Sempre più spesso i comuni, e più in generale la P.A., fanno uso di applicazioni al fine di fornire all’utenza dei servizi di prenotazione degli appuntamenti e di erogazione di servizi di sportello o di altro genere. Così facendo, finiscono per trattare un’ingente mole di dati personali, a volte anche molto delicati perché relativi a prenotazioni di vari servizi, incluse prestazioni sanitarie.
Nella prospettiva del rispetto dell’art. 25 del Gdpr “protezione dei dati sin dalla progettazione e protezione dei dati per impostazione predefinita” (c.d. “privacy by design” e “privacy by defualt”) occorre avere ben chiari gli obblighi a cui adeguarsi. Tali obblighi sono stati recentemente chiariti dal Garante per la Protezione dei Dati Personali nel provvedimento con cui ha ingiunto a Roma Capitale il pagamento di una sanzione di 500.000 Euro per l’illecito trattamento dei dati personali (Ordinanza ingiunzione del 17 dicembre 2020). Nello specifico, il provvedimento ha ad oggetto il sistema di prenotazione degli appuntamenti “TuPassi”, sviluppato da una società terza e utilizzato sin dal 2015 per prenotare appuntamenti e ottenere l’erogazione di servizi da parte di Roma Capitale.
Dal menzionato provvedimento emergono tre obblighi da cui il Titolare del trattamento non può esimersi: i) l’obbligo di fornire l’informativa; ii) la necessità della nomina del Responsabile del trattamento e iii) l’obbligo di adottare misure tecniche e organizzative adeguate.
I) l’obbligo di fornire l’informativa
Il primo profilo di criticità che emerge dalla lettura del provvedimento è la mancata informativa agli interessati del servizio.
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (Gdpr), prima di procedere alla raccolta dei dati personali è necessario che il Titolare fornisca all’Interessato informazioni chiare e semplici sui trattamenti resi possibili dall’utilizzo dell’applicazione.
Oltre ad essere un adempimento necessario per consentire ai soggetti Interessati di venire a conoscenza del trattamento dei dati loro richiesti e metterli nella condizione di esercitare i propri diritti (artt. 15-22 del Gdpr), fornire l’informativa risulta fondamentale anche per il Titolare al fine di documentare la raccolta del consenso degli stessi Interessati.
Alla luce degli obblighi dell’art. 25 del Gdpr (“privacy by design” e “privacy by defualt”) sin dalla progettazione e al momento del trattamento occorre fare in modo che prima di poter accedere al servizio sia messa a disposizione dell’interessato l’informativa.
II) la necessità della nomina del Responsabile del trattamento
Il secondo profilo di criticità segnalato nel provvedimento è la mancata nomina della società che ha sviluppato il sistema in questione quale responsabile del trattamento ai sensi dell’art. 28 del Gdpr e le mancate istruzioni da parte del titolare sulle modalità di trattamento.
Pertanto, all’atto dell’affidamento dell’incarico il titolare dovrà necessariamente provvedere a effettuare la nomina della società che eroga il servizio quale responsabile ai sensi dell’art. 28 e a fornire le istruzioni documentate relative al trattamento.
III) l’obbligo di adottare misure tecniche e organizzative adeguate
Il terzo profilo di criticità evidenziato dal Garante per la Protezione dei Dati Personali nel provvedimento riguarda l’adozione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio tenendo conto, in particolare, della natura dell’oggetto del contesto, delle finalità e dei rischi inerenti al trattamento per i diritti e le libertà delle persone fisiche (art. 32 del Gdpr).
Pertanto, il titolare del trattamento dovrà progettare e configurare il sistema tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 Gdpr).
Inoltre, alla luce dell’art. 35 del Gdpr, prima di procedere al trattamento attraverso l’uso di nuove tecnologie, potrebbe esser necessario eseguire la valutazione d’impatto sulla protezione dei dati.
In conclusione, considerato il potenziale numero di interessati che potrebbero utilizzare la app o il sistema ideato dall’Ente è necessario progettare tutti i vari elementi alla luce delle indicazioni del Gdpr; in ambiti come questo, più che in latri, sarà necessario il coinvolgimento del Responsabile della Protezione dei Dati dell’Ente proprio nella prospettiva di essere conformi e assicurare il rispetto del Gdpr nei confronti degli interessati ed evitare l’irrogazione di sanzioni (anche molto pesanti) da parte dell’Autorità.
Di Flavio Corsinovi
