Se il committente esternalizza servizi senza firmare contratti che fissino le clausole privacy tutta la filiera di fornitori e subfornitori paga le sanzioni
Contratto privacy coatto. Quando si esternalizzano servizi, se il committente, fornitore e subfornitore non firmano contratti che fissino le clausole privacy, tutta la filiera paga le sanzioni amministrative, previste dal regolamento Ue n. 2016/679 (Gdpr). Come è capitato a un importante comune, alla società di gestione dei parcheggi e alla società che ha fornito parcometri di ultima generazione. Tutti e tre sono stati sanzionati dal Garante della privacy (provvedimenti n. 292, 293 e 294 del 22/7/2021), in relazione a una vicenda che aveva al centro la memorizzazione di milioni di dati, in parte trasmessi su canali digitali non sicuri.
Nel corso dell'accertamento è emerso che questi smart-parcometri sono utilizzabili per pagare sanzioni e tributi o per acquistare e rinnovare abbonamenti e biglietti del trasporto pubblico, oltre che a pagare la sosta, inserendo anche il numero di targa del veicolo. Una quantità di dati enorme, potenzialmente incrociabili e, quindi, possibile fonte di accessi abusivi. Un malintenzionato avrebbe potuto controllare in maniera massiva qualunque targa, e magari conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo.
L'esposizione dei dati, trasmessi su canali non sicuri, è certamente una grave mancanza di precauzioni nell'uso delle tecnologie, ma i provvedimenti del Garante mettono anche in evidenza che la scure del Gdpr cala in relazione a violazioni documentali.
Le sanzioni della privacy, dunque, colpiscono non solo per violazioni sostanziali, cioè quando la privacy è effettivamente danneggiata, ma anche perché non si sono scritti certi documenti. E può trattarsi anche di contratti, che la cui stipulazione non è più rimessa alla libera decisione delle parti (p.a. o imprese, è lo stesso), ma diventa vincolata, a pena di sanzione pecuniaria. In questo caso, il comune non ha stipulato un contratto con la società di gestione dei parcheggi (per l'affidamento dell'incarico di responsabile di trattamento, ai sensi dell'articolo 28 Gdpr) e quest'ultima non ha fatto altrettanto con la fornitrice dei parcometri (per l'affidamento dell'incarico di sub-responsabile di trattamento). Tanto è bastato per far scattare la sanzione.
Peraltro, nel caso specifico il gestore dei parcheggi aveva invano sollecitato il comune a perfezionare il contratto: ciò non è stato sufficiente a scongiurare la sanzione. Per evitare la sanzione, in caso di inerzia del committente, ci sarebbe una sola via di uscita e cioè lo scioglimento del contratto di servizio (cosa comprensibilmente comunque critica). In ogni caso, se non c'è il contratto ex articolo 28 Gdpr, il trattamento è illegittimo.
Altro documento, che bisogna scrivere, è il registro dei trattamenti (articolo 30 Gdpr): se non c'è, si passa alla cassa delle sanzioni (come stabilito dai provvedimenti in commento).
Con altro provvedimento (296 del 22/7/2021) il Garante ha sancito che la trasparenza amministrativa cede il passo alla privacy, quando si tratta di dati sulla condizione di disagio economico e sociale delle persone (punita una regione, che ha diffuso sul sito web i dati di più di 100 mila studenti, richiedenti borse di studio o sussidi economici per l'acquisto di libri, dotazioni tecnologiche e strumenti per la didattica).
Infine, con due pareri (290 e 291 del 22/7/2021) il Garante ha dato via libera al ministero dell'interno e all'Arma dei carabinieri all'uso delle body cam per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni. Con due condizioni: niente riconoscimento facciale e cancellazione dei dati dopo 6 mesi.
di Antonio Ciccia Messina (Fonte: Italia Oggi dell'11 settembre 2021)
