’Osservatorio AIDR sullo stato di attuazione del GDPR nella Pubblica Amministrazione.
A quasi tre anni di attuazione del Regolamento UE 2016/679, molte sono
ancora le criticità in tema di protezione dei dati personali nella
Pubblica Amministrazione, che come hanno dimostrano i casi di
Cambridge Analitica e di INPS, vengono sempre più utilizzati per
finalità Politiche e, quindi, per fini diversi da quelli che ne hanno
legittimato la raccolta.
La protezione dei dati dall’illecito utilizzo è il prossimo banco di
prova che vedrà impegnate le Autorità Garanti privacy di tutti i 27
Paesi dell’UE, accanto all’altra problematica che viene a profilarsi
ossia quella dell’uso strumentale delle segnalazioni delle violazioni
all’Autorità Garante, che sta diventando, per l’entità delle sanzioni
comminate, un ulteriore strumento di pressione sulle Imprese e sulle
Amministrazioni, atteso che su circa 60 milioni di sanzioni comminate
nel complesso in tutti e 27 i paesi dell’UE, ben 45 sono i milioni
comminati dal solo Garante Italiano.
In questo contesto, illuminante è il recentissimo studio che è stato
fatto da Finbold(1) , sulla base di dati provenienti dal database GDPR
Enforcement Tracker(2). In questa classifica l’Italia è al primo posto
e ha, da sola, la quota maggiore per valore delle sanzioni comminate
con ben 45 milioni di euro, mentre la Spagna è al primo posto per il
numero di contestazioni, per il resto di lieve entità possiamo
considerare le sanzioni comminate dalle restanti ventisei Autorità
privacy degli altri paesi dell’UE.
Il motivo ricorrente delle sanzioni risiede nelle insufficienti “basi
giuridiche per il trattamento dei dati”(3), dato quest’ultimo che
evidenzia la carenza del ruolo dei Responsabili della protezione dei
dati, che per le Pubbliche Amministrazioni, si sostanzia nel non avere
saputo coniugare le esigenze della compliance con quelle della
valorizzazione delle opportunità derivanti dal passaggio al digitale,
puntando, sbagliando, sull’economicità del servizio invece che sulla
qualità.
Sul punto, sulla base di una ricerca effettuata dal gruppo di lavoro
dell’Osservatorio di AIDR, sono emerse anche ulteriori criticità in
ordine ai comportamenti da evitare e quelli, invece, virtuosi che ogni
amministrazione dovrebbe adottare.
La ricerca è partita dall’analisi delle sanzioni comminate nella prima
parte del decorso anno 2020 per Comuni, Regioni, Istituti Scolastici,
Universitarie e Aziende sanitare. Lo spaccato è desolante e, sotto
alcuni profili raccapricciante. Partendo dalla percentuale delle
amministrazioni sanzionate dal Garante nazionale è risultato che circa
il 50% è costituito dai Comuni, il 20% dalle Aziende Sanitare, e un
buon 30 % dagli Istituti Scolastici.
Muovendo da quest’ultimi, la situazione che ne risulta è gravissima,
infatti si tratta solitamente di bandi di selezione pubblicati, di
norma sui siti degli Enti in violazione dell’art. 26, comma 3, della
Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95,
convertito con modificazioni in legge 7 agosto 2012 n. 135 recante:
“Disposizioni urgenti per la revisione della spesa pubblica con
invarianza dei servizi ai cittadini”. Questa normativa commina la
nullità dei contratti stipulati dalle pubbliche amministrazioni in
violazione degli obblighi di approvvigionamento del servizio se non
effettuato attraverso gli strumenti di acquisto messi a disposizione
da Consip S.p.A. e dalle centrali di committenza regionali di
riferimento(4).
I relativi bandi, poi, prevedo somme a base d’asta non adeguate alla
specialità del servizio richiesto, mentre le sanzioni ad oggi
comminate dal garante privacy si aggirano dai settemila ai trentamila
euro per la sola sanzione amministrativa alla quale si andrà ad
aggiungere il risarcimento dei danni che spetterà al soggetto che ha
subito il danno derivante dalla illecita diffusione dei dati personali.
Fatta eccezioni per gli esempi virtuosi come quelli di alcune
Università, Aziende Regionali e Comuni, dove il criterio di selezione
non si basa sul massimo ribasso, ma il discrimine è quello dei titoli,
delle competenze e dell’esperienza nell’attività di protezione dei
dati, in generale il criterio adottato del massimo ribasso si è
dimostrato dannoso per le amministrazioni pubbliche.
La misura del fallimento non ha, poi, limiti di confini territoriali
in quanto spazia da Nord a Sud e da Est a Ovest, in una sorta di
“democrazia del bestiario della dirigenza pubblica” che lavora contro
se stessa come risulta da alcuni esemplari casi. Così il Comune di
Baronissi è stato sanzionato per 10.000 euro per la divulgazione di
dati personali e catastali; l’Istituto Nazionale per la Previdenza
Sociale – Dipartimento della Provincia di Brescia – per un
insufficiente riscontro ai diritti di interessati. Il Comune di San
Giorgio Jonico per un’illegittima diffusione di dati personali sul
sito istituzionale. L’Azienda Ospedaliero Universitaria Integrata di
Verona per la violazione delle Misure tecniche, organizzative e di
sicurezza delle informazioni.
L’approssimazione è tanta non solo in ordine al mancato rispetto della
normativa europea in materia di protezione dei dati, ma anche in tema
di violazione del codice dei contratti. Infatti quando le
amministrazioni si determinano a effettuare le gare tramite le
piattaforme lo fanno in modo eversivo. Cosi emblematico il caso del
Comune di Saronno che in un bando di selezione prevedeva un punteggio
esorbitante per l’aziende/professionista del territorio, o come
l’Università di Aosta che ha ritenuto il professionista designato come
DPO, Responsabile Scientifico della Società, un sub-appalto, o come
per l’Università di Brescia che ha aggiudicato al ribasso del 15% il
servizio ad oggi reso per l’Ateneo per doli euro 2.775,00 circa. Ed è
lunga la casistica di aggiudicazioni del servizio anche a ribasso del
35 al 45% e non mancano aggiudicazioni al 60% della somma posta a base
d’asta dalle stazioni appaltanti. Una vera giungla della
dequalificazione, che ben presto si rifletterà sull’entità delle
sanzioni che saranno comminate dall’Autorità Garante.
Molte amministrazioni, poi, nell’effettuare le gare sulla base del
criterio del minor prezzo non tengono affatto conto delle sopravvenute
modifiche normative al codice dei contratti, così per quanto
registrato dall’osservatorio AIDR, il 90% dei servizi richiesti sulle
piattaforme – negli ultimi 12 mesi – è avvenuto sulla base di una
procedura irregolare e nulla, in quanto il criterio di aggiudicazione
del prezzo più basso, fissato nelle RDO del calcolo della soglia di
anomalia delle offerte, è stato effettuato secondo le prescrizioni
dell’art. 97, comma 2 del Codice degli Appalti, in luogo di quanto
previsto dall’art. 97, comma 8 dello stesso Codice. Di conseguenza non
è stata applicata la norma della cd. “esclusione automatica delle
offerte anomale”, istituto introdotto dal D.L. 18 aprile 2019, n. 32,
convertito con modificazioni dalla legge 14 giugno 2019, n. 55, che ha
espressamente previsto, nel caso in cui siano presenti almeno dieci
offerte ammesse, l’obbligo e non più la facoltà della previsione del
meccanismo di esclusione automatica.
NOTE:
1_Finbold è il I principale sito di notizie tecnologiche in Irlanda.
2_Il sito web contiene un elenco e una panoramica delle multe e delle
sanzioni che le autorità per la protezione dei dati all’interno
dell’UE hanno imposto ai sensi del Regolamento generale sulla
protezione dei dati dell’UE. Non tutte le sanzioni sono state però
rese pubbliche.
3_Paesi dell’UE classificati in base all’importo totale della sanzione
GDPR nel 2020 (*): 1 Italia € 45.609.000; 2 Svezia € 7.031.800; 3
Olanda € 2.080.000; 4 Spagna € 1.952.810; 5 Germania € 1.240.000; 6
Norvegia € 742.060; 7 Belgio € 717.000; 8 Ungheria € 299.300; 9
Finlandia € 200.500; 10 Irlanda € 115.000; 11 Romania € 48.150;
12 Danimarca € 34.400; 13 Grecia € 33.000; 14 Islanda € 29.600; 15
Isola di Man € 13.500; 16 Polonia € 12.400; 17 Bulgaria € 12.230;
18 Cipro € 10.000; 19 Estonia € 500.
4_Piattaforme di e-procurement sono ben presenti nel nostro
ordinamento in quanto Consip (Società di intera proprietà del
ministero delle finanze) consente l’acquisto dei relativi sevizi
attraverso il MEPA sia in forma negoziata che diretta, a livello
locale per semplicità di accesso vanno, poi, segnalate le piattaforme
ARCA SINtel della Regione Lombardia e alla quale fanno un massiccio
ricorso le amministri stazioni della Regione Lombardia, così come la
Piattaforma START della Regione Toscana e il CSI della Regione Piemonte.
