Il Garante per la protezione dei dati personali ha recentemente emesso un interessante provvedimento di ingiunzione (24.03.2022 – doc. web. 9767635) . Destinataria della sanzione (10.000 euro, per la cronaca) è una società incaricata di fornire una piattaforma gestionale per le contravvenzioni emesse dalla Polizia Locale di un Comune italiano.
La nomina a responsabile esterno
Nello specifico, l’Ente ha stipulato un contratto per la fornitura di licenze di un software, incaricando appunto la società esterna di provvedere – materialmente – alla tenuta del sistema impiegato. Parallelamente alla stipula del contratto, le due parti hanno concluso un accordo di nomina a responsabile esterno, ai sensi dell’art. 28 GDRP. Si tratta dell’atto attraverso il quale il Titolare del trattamento (in questo caso, il Comune), incarica un altro soggetto (la società) di trattare dei dati personali per suo conto. Il Titolare, quindi, non si spoglia del suo ruolo di dominus del trattamento (determina infatti le finalità e i mezzi del trattamento), ma affida ad un responsabile alcuni compiti operativi.
Il contenuto di questo atto è fondamentale per delineare gli obblighi e – quindi – le responsabilità che derivano. Nella circostanza, sono emerse parecchie criticità connesse all’operatività del portale. Una serie di bug tali da consentire ad alcuni soggetti esterni di accedere indebitamente, trovandosi così davanti a dati personali dei cittadini destinatari di multe. L’istruttoria del Garante ha portato alla luce alcune problematiche. Tra queste, l’impiego di un protocollo http anzichè https e il fatto che il sistema, dopo il primo accesso effettuato dall’utente autorizzato, non richiedesse un cambio password.
Il destinatario della sanzione
Situazioni così gravi da determinare l’applicazione di una sanzione. Che, però, è stata rivolta solamente alla società. Il Comune, pur rivestendo i panni del titolare del trattamento, se l’è cavata. La ragione risiede tutta nel contenuto dell’atto di nomina a responsabile. Il Comune ha infatti fatto affidamento sull’esperienza settoriale della società incaricata, soggetto che professionalmente fornisce proprio quel tipo di servizio. Non solo: l’atto di nomina conteneva un preciso obbligo per il responsabile. Questi era infatti chiamato a mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. Espressamente si prevedeva l’adozione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative. Questo test era finalizzato a garantire la sicurezza del trattamento.
Il responsabile, quindi, non solo avrebbe dovuto adottare degli accorgimenti volti ad assicurare un livello di sicurezza adeguato al trattamento (nel rispetto dei principi di privacy by design e privacy by default). La società esterna, infatti, avrebbe altresì dovuto testarne la tenuta. Avrebbe cioè dovuto, con cadenza regolare, sottoporre la piattaforma ad una verifica, per valutare se il funzionamento fosse tale da garantirne la sicurezza.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale