Avevamo parlato qui delle sanzioni applicate dal Garante Privacy al Titolare del trattamento per colpe del fornitore di cui si avvale. Ebbene, da questo regime di responsabilità non sfugge la Pubblica Amministrazione.
Lo dimostra la sanzione da 350 mila euro nei confronti di un Comune che aveva fatto ricorso ai servizi offerti da un fornitore in assenza di un contratto o altro atto giuridico che disciplinasse il trattamento di dati personali da parte di quest’ultimo, quale responsabile del trattamento, nonché la sanzione da 80 mila euro nei confronti di un’Azienda Ospedaliera che aveva omesso di regolare il rapporto con la società che effettuava il trattamento dei dati dei candidati per conto e nell’esclusivo interesse dell’Ente. L’attenzione sul tema da parte dell’Autorità Garante per la protezione dei dati personali è in crescente aumento: la mancata regolazione del rapporto con il fornitore, nonché l’inosservanza dell’obbligo a carico della Pubblica Amministrazione di impartire allo stesso le necessarie istruzioni, oltre all’inefficacia di un’attività di vigilanza o revisione in merito alla sicurezza dei dati trattati per conto e nell’interesse del Titolare, sono sempre più spesso oggetto di addebiti rilevanti. Ai casi sopra indicati, che rappresentano solo una parte dell’attività sanzionatoria del Garante, può aggiungersi l’ulteriore sanzione da 80 mila euro a carico di un Ente per l’imperizia nel trattamento dei dati da parte del fornitore del servizio che aveva determinato un’illecita diffusione di dati personali, o la nota maxi-sanzione da 800 mila euro a carico di un Comune al quale è stata contestata, fra l’altro, la mancata adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, oltre al mancato conferimento di apposite istruzioni al fornitore (Responsabile del trattamento). Ricordiamo che il rapporto tra Titolare (anche Pubblica Amministrazione) e Responsabile (fornitore) deve obbligatoriamente essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al Titolare di impartire istruzioni al Responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del GDPR). Ma attenzione: come dimostrato anche dai provvedimenti indicati in questo breve approfondimento, l’Autorità Garante ha chiarito che risulta sanzionabile sia la “mancanza” di un contratto o atto equivalente, sia la “presenza” di un documento che, nella sostanza, risulti non idoneo all’osservanza degli obblighi previsti dalla normativa nazionale ed europea in materia di protezione dei dati personali. Si dimostra pertanto inutile e dannoso ricorrere alla sottoscrizione di accordi standard o affidarsi alla mera “comprovata esperienza e serietà” del fornitore, essendo viceversa necessario adottare documenti che, in concreto, tutelino il Titolare consentendogli di dimostrare il proprio adeguamento reale alla normativa.