Home > Altro > L’Osservatorio AIDR sullo stato di attuazione del GDPR nella Pubblica Amministrazione

L’Osservatorio AIDR sullo stato di attuazione del GDPR nella Pubblica Amministrazione

scritto da: AIDR | segnala un abuso

L’Osservatorio AIDR sullo stato di attuazione del GDPR nella Pubblica Amministrazione

Sul punto, sulla base di una ricerca effettuata dal gruppo di lavoro dell’Osservatorio di AIDR, sono emerse anche ulteriori criticità in ordine ai comportamenti da evitare e quelli, invece, virtuosi che ogni amministrazione dovrebbe adottare.


di Michele Gorga, avvocato e componente osservatorio per il coordinamento dei DPO, RTD e Reputation Manager

A quasi tre anni di attuazione del Regolamento UE 2016/679, molte sono ancora le criticità in tema di protezione dei dati personali nella Pubblica Amministrazione, che come hanno dimostrano i casi di Cambridge Analitica e  di INPS, vengono sempre più utilizzati per finalità Politiche e, quindi, per fini diversi da quelli che ne hanno legittimato la raccolta.

La protezione dei dati dall’illecito utilizzo è il prossimo banco di prova che vedrà impegnate le Autorità Garanti privacy di tutti i 27 Paesi dell’UE, accanto all’altra problematica che viene a profilarsi ossia quella dell’uso strumentale delle segnalazioni delle violazioni all’Autorità Garante, che sta diventando, per l’entità delle sanzioni comminate, un ulteriore strumento di pressione sulle Imprese e  sulle Amministrazioni, atteso che su circa 60 milioni di sanzioni comminate nel complesso in tutti e 27 i paesi dell’UE, ben 45 sono i milioni comminati dal solo Garante Italiano.

In questo contesto, illuminante è il recentissimo studio che è stato fatto da Finbold[1], sulla base di dati provenienti dal database GDPR Enforcement Tracker[2]. In questa classifica l’Italia è al primo posto e ha, da sola, la quota maggiore per valore delle sanzioni comminate con ben 45 milioni di euro, mentre la Spagna è al primo posto per il numero di contestazioni, per il resto di lieve entità possiamo considerare le sanzioni comminate dalle restanti ventisei Autorità privacy degli altri paesi dell’UE.

Il motivo ricorrente delle sanzioni risiede nelle insufficienti “basi giuridiche per il trattamento dei dati”[3]dato quest’ultimo che evidenzia la carenza del ruolo dei Responsabili della protezione dei dati, che per le Pubbliche Amministrazioni, si sostanzia nel non avere saputo coniugare le esigenze della compliance con quelle della valorizzazione delle opportunità derivanti dal passaggio al digitale, puntando, sbagliando, sull’economicità del servizio invece che sulla qualità.

Sul punto, sulla base di una ricerca effettuata dal gruppo di lavoro dell’Osservatorio di AIDR, sono emerse anche ulteriori criticità in ordine ai comportamenti da evitare e quelli, invece, virtuosi che ogni amministrazione dovrebbe adottare.

La ricerca è partita dall’analisi delle sanzioni comminate nella prima parte del decorso anno 2020 per Comuni, Regioni, Istituti Scolastici, Universitarie e Aziende sanitare.  Lo spaccato è desolante e, sotto alcuni profili raccapricciante. Partendo dalla percentuale delle amministrazioni sanzionate dal Garante nazionale è risultato che circa il 50% è costituito dai Comuni, il 20% dalle Aziende Sanitare, e un buon 30 % dagli Istituti Scolastici.

Muovendo da quest’ultimi, la situazione che ne risulta è gravissima, infatti si tratta solitamente di bandi di selezione pubblicati, di norma sui siti degli Enti  in violazione  dell’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135 recante: “Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini”.  Questa normativa commina la nullità dei contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento[4].

I relativi bandi, poi, prevedo somme a base d’asta non adeguate alla specialità del servizio richiesto, mentre le sanzioni ad oggi comminate dal garante privacy si aggirano dai settemila ai trentamila euro per la sola sanzione amministrativa alla quale si andrà ad aggiungere il risarcimento dei danni che spetterà al soggetto che ha subito il danno derivante dalla illecita diffusione dei dati personali.

Fatta eccezioni per gli esempi virtuosi come quelli di alcune Università, Aziende Regionali e Comuni, dove il criterio di selezione non si basa sul massimo ribasso, ma il discrimine è quello dei titoli, delle competenze e dell’esperienza nell’attività di protezione dei dati, in generale il criterio adottato del massimo ribasso si è dimostrato dannoso per le amministrazioni pubbliche.

La misura del fallimento non ha, poi, limiti di confini territoriali in quanto spazia da Nord a Sud e da Est a Ovest, in una sorta di “democrazia del bestiario della dirigenza pubblica” che lavora contro se stessa come risulta da alcuni esemplari casi. Così il Comune di Baronissi è stato sanzionato per 10.000 euro per la divulgazione di dati personali e catastali; l’Istituto Nazionale per la Previdenza Sociale – Dipartimento della Provincia di Brescia – per un insufficiente riscontro ai diritti di interessati. Il Comune di San Giorgio Jonico per un’illegittima diffusione di dati personali sul sito istituzionale. L’Azienda Ospedaliero Universitaria Integrata di Verona per la violazione delle Misure tecniche, organizzative e di sicurezza delle informazioni.

L’approssimazione è tanta non solo in ordine al mancato rispetto della normativa europea in materia di protezione dei dati, ma anche in tema di violazione del codice dei contratti. Infatti quando le amministrazioni si determinano a effettuare le gare tramite le piattaforme lo fanno in modo eversivo. Cosi emblematico il caso del Comune di Saronno che in un bando di selezione prevedeva un punteggio esorbitante per l’aziende/professionista del territorio, o come l’Università di Aosta che ha ritenuto il professionista designato come DPO, Responsabile Scientifico della Società, un sub-appalto, o come per l’Università di Brescia che ha aggiudicato al ribasso del 15%   il servizio ad oggi reso per l’Ateneo per doli euro 2.775,00 circa. Ed è lunga la casistica di aggiudicazioni del servizio anche a ribasso del 35 al 45% e non mancano aggiudicazioni al 60% della somma posta a base d’asta dalle stazioni appaltanti. Una vera giungla della dequalificazione, che ben presto si rifletterà sull’entità delle sanzioni che saranno comminate dall’Autorità Garante.

Molte amministrazioni, poi, nell’effettuare le gare sulla base del criterio del minor prezzo non tengono affatto conto delle sopravvenute modifiche normative al codice dei contratti, così per quanto registrato  dall’osservatorio AIDR, il 90% dei servizi richiesti sulle piattaforme – negli ultimi 12 mesi – è avvenuto sulla base di una procedura irregolare e nulla, in quanto il criterio di aggiudicazione del prezzo più basso, fissato nelle RDO del  calcolo della soglia di anomalia delle offerte, è stato effettuato secondo le prescrizioni dell’art. 97, comma 2 del Codice degli Appalti, in luogo di quanto previsto dall’art. 97, comma 8 dello stesso Codice. Di conseguenza non è stata applicata la norma della cd. “esclusione automatica delle offerte anomale”, istituto introdotto dal D.L. 18 aprile 2019, n. 32, convertito con modificazioni dalla legge 14 giugno 2019, n. 55, che ha espressamente previsto, nel caso in cui siano presenti almeno dieci offerte ammesse, l’obbligo e non più la facoltà della previsione del meccanismo di esclusione automatica.

Le amministrazioni, poi, anche dinanzi alle collaborative segnalazioni non hanno inteso esercitare il potere in autotutela di annullamento e di ripubblicazione della gara, nonostante che la giurisprudenza del Consiglio di Stato abbia riconosciuto tale loro potere (Cons. St. Ad.pl. n. 14/2014; Cons. Stato, sez. V, n. 11/2011; n. 743/2010; sez. III n. 1320/2017), sommando così all’illegalità della selezione la violazione del principio Costituzionale di efficienza e di buon andamento dell’amministrazione pubblica che dovrebbe sempre orientare a reperire sul mercato la migliore offerta per titoli, competenze ed esperienza in tema di protezione dei dati.

NOTE  

[1] Finbold è il I principale sito di notizie tecnologiche in Irlanda.

[2] Il sito web contiene un elenco e una panoramica delle multe e delle sanzioni che le autorità per la protezione dei dati all’interno dell’UE hanno imposto ai sensi del Regolamento generale sulla protezione dei dati dell’UE.   Non tutte le sanzioni sono state però rese pubbliche.

[3] Paesi dell’UE classificati in base all’importo totale della sanzione GDPR nel 2020 (*): 1  Italia € 45.609.000; 2 Svezia € 7.031.800; 3 Olanda € 2.080.000; 4  Spagna € 1.952.810; 5 Germania € 1.240.000; 6 Norvegia € 742.060; 7  Belgio € 717.000; 8  Ungheria € 299.300; 9  Finlandia € 200.500;  10  Irlanda € 115.000;  11  Romania € 48.150;  12  Danimarca € 34.400;  13  Grecia € 33.000; 14  Islanda € 29.600; 15  Isola di Man € 13.500; 16  Polonia € 12.400;  17  Bulgaria € 12.230; 18 Cipro  € 10.000; 19  Estonia € 500.

[4] Piattaforme di e-procurement sono ben presenti nel nostro ordinamento in quanto Consip (Società di  intera proprietà del ministero delle finanze) consente l’acquisto dei relativi sevizi  attraverso il MEPA sia in forma negoziata che diretta, a livello locale per semplicità di accesso vanno, poi, segnalate le piattaforme ARCA SINtel della Regione Lombardia  e alla quale fanno un massiccio  ricorso  le amministri stazioni della  Regione Lombardia, così come la Piattaforma START della Regione Toscana e il CSI della Regione Piemonte.


Fonte notizia: https://www.aidr.it/losservatorio-aidr-sullo-stato-di-attuazione-del-gdpr-nella-pubblica-amministrazione/




Commenta l'articolo

 

Potrebbe anche interessarti

Marketing su Facebook e GDPR: cosa cambia?


Acronis facilita l'adeguamento delle aziende al GDPR


Misure anticorruzione e trasparenza della PA, approfondimento a Digitale Italia


PNRR e misure di semplificazione in materia di contratti pubblici


Cultura digitale, i risultati dei primi cinque anni di attività premiano l’impegno di Aidr


I tre step al GDPR nell’approccio di Npo Sistemi


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Boom Auto elettriche, ma… le colonnine di ricarica?

Boom Auto elettriche, ma… le colonnine di ricarica?
La legge europea sul clima prevede di raggiungere il traguardo  di emissione zero di gas serra entro il 2050 e, riguardo alle auto,  ha fissato la data limite del 2035  per la  neutralità carbonica. Vito Coviello, Socio AIDR e Responsabile Osservatorio Tecnologie Digitali nel settore dei Trasporti e della LogisticaLe auto sono responsabili del 12% di tutte le emissioni di gas serra in Europa e questo dato ha fatto entrare tra le priorità dell’unione europea  il passaggio dai motori inquinanti ai veicoli elettrici  o a combustione termica, purché  ad emissione zero.La legge euro (continua)

Il ruolo delle piattaforme digitali nel processo di attuazione della Direttiva RED II

Il ruolo delle piattaforme digitali nel processo di attuazione della Direttiva RED II
Il recente recepimento della Direttiva (UE) 2018/2001 (cd. RED II) del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, sulla promozione dell’uso dell’energia da fonti rinnovabili ad opera del Decreto legislativo 8 novembre 2021, n. 199, impone due considerazioni: 1) una breve riflessione sistematica sul ruolo delle policies di digitalizzazione al fine di semplificare l’apparato burocratico relativo al comparto energetico e 2) un primo commento sul ruolo delle piattaforme digitali nell’ambito del processo di transizione energetica in atto.  di Gabriella De Maio, Diritto dell'energia | Dipartimento di Giurisprudenza | Federico II - Socio AIDR e componente dell’Osservatorio AIDR per la Digitalizzazione dell’Ambiente e dell’Energia Il recente recepimento della Direttiva (UE) 2018/2001 (cd. RED II) del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, sulla promozione dell’uso dell’energia da fonti rinnovabili ad oper (continua)

AIDR: il socio Davide D’Amico nell’Almanacco degli innovatori 2021 della PA

AIDR: il socio Davide D’Amico nell’Almanacco degli innovatori 2021 della PA
I volti, i progetti di funzionari e dirigenti che stanno attuando la rivoluzione digitale nella pubblica amministrazione, nell’ottica degli obiettivi del PNRR. Nella rosa dei 149 innovatori italiani, redatta da FPA, società del gruppo Digital360; c’è anche Davide D’Amico, socio e componente dell’associazione Aidr. Dirigente del Miur, con una lunga esperienza nella digital trasformation della PA, l’ingegner D’Amico è tra i protagonisti dell’Almanacco realizzato da Gianni Dominici, Direttore generale di FPA, che è stato presentato ieri nel corso dell’incontro online in diretta su www.forumpa.it. I volti, i progetti di funzionari e dirigenti che stanno attuando la rivoluzione digitale nella pubblica amministrazione, nell’ottica degli obiettivi del PNRR. Nella rosa dei 149 innovatori italiani, redatta da FPA, società del gruppo Digital360; c’è anche Davide D’Amico, socio e componente dell’associazione Aidr. Dirigente del Miur, con una lunga esperienza nella digital trasformation della (continua)

The uneven Shorter, il nuovo album di Luca Mannutza in anteprima alla Casa del Jazz

The uneven Shorter, il nuovo album di Luca Mannutza in anteprima alla Casa del Jazz
Sarà presentato in anteprima il 15 gennaio alle 21 alla Casa del Jazz Casa del Jazz il nuovo album di Luca Mannutza The uneven Shorter, omaggio a uno degli artisti più amati del jazz, Wayne Shorter. Sarà presentato in anteprima il 15 gennaio  alle 21 alla Casa del Jazz Casa del Jazz il nuovo album di Luca Mannutza The uneven Shorter,  omaggio a uno degli artisti più amati del jazz, Wayne Shorter.L’album già in prevendita sui maggiori store digitali (e per gli orecchi più sopraffini, anche sui principali store HiRes), è pubblicato dalla Birdbox Reco (continua)

Digital Europe, ecco il programma per la trasformazione digitale dell’Unione Europea

Digital Europe, ecco il programma per la trasformazione digitale dell’Unione Europea
Sicurezza informatica, intelligenza artificiale, competenze digitali avanzate, supercalcolo e la garanzia di un ampio uso delle tecnologie digitali nella società e nell’economia. Questi gli obiettivi di Digital Europe, il programma di finanziamento UE per favorire la trasformazione digitale dell’Unione Europea che può contare su un budget complessivo di 7 miliardi e mezzo di euro da spendere fino al 2027. Digital Europe, ecco il programma per la trasformazione digitale dell’Unione Europeadi Vittorio Zenardi, Giornalista e Direttore Aidr Web Tv, Sito e Social MediaSicurezza informatica, intelligenza artificiale, competenze digitali avanzate, supercalcolo e la garanzia di un ampio uso delle tecnologie digitali nella società e nell’economia. Questi gli obiettivi di Digital Europe, il program (continua)