Cronaca - Lello Valente: "In Ciociaria non siamo messi bene. Ci sono Comuni che hanno trasferito all’esterno i propri archivi senza le dovute autorizzazioni, accertamenti e nomine: se i cittadini dovessero sporgere denuncia sarebbe la catastrofe finanziaria per le sanzioni"
Cos’è questo documento che chiedono e che si chiama DPIA?
"Non è una parolaccia è solo un acronimo Data Protection Impact Assessments che in italiano non è altro che una valutazione di impatto sulla protezione dei dati. E’ un semplice documento che deve predisporre il Titolare del trattamento, quindi il Sindaco, per la valutazione di eventuali rischi elevati per le libertà delle persone attraverso un trattamento dei dati".
Bisogna sempre farla questa valutazione?
"Assolutamente no, l’art 35 del Codice Europeo della Privacy il GDPR, stabilisce in quali situazioni bisogna fare questa valutazione, tra le diverse condizioni previste c’è quella dei trattamenti sistemici dei dati che sono quei trattamenti che vengono effettuati senza il necessario ausilio dell’uomo, quindi gli impianti di videosorveglianza".
Serve per capire chi può accedere alle immagini?
.webp)
"Non proprio, è una fotografia dello stato dei trattamenti con l’indicazione anche delle eventuali criticità, il documento più pertinente per capire chi può entrare negli archivi e con quali diritti sarebbe il registro dei trattamenti, previsto dall’art.30 del GDPR. In questo documento deve essere riportato il nominativo di ogni operatore espressamente nominato allo specifico trattamento , con i relativi diritti di sola visualizzazione o di scrittura e cancellazione o di estrazione, etc e nella parte finale ci sono le misure di sicurezza da rispettare o da implementare" .
Come mai i Sindaci sono in stato di allarme?.
"Nessun allarme, molti sindaci hanno sottovalutato gli adempimenti della Privacy, hanno nominato come responsabile della Protezione dei dati (DPO) l’amico o il vicino di casa con il risultato che in caso di violazione dei dati o di una visita ispettiva debbano pagare personalmente gli eventuali danni arrecati".
L’allarme quindi è che pagano i sindaci?
"Non è proprio cosi. Il Sindaco che è il titolare del trattamento ha l’obbligo di nominare il DPO e di accertarsi della conoscenza specialistica della materia (art 37 punto 5 del GDPR) , se dimostra di essersi accertato e di aver nominato chi ha fatto corsi ad hoc, chi è in possesso anche di certificazione, in tal caso non ne risponde, in caso avesse nominato l’amico o il vicino di casa privo di queste competenze specifiche appare evidente la responsabilità del Sindaco. Che ha una doppia responsabilità, Ammesso che la nomina sia stata fatta nel rispetto di quanto prevede l’art 37, può succedere una violazione dei dati, può succedere che si creino delle situazioni che possono configurare o un trattamento illecito o una perdita dei dati. In tal caso ad essere multato è il Comune ma il Sindaco ha il dovere di ricercare chi ha cagionato il danno ed addebitarne le spese".
Mi parla di trattamento illecito, può un dipendente comunale effettuare un trattamento illecito?
"Le assicuro che gran parte dei Comuni non si accorge nemmeno che quotidianamente si fanno trattamenti illeciti, e le assicuro che molti Sindaci non si rendono nemmeno conto di cosa significhi “trattamento illecito”, e delle conseguenze procedurali e sanzionatorie, oltre quelle penali".
Ci sbalordisce la sua affermazione.
Finchè non succede niente, tutti sono contenti e sottovalutano, poi succede come a Frosinone che un assessore accede a dei dati e tutti si preoccupano. O si preoccupano quando il Garante della Privacy incarica il nucleo Privacy della Guardia di Finanza ed arrivano sanzioni di centinai adi migliaia di Euro
A proposito di Frosinone, di chi è la responsabilità della diffusione di quei dati?
"C’è un' inchiesta ed il rispetto è doveroso, ma non è la DPIA che ci fa capire l’organizzazione mail registro dei trattamenti. Mi spiego meglio. Ci deve essere un elenco di persone incaricate di accedere a quei dati, persone con una nomina fatta per iscritto e controfirmata per accettazione, ad ogni persona deve corrispondere una password con i relativi di ritti di accesso. Se un terzo entra in quei dati significa che è entrato con una password di qualcuno, e se questo qualcuno lo ha fatto entrare significa che non ha ricevuto la necessaria formazione ai sensi dell’art 29 del GDPR; se poi queste immagini sono state anche estrapolate significa che la persona dovrebbe avere anche i diritti per fare questa operazione. Per questo motivo dico che il documento preciso dovrebbe essere il registro dei trattamenti e non la DPIA.
E la diffusione su internet di quei dati?
"Quella oltre ad essere un trattamento illecito è una aggravante ulteriore e viene sancita anche penalmente, se poi da quella diffusione se ne ritrae anche un vantaggio anche lucrativo c’è una seconda aggravante. Ma questo non riguarda più né il Sindaco né il Comune"
I Comuni dicono che i Carabinieri chiedono anche le autorizzazioni degli impianti di videosorveglianza.
"La valutazione di Impatto sulla protezione dei dati in alcuni casi richiede una valutazione preventiva diretta da parte del Garante della Privacy, nei casi di impianti considerati “intelligenti”. Per gli altri impianti non servono autorizzazioni di alcun genere. Che io sappia in provincia non sono installati impianti intelligenti che sono quelli con il riconoscimento facciale quelli con la registrazione dell’audio, quelli ad inseguimento delle immagini, etc".
Mi interessa sapere cosa può succedere in caso di trattamento illecito e quando si configura questa fattispecie.
"Risposta molto semplice: il trattamento illecito dei dati produce effetti penali ed amministrativi, basta la mancanza dell’informativa quindi del consenso per fare un trattamento illecito, anche il dipendente comunale che non è stato istruito e non è stato nominato fa trattamento illecito, un impianto di videosorveglianza privo dell’informativa fa trattamento illecito. Le prove di un reato acquisite attraverso un trattamento illecito non possono essere portate in giudizio, solo il Magistrato li può acquisire per fatti di una certa gravità ammettendoli come prove atipiche. Capisce perché primo le ho detto che quasi tutti i Comuni fanno trattamento illecito dei dati? L’art 167 del CdP ad ogni capoverso precisa, salvo più gravi reati"
I Comuni che non stanno in regola cosa possono fare?
"Semplice, nominare un DPO con le specifiche competenze ed avviare un corretto SGP (Sistema Gestione Privacy) iniziando dalla DPIA, alla formazione, alle nomine, etc. Il propblema sono i tempi perché se il Garante avvia le ispezioni ai Comuni che non hanno la DPIA, sarà una strage di sanzioni ma non per la sola DPIA".
Per la sua conoscenza come sono messi i nostri Comuni?
"Male, alcuni malissimo, pensi che ci sono Comuni che hanno trasferito all’esterno i propri archivi senza le dovute autorizzazioni, accertamenti e nomine, se i cittadini dovessero sporgere denuncia sarebbe la catastrofe finanziaria per le sanzioni".
Possibile che le sanzioni siano così elevate?
"Le dico la sanzione più innocua la mancanza o incompleta della sola informativa, solo questa prevede una sanzione da 6 a 36 mila euro, per ogni singola omissione, se la moltiplica per tutte le omissioni già con questa elementare sanzione arriviamo a cifre considerevoli. Tenga presente che si arriva fino a 20 milionio di Euro per le sanzioni più gravi e fino a tre anni di reclusione per le responsabilità penali"
Articolo precedente
A Montecassino celebrata la solennità di San Benedetto, patrono d’Europa e di CassinoArticolo successivo
Buongiovanni avvia il tour del confronto
