Se un recente studio svolto da Federprivacy su tremila siti web dei comuni italiani ha evidenziato che il 47% di questi utilizza protocolli non sicuri per la trasmissione di dati personali, e il 36% non rende noti neanche i recapiti per contattare il Data Protection Officer, figura obbligatoria per tutte le pubbliche amministrazioni, in Norvegia le inosservanze delle misure di sicurezza previste del Gdpr da parte dei comuni iniziano già ad essere sanzionate pesantemente, e questo costituisce un serio avvertimento per le p.a. di casa nostra, in particolar modo perché ormai siamo a poche settimane dalla scadenza del “periodo di grazia” di otto mesi previsto dal Dlgs 101/2018, in cui il Garante italiano ha tenuto finora particolare considerazione nella fase di prima applicazione delle disposizioni sanzionatorie del Regolamento Europeo.
L’autorità per la privacy norvegese (Datatilsynet) ha infatti imposto una multa di 1,6 milioni di corone norvegesi (pari a 170.000 euro) al Comune di Bergen, una città costiera della contea di Hordaland, nella regione di Vestlandet.
La violazione contestata dal garante scandinavo si riferisce a file contenenti username e password degli account di oltre 35.000 utenti del sistema informatico del comune, relativi ad alunni delle scuole primarie del comune e ai dipendenti delle stesse scuole, che risultavano privi di adeguate misure di sicurezza ed apertamente accessibili.
Le falle riscontrate nel sistema informatico delle scuole, che consente l’accesso a vari servizi online, tra cui la piattaforma centrale di e-learning contenente i compiti degli studenti e le loro valutazioni ricevute dagli insegnanti, permettevano infatti a chiunque di accedere ai file contenenti varie categorie di dati personali relativi agli alunni e ai dipendenti degli istituti scolastici, tra cui nominativi, data di nascita, indirizzo, affiliazione scolastica e grado scolastico.
Infliggendo l’ammenda al comune di Bergen, il Datatilsynet ha contestato la violazione dell’ art. 5 comma 1) lettera f) del Gdpr relativo alla mancanza di adeguate misure di sicurezza, e dell’art. 32 relativo alla sicurezza stessa del trattamento dei dati.
Il fatto che la violazione degli oltre 35.000 utenti riguardasse perlopiù i dati personali di bambini, e che nel Ggpr i minori sono definiti come una categoria particolarmente vulnerabile a cui deve essere data una protezione speciale, è stato considerato come fattore aggravante, a maggior ragione del fatto che il comune era già stato avvertito più volte sia dalla stessa autorità che da un whistleblower interno che il livello di sicurezza era inadeguato.
“È importante che i comuni ed altri enti pubblici che trattano dati personali siano consapevoli delle loro responsabilità – ha affermato Bjørn Erik Thon, direttore del Datatilsynet – Le autorità pubbliche spesso elaborano informazioni su di noi che non controlliamo, né abbiamo la possibilità di decidere se queste informazioni siano rese disponibili o meno ad altri. Dovremmo poterci fidare del settore pubblico.”
Anche se la Norvegia non fa parte dell’Unione Europea, è comunque membro dello Spazio Economico Europeo (SEE), e la legge norvegese sui dati personali stabilisce che tutte le autorità pubbliche sono soggette alle disposizioni sulle sanzioni amministrative nell’art. 83 Gdpr, che prevedono multe fino a 20 milioni di euro.
Mentre il conto alla rovescia per la piena applicazione delle disposizioni sanzionatorie del Gdpr da noi è ormai agli sgoccioli, vedremo se e come correranno ai ripari le pubbliche amministrazioni italiane per non fare la fine del malcapitato comune norvegese, che a seguito della multa ha peraltro rinunciato a fare appello contro la decisione dell’autorità scandinava per la protezione dei dati personali.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi