Questa è la storia di un residente di Sinnai che, suo malgrado, si è ritrovato coinvolto in un caso burocratico che, ahimè, ad oggi rimane ancora senza risposta. La sua vicenda, che riguarda la gestione dei suoi dati personali da parte delle amministrazioni pubbliche, solleva interrogativi fondamentali su come vengono trattati i dati sensibili e su quali siano i diritti dei cittadini quando si verificano errori. Ma andiamo con ordine.
Tutto inizia quando il residente di Sinnai riceve una comunicazione ufficiale da parte di un Ministero, avvisandolo della necessità di fornire una serie di dati per evitare l’incorrere in sanzioni. Confuso e senza la minima idea di cosa si tratti, è costretto a chiedere chiarimenti. Come spesso accade in Italia, niente è mai semplice. La risposta del Ministero lo indirizza a un ufficio regionale, che a sua volta lo rimanda, all’ufficio comunale di Sinnai. Una catena di "vai e torna", che culmina con un codice che il residente utilizza per effettuare una piccola ricerca online. Risultato? Finalmente scopre che si tratta di un caso di omonimia: il suo nome è stato erroneamente associato a una questione che non ha nulla a che fare con lui.
E così, si vede costretto a fare formale richiesta al Comune. La sua PEC, nella quale chiedeva non solo la rimozione dei propri dati personali dal database in questione, ma anche chiarimenti su eventuali altri dati divulgati a terzi in maniera impropria, nonché informazioni su quali misure il Comune di Sinnai intenda adottare per prevenire situazioni simili in futuro, viene protocollata a fine novembre 2024. Tuttavia, ad oggi, la richiesta rimane senza risposta.
Capirete bene che questo episodio scatena una serie di domande sulla gestione dei dati personali e sul rispetto del GDPR da parte degli enti pubblici.
La gestione dei dati personali non può essere ignorata. Le richieste dei cittadini non possono essere lasciate senza risposta, specialmente quando riguardano la privacy.
Alla sottoscritta, questa situazione pare un po' surreale. Non perché non sia possibile che accada un errore del genere, ma perché ci sono regole sul GDPR che vanno rispettate. E queste regole sono molto chiare. Nei miei ruoli precedenti, prima presso l'autorità locale londinese e poi per il governo britannico, il GDPR non era solo una questione di teoria, ma qualcosa di pratico che riguardava ogni singola persona che trattava dati. Si chiedeva periodicamente non solo di partecipare a un corso di formazione iniziale sul GDPR, ma anche a "refresher" periodici, ogni sei mesi circa. È giusto sottolineare che questi corsi erano obbligatori per tutti (ogni grado di ruolo: dal messo fino al Ministro!).
Il processo era semplice e rigoroso: dovevamo completare il corso, sostenere un test e ricevere un certificato finale per dimostrare che avevamo davvero assorbito quelle informazioni e che sapevamo cosa fare in materia di gestione dei dati personali. Un sistema che, seppur stringente, garantiva che ogni membro dell'amministrazione fosse sempre aggiornato e pronto a rispettare le normative, senza scuse.
Cos'è il GDPR e perché è rilevante per i cittadini?
Il GDPR (General Data Protection Regulation) è un regolamento dell'Unione Europea che disciplina il trattamento dei dati personali. Ha l’obiettivo di garantire una protezione più rigorosa dei dati personali dei cittadini europei e di stabilire regole più trasparenti per il trattamento di tali informazioni da parte di enti e aziende.
In base al GDPR, un dato personale è qualsiasi informazione che possa identificare direttamente o indirettamente una persona fisica. Questo include nome, indirizzo, numero di telefono, indirizzo e-mail, dati bancari, dati di geolocalizzazione, e anche identificatori digitali come indirizzi IP o cookie. La normativa, quindi, si estende a un'ampia gamma di informazioni che, anche se prese singolarmente potrebbero sembrare irrilevanti, potrebbero insieme permettere di identificare una persona.
Il GDPR e le amministrazioni pubbliche
Anche le amministrazioni pubbliche, come i Comuni, devono conformarsi al GDPR, con l’obbligo di trattare i dati personali in modo sicuro e di rispettare i diritti dei cittadini. Quando si verificano violazioni, come nel caso di un’erronea divulgazione dei dati, le amministrazioni devono adottare misure correttive tempestive, informare gli interessati, e, se necessario, segnalare l’incidente alle autorità competenti. Inoltre, devono garantire che non si ripetano errori simili in futuro, rivedendo processi, regolamenti e tecnologie utilizzati.
Ecco perché questa situazione a Sinnai mi sembra tanto surreale: sorge il dubbio che gli impiegati e i funzionari del Comune di Sinnai siano stati adeguatamente formati sull'importanza della gestione dei dati personali e sulle regole del GDPR. Se la gestione dei dati personali è affidata a chi non conosce la materia, è inevitabile che ci siano disguidi e situazioni simili a quella vissuta dal nostro residente.
Cosa avrebbe dovuto fare l'amministrazione comunale?
Secondo le leggi in vigore, l'amministrazione comunale, nel caso in questione, avrebbe dovuto eseguire una verifica interna per determinare la portata dell'incidente, confermando quali tipi di dati personali, oltre all'indirizzo e-mail, fossero stati condivisi erroneamente con la RAS, il Ministero in questione o altri enti. Se fossero stati coinvolti dati sensibili, come quelli relativi alla salute, alle opinioni politiche, o altre informazioni particolarmente protette dal GDPR, sarebbe stata una violazione grave.
Le azioni che l'amministrazione avrebbe dovuto intraprendere includono:
- Informare il residente su quali dati sono stati erroneamente divulgati.
- Indicare quali misure correttive sono state adottate o sono in corso per risolvere la situazione.
- Se necessario, informare se l'incidente è stato notificato all'Autorità Garante per la protezione dei dati personali, come previsto dal GDPR in caso di violazioni gravi.
Inoltre, l'amministrazione avrebbe dovuto mettere in atto misure correttive per evitare che simili incidenti accadano in futuro. Tra queste, potrebbero esserci azioni come:
- Rivedere i processi di gestione dei dati: verificare come vengono trattati i dati personali, garantendo che solo il personale autorizzato abbia accesso a tali dati.
- Implementare nuove procedure interne per il trattamento dei dati personali, migliorando la sicurezza e riducendo i rischi di divulgazione non autorizzata.
- Formare adeguatamente il personale su come gestire correttamente i dati sensibili e sulle implicazioni legali di una violazione del GDPR.
Comunicazione e trasparenza
Nel caso in questione, si sarebbe dovuto comunicare all’interessato le azioni correttive intraprese. La comunicazione avrebbe dovuto essere chiara, precisa e contenere:
- Le misure adottate per proteggere i dati personali in futuro.
- Eventuali passi da intraprendere per l’interessato, come aggiornamenti o correzioni ai propri dati.
Il principio di trasparenza previsto dal GDPR implica che l’amministrazione debba essere chiara e informativa nei confronti dei cittadini. Non rispondere a una richiesta di chiarimenti non solo compromette la fiducia dei cittadini, ma potrebbe esporre l’amministrazione a sanzioni da parte dell’Autorità Garante se non vengono rispettati gli obblighi di comunicazione e gestione dei dati.
Conclusioni:
Il caso di Sinnai è un chiaro esempio di come una semplice disattenzione nella gestione dei dati personali possa dar vita a una situazione complessa, che tuttora rimane in sospeso.
Per questi motivi, è sempre più importante che i cittadini siano ben informati sui propri diritti legati al GDPR e sulle modalità di gestione dei propri dati.
Le amministrazioni pubbliche, come i Comuni, devono essere in prima linea nell’adottare misure di sicurezza adeguate e nel garantire che i cittadini possano esercitare i loro diritti senza ostacoli. In questo contesto, la figura del Responsabile della Protezione dei Dati (DPO), dovrebbe essere una garanzia di conformità al GDPR per ogni amministrazione.
Sorgono due domande importanti:
- Esiste un DPO nel Comune di Sinnai?
- In assenza di un DPO o di procedure precise per il trattamento dei dati personali, possiamo considerare i nostri dati personali davvero sicuri nel Comune di Sinnai?
Daniela Pau
