Il Garante può sanzionare la PA per le violazioni della disciplina privacy

L'Agenzia di Tutela della Salute della Città Metropolitana di Milano (di seguito ATS) ha proposto opposizione contro l'ordinanza-ingiunzione di pagamento emessa, nei suoi confronti dal Garante privacy per aver implementato il sistema di tracciamento epidemiologico “Milano - COR” in violazione degli artt. 5, par. 1, lett. a) e f), e par. 2, nonché 13, 25, 32 e 35 del GDPR.

In particolare l'ATS, eccepì il difetto di legittimazione del Garante ad infliggere sanzioni pecuniarie alle pubbliche autorità, evidenziando dei profili di carenza di adeguata motivazione del provvedimento, altresì deducendo, nel merito: i) l'insussistenza delle violazioni contestatele, posto che il portale “Milano - COR” non consentiva di apprendere lo stato di positività degli utenti, se non tramite un'operazione logica articolata; ii) l'insussistenza dei presupposti per effettuare la valutazione di impatto ex art. 35 del Regolamento; iii) l'avvenuta predisposizione di un'informativa privacy. Osservò, inoltre, che le eventuali violazioni, sarebbero state assistite, in ogni caso, dalla scriminante dello stato di necessità o, comunque, sarebbero state realizzate per causa di forza maggiore, in ragione dello stato di emergenza epidemiologica da COVID-19. Lamentò, infine, la violazione dell'art. 83 del Regolamento per mancata e/o erronea applicazione dei criteri per l'accertamento dell'illecito e per la determinazione dell'ammontare della sanzione. L'ATS chiese, dunque, l'annullamento dell'ordinanza e la conseguente revoca della sanzione amministrativa pecuniaria.

Costituitosi il Garante, respinse il ricorso proposto da ATS condannando la parte ricorrente a rimborsare alla parte resistente le spese di lite.

Il tribunale di I grado, ritenuta la legittimazione del Garante ad irrogare sanzioni pecuniarie anche alle pubbliche amministrazioni, opinò che: i) l'ATS non aveva provato che lo stato di positività degli utenti inseriti nel portale non fosse agevolmente desumibile; ii) l'ATS aveva violato il principio cd. privacy by design di cui all'art. 25 del Regolamento privacy; iii) l'art. 17-bis del d.l. n. 18 del 2020 era inapplicabile alla fattispecie dedotta in causa; iv) era necessaria la valutazione di impatto ex art. 35 del Regolamento; v) dovevano escludersi, nella fattispecie, la scriminante dello stato di necessità e la causa di forza maggiore; vi) non vi era stata alcuna violazione dei criteri di accertamento dell'illecito e di determinazione della sanzione, né era stato trasgredito l'obbligo di motivazione della ordinanza-ingiunzione.

In virtù della normativa sovranazionale, il tribunale milanese afferma che ciascuno Stato membro può prevedere norme che precisino l'an ed il quantum delle sanzioni amministrative pecuniarie avverso soggetti con qualifiche pubblicistiche. Conclusione, questa, cui certamente non ostano le Linee guida n. 253/2017 dell'European Data Protection Board (EDPB), che ribadiscono quanto prescritto dal Regolamento circa la discrezionalità degli Stati membri sul potere sanzionatorio del Garante per la protezione dei dati personali; né il parere della Commissione europea pure invocato dalla ricorrente, in cui, sostanzialmente, ci si limita a stabilire quanto disposto dal Considerando 150 del GDPR. A tal proposito la Corte stabilisce che «in tema di violazioni della disciplina relativa al trattamento dei dati personali, il Garante per la protezione di questi ultimi può infliggere sanzioni amministrative pecuniarie anche ad autorità pubbliche e/o organismi pubblici».

Quanto alla conoscibilità dello stato di positività, al sistema di monitoraggio e all'assenza di nocumento in capo agli utenti la Corte è concorde nel ritenere che l'ATS non ha fornito elementi di prova da cui evincere che la conoscibilità del dato riguardante lo stato di salute degli utenti non fosse agevole attesa la inidoneità a garantire la sicurezza di quei dati un sistema cd. a doppia chiave come, appunto, il sistema di tracciamento epidemiologico “Milano - COR”. In merito alla possibilità di rendere l'informativa privacy parzialeai sensi dell'art.13 del GDPR il giudice di merito ha opinato, quanto alla completezza dell'informativa resa da ATS, poichè non ha individuato le norme in virtù delle quali il trattamento veniva svolto e quindi la base giuridica del trattamento, nonché le specifiche modalità del trattamento; inoltre, non sono state individuate le finalità del trattamento atteso che l'ATS avrebbe dovuto esplicitare le necessità di tracciamento alla base dell'istituzione del portale.

In riferimento alla «Violazione ed errata applicazione degli artt. 25 e 32 del Reg. UE n. 679/2016 in ordine al principio della privacy by design», l'ATS ascrive al tribunale di avere ritenuto, erroneamente: i) che il Garante abbia provato che sia stato violato il principio cd. privacy by design che consiste nella prescrizione al titolare di un trattamento dei dati personali, nell'implementare un trattamento di tali dati, di attuare le misure di sicurezza idonee a garantire il rispetto della disciplina sulla privacy, preventivamente alla effettuazione del trattamento; ii) ininfluente, ai sensi degli artt. 32 e 25 del GDPR, il fatto che indebiti accessi non si sono mai verificati e, comunque, non sono stati accertati. E' bene ricordare che il sistema di tutela dei dati personali deve porre l'utente al centro, così obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale, non solo formale: non è sufficiente, cioè, che la progettazione del sistema sia conforme alla norma se, poi, l'utente non è tutelato. Dall'articolo 25 su richiamato si evince che l'approccio del menzionato Regolamento è centrato, tra l'altro, sulla valutazione del rischio (risk based approach), per cui le aziende devono valutare il rischio inerente alle loro attività. Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Tale valutazione del rischio va fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Nella vicenda analizzata, invece, è assolutamente pacifica la circostanza fattuale dell'avvenuto avvio dell'utilizzo del sistema di tracciamento epidemiologico “Milano - COR”, da parte di ATS, senza la terza chiave di sicurezza, sicché è palese l'avvenuta violazione, da parte della ricorrente, del principio, in forza del quale, il titolare del trattamento, nell'implementare un processo che determina il trattamento di dati personali, deve attuare, prima che il trattamento abbia luogo (e non dopo, come, appunto, avvenuto nella specie, allorquando ATS ha aggiunto la terza chiave al fine di garantire un adeguato standard di sicurezza ai dati sanitari dei fruitori del portale), tutte le misure idonee a garantire il rispetto della disciplina in materia.

In un ulteriore motivo l'ATS contesta la determinazione dell'ammontare della sanzione pecuniaria, poiché afferma che il Tribunale «non solo non fornisce alcuna indicazione in merito agli elementi in base ai quali la sanzione dovrebbe essere applicata, evidentemente data per scontata dall'Autorità, ma omette o richiama senza alcuna valida argomentazione i criteri per l'accertamento dell'illecito e per la determinazione della sanzione». Una siffatta doglianza è considerata infondata dalla Corte, atteso che il tribunale ha proceduto ad una concreta ed esaustiva valutazione circa la possibilità/utilità di comminarle la sanzione pecuniaria in assenza di altre parimenti efficaci, così escludendosi qualsivoglia avvenuta sua applicazione “automatica”. A tal proposito, infatti, nella sentenza impugnata si legge, che il Garante, «nell'ambito del provvedimento opposto, ha correttamente irrogato una sanzione amministrativa pecuniaria vista la natura delle violazioni riscontrate da parte di “ATS della Città metropolitana di Milano». Va evidenziato che tale soluzione è imposta dal GDPR e, in particolare, dall'art. 83, par. 4, lett. a), nonché dal par. 5, lett. a) e b), che richiamano il par. 2 della stessa disposizione. Ivi si prescrive, infatti, che alla violazione di specifiche disposizioni (tra cui si annovera altresì la violazione delle disposizioni di cui agli artt. 5, 25, 32, 35, 13 del Regolamento contestata all'ATS nell'ordinanza opposta) è necessariamente soggetta a sanzioni amministrative pecuniarie che sono inflitte “in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) ad h) e j), o in luogo di tali misure”. In conclusione, tale disposizione proclama, nei casi ivi individuati, l'indefettibilità dell'irrogazione di sanzioni amministrative di natura pecuniaria; deve, dunque, ritenersi che il richiamo effettuato dal Garante alle precedenti disposizioni esaurisce la valutazione circa la necessità di applicare sanzioni amministrative pecuniarie nella specie, atteso che essa è autoritativamente imposta dal Regolamento.

(Fonte: Diritto e Giustizia)