PA “bocciata” al test di conformità al GDPR: è il settore più sanzionato

PA e GDPR compliance: quali criticità?

In base ad una ricerca condotta nel corso del 2019, la Pubblica Amministrazione si dimostra il settore più colpito dalle sanzioni per violazione della normativa sulla protezione dei dati personali nel corso del 2019.

Come è noto, il settore pubblico è tenuto ad operare un costante bilanciamento tra protezione dei dati personali e trasparenza, al fine di garantire il buon andamento e l’imparzialità dell’Amministrazione.

In base all’analisi dei molteplici provvedimenti del Garante per la protezione dati, le questioni più critiche riguardano:

  • Assenza di adeguate misure di sicurezza ex art. 32 GDPR;
  • Inadeguatezza del proprio sistema gestionale e documentale;
  • Pubblicazione di dati non necessari o non pertinenti, in contrasto con i principi previsti all’art. 5 GDPR;
  • Ostensione di dati e informazioni oltre il termine legale, comportando l’esercizio dei diritti dell’interessato ai sensi degli artt. 15 – 22 GDPR.

 

Le ripetute violazioni del GDPR da parte delle Pubbliche Amministrazioni costituiscono ben il 17% del totale delle sanzioni amministrative pecuniarie irrogate nel corso del 2019, e già alla fine di gennaio 2020 questo trend sembra trovare puntuale conferma.

A metà gennaio, infatti, il Garante per la protezione dati ha emanato una nuova ordinanza ingiunzione, con cui ha comminato una sanzione amministrativa pecuniaria pari a 10 mila euro per violazione del GDPR. In particolare, all’ente comunale destinatario del provvedimento (Comune di Francavilla Fontana) è stata contestata la condotta di illecita pubblicazione di dati nell’albo pretorio online, a causa della di una determinazione dirigenziale in cui risultavano riportati anche dati e informazioni personali del reclamante. In particolare, la determina conteneva dettagliati riferimenti:

  • alle relative infermità per cause di servizio;
  • l’indicazione che lo stesso aveva diritto all’equo indennizzo per un certo importo;
  • le coordinate IBAN dell’avvocato incaricato dall’Ente.

 

Il Comune si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni da parte del Garante, attuando un comportamento collaborativo con l’Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Inoltre, sono state messe in atto diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Tale comportamento è stato valutato positivamente dal Garante, che ne ha tenuto conto ai fini di una minor determinazione della sanzione amministrativa pecuniaria.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso sottoposto all’attenzione del Garante dimostra che l’applicazione delle prescrizioni contenute nel GDPR risulta ormai imprescindibile, e che l’assenza di formazione ed informazione costituisce uno dei primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.