Garante della Privacy: il caso ASL L'Aquila e il possibile conflitto di interessi

lentepubblica.it

Un recente procedimento amministrativo da parte del Garante per la protezione dei dati personali, relativo a una violazione di dati (data breach) subita dall’ASL de L’Aquila, ha innescato un dibattito incentrato sulla trasparenza decisionale dell’Autorità e sulle dinamiche relative ai rapporti professionali dei suoi componenti.

La vicenda, ripresa da diverse fonti giornalistiche come il quotidiano La Repubblica e dalla trasmissione televisiva d’inchiesta Report, solleva interrogativi procedurali e contabili che sono ora oggetto di verifica da parte di altre autorità di controllo.

Il contesto della violazione e la decisione del collegio

Nel maggio del 2023, l’Azienda Sanitaria Locale abruzzese è stata vittima di un attacco informatico che ha compromesso la sicurezza dei dati sanitari di circa 6.800 pazienti, portando alla loro potenziale diffusione in ambienti digitali non autorizzati, come il dark web. Di fronte alla gravità della violazione, il Garante ha avviato un’istruttoria, conclusasi con l’irrogazione di un ammonimento all’ASL, senza l’applicazione di sanzioni pecuniarie.

La decisione del Collegio è stata motivata ufficialmente dalla “piena collaborazione e la tempestiva comunicazione della violazione” dimostrata dall’ente pubblico. Tuttavia, tale esito è stato sottoposto a un’analisi critica successiva, in considerazione di alcuni elementi emersi durante il procedimento, che hanno messo in luce un potenziale incrocio di interessi professionali.

La questione del possibile conflitto di interessi del Garante della Privacy con l’Asl L’Aquila

L’attenzione si è focalizzata sulla scelta dell’ASL de L’Aquila di avvalersi di un noto studio legale per la propria difesa nel corso del procedimento sanzionatorio dinanzi al Garante. È stato rilevato che tale studio risultava essere stato co-fondato da Guido Scorza, attuale componente del Collegio dell’Autorità.

Questo legame, come enunciato all’interno della trasmissione d’inchiesta Report, che ha nelle ultime settimane intrapreso un vero e proprio braccio di ferro con l’Autorità, ha sollevato il sospetto di una potenziale incompatibilità che avrebbe potuto influenzare l’esito del giudizio, nonostante le funzioni di un Garante debbano essere esercitate nella massima imparzialità.

Lo stesso Scorza, interpellato dai giornalisti, ha confermato l’esistenza del rapporto con lo studio e ha prontamente dichiarato di essersi astenuto dalla discussione collegiale relativa al caso specifico dell’ASL. Pur essendo questa astensione la procedura corretta per fronteggiare un’evenienza di conflitto, la circostanza ha comunque generato ulteriore malcontento nei confronti dell’Autorità, già sotto esame per presunte relazioni poco trasparenti tra i suoi vertici e diversi consulenti ed esponenti del foro legali che operano nel settore della data protection.

Il video sulla pagina social dell’Avvocato Simone Aliprandi

Questa circostanza, pur gestita con l’atto formale dell’astensione, ha contribuito ad alimentare un più ampio dibattito sui rapporti tra i membri dell’Autorità Garante e gli ambienti legali che operano nel settore della protezione dei dati personali. La segnalazione della fattispecie risulta indirizzata, da parte di un avvocato esterno, anche all’ANAC (Autorità Nazionale Anticorruzione) e alla Corte dei Conti, affinché ne valutino le implicazioni sul piano della correttezza amministrativa e della gestione delle risorse pubbliche.

Come riportato in un video rilanciato sulla pagina social di Simone Aliprandi, avvocato, divulgatore e docente in materia di diritto d’autore e diritto delle nuove tecnologie, che è stato l’autore della segnalazione all’ANAC e alla Corte dei Conti, l’incarico da 130mila euro dato allo studio legale di Roma per gestire il databreach dell’ASL 1 Abruzzo può configurare un danno erariale perché esisteva già un soggetto preposto ad occuparsene, ossia il DPO.

Il ruolo del DPO e le regole in materia

La vicenda impone una riflessione sulle normative che regolano la trasparenza istituzionale e la gestione delle consulenze negli enti pubblici, che proveremo ad analizzare in modo più accurato qui di seguito.

Il Principio di astensione e imparzialità

I membri delle autorità indipendenti, in virtù del loro ruolo, sono tenuti a operare nel rispetto del principio di imparzialità. In base alle norme procedurali e ai codici etici degli organi collegiali, il componente che si trovi in una situazione di potenziale conflitto di interesse (sia per rapporti personali, parentela, che per pregressi o attuali legami professionali con una delle parti in causa) ha l’obbligo di astenersi dalla partecipazione alla discussione e alla deliberazione. L’astensione è la misura prevista per garantire che la decisione finale sia assunta senza alcun condizionamento e preservi la piena credibilità dell’organo di controllo.

La funzione del Data Protection Officer (DPO)

La figura del DPO (Responsabile della Protezione dei Dati), istituita dal Regolamento Generale sulla Protezione dei Dati (GDPR), è obbligatoria per gli enti pubblici come le ASL. Il DPO ha il compito di sorvegliare l’osservanza della normativa privacy, di fornire consulenza al Titolare del trattamento e di fungere da punto di contatto con l’Autorità Garante.

Nello specifico, il DPO deve essere coinvolto prontamente in tutte le questioni relative alla protezione dei dati, comprese le procedure sanzionatorie derivanti da un data breach. Il DPO è una risorsa interna (o un professionista esterno contrattualizzato) la cui funzione è quella di supportare l’ente nella gestione delle violazioni e nel dialogo con l’Autorità.

Profili di danno erariale negli incarichi legali

La decisione dell’ASL di conferire un incarico esterno per un valore di 130mila euro per la gestione della violazione ha sollevato dubbi riguardo alla potenziale configurazione di un danno erariale. La contestazione si fonda sulla valutazione che l’ente pubblico, disponendo già di un DPO preposto a occuparsi di tali materie, avrebbe potuto non necessitare di una consulenza legale esterna così onerosa per assolvere a funzioni già coperte.

La Corte dei Conti è l’organo chiamato a valutare se l’affidamento di incarichi professionali esterni da parte degli enti pubblici rispetti i criteri di necessità, economicità ed efficacia. Se si dovesse accertare che le funzioni per le quali risulta pagato il consulente esterno poteva svolgerle adeguatamente il DPO già in carico, il costo sostenuto si contesterebbe come danno alle casse dell’ente.

L’esigenza di trasparenza procedurale

La vicenda della sanzione all’ASL de L’Aquila, pur essendosi conclusa con un ammonimento motivato dalla collaborazione dell’ente, ha messo in evidenza l’importanza di una gestione rigorosa e formalmente ineccepibile delle procedure di astensione all’interno del Collegio del Garante.

Allo stesso tempo, si pone l’accento sulla necessità che gli enti pubblici facciano un uso oculato delle risorse, valorizzando le figure interne come il DPO e giustificando adeguatamente l’eventuale ricorso a onerosi incarichi esterni.  Le verifiche in corso da parte di ANAC e Corte dei Conti saranno determinanti per stabilire la piena regolarità amministrativa e contabile della condotta tenuta da tutti gli attori coinvolti.

The post Garante della Privacy: il caso ASL L'Aquila e il possibile conflitto di interessi appeared first on lentepubblica.it.