pubbliche e, prevedibilmente, gli interessati potevano attendersi un utilizzo per finalità di controllo in relazione al proprio status, ciò anche alla luce del considerando 47 secondo cui “…l’interessato, al momento e nell’ambito della raccolta dei dati, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine”;

2) l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (Gdpr art. 35), inconferente al caso in esame in quanto a) l’evenienza della contestazione o revoca del beneficio avverrebbe nei confronti di chi non avrebbe alcun diritto ed estranea quindi alle previsioni del considerando 75 sui criteri identificativi dei rischi per i diritti e la libertà per le persone e b ) rispetto ai tre criteri individuati dal Garante, fra i nove proposti dalle apposite Linee guida sulla valutazione d’impatto (WP 248 del 2017), numero che farebbe scattare l’obbligo della Dpia, si sarebbe in presenza solo di uno degli stessi in quanto i) pur se è vero che il trattamento è stato effettuato su larga scala, ii) lo stesso non va oltre le ragionevoli aspettative dell’interessato, posto che i dati di parlamentari e amministratori pubblici sono improntati a trasparenza e la richiesta di un beneficio implica la verifica dei requisiti e iii) non ricorre la previsione della impossibilità di avvalersi di un diritto o avvalersi di un servizio o di un contratto, a cui il sussidio straordinario in parola non può essere assimilato (e, comunque, il venire meno al diritto discenderebbe dalla carenza dei requisiti e non dall’accertamento).

Il tribunale di Roma ha annullato la sanzione di 300mila euro cheil Garante Privacy aveva fatto all'Inps

Aldilà della questione a base della vicenda e della risposta che potrà avere in un eventuale prosieguo dell’iter giudiziario – si tratta, bisogna sottolinearlo, “solo” di una sentenza di I° grado e ora spetta al Garante vagliare se proporre un appello, che potrebbe anche ripristinare la validità della propria decisione – il verdetto comunque propone interessanti spunti per l’ecosistema privacy su una questione sempre più importante in un mondo che si avvicina addirittura al metaverso: posto che tutti noi non sempre con piena consapevolezza disseminiamo i nostri dati personali nel web, è lecito che un soggetto, pubblico o privato che sia, li raccolga e li tratti per proprie specifiche finalità?

L’articolata verifica effettuata nella sentenza sull’effettività di diversi requisiti richiesti dalle disposizioni di diverso rango sulla privacy induce a interrogarsi sulla sostenibilità della posizione dei Titolari che si ritengono tout court autorizzati a operare su dati resi pubblici (considerando ciò equivalente a un supposto consenso a qualsiasi trattamento) e quindi legittimati a fagocitare e mixare banche dati open: alcuni requisiti devono essere rispettati.

Ma, ci si dovrebbe anche interrogare, financo a definire un apposito trattamento coerente con il Gdpr, anche ad esempio per quanto riguarda una apposita informativa, che permetterebbe di conoscerlo e quindi poter anche opporsi, nell’ambito delle previsioni del Gdpr, al trattamento?

Per concludere, come sappiamo bene la privacy è un mondo in divenire, sotto l’impulso dell’innovazione organizzativa, tecnologica e normativa così come dei comportamenti: pertanto gli spunti qui proposti non possono che essere ritenuti validi per il presente e sub-judice anche dei futuri cambiamenti di direzione che potranno esservi nei più alti gradi di giudizio.

Note Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Non è lecito fare telefonate promozionali a delle persone solo perché il loro numero è pubblicato su internet
Next Sicurezza e responsabilità nei sistemi robotici

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy