A causa della non conformità della diffusione di dati e informazioni personali sul sito web istituzionale è stata emessa una sanzione al MISE di 75mila euro.

Sanzione al MISE

Con Ordinanza di ingiunzioni assunta nei confronti di Ministero dello Sviluppo Economico (MISE) – 11 febbraio 2021 – Registro dei provvedimenti n. 54 dell’ 11 febbraio 2021. Il Garante Privacy ha istituito una sanzione al MISE di 75mila euro per avere nominato in ritardo il Responsabile della Protezione Dati e trasmesso con ritardo i relativi dati e per avere diffuso i curricula di 5000 di professionisti e Manager.

Le pubbliche amministrazioni vanno sanzionate se non hanno designato il DPO entro il termine stabilito dal Regolamento UE 2016/679 e se comunicano i dati di contatto del DPO in ritardo.

A seguito di notizie di stampa l’ Autorità ha aperto un’ istruttoria nei confronti del MISE in ordine alla diffusione di dati e informazioni personali sul sito web istituzionale avvenuta in maniera non conforme alla disciplina in materia di protezione dei dati personali.
Nello specifico sulla base dell’ indagine fatta dal Garante che ha portato ad una sanzione al MISE, è risultato che sul sito del MISE era presente una pagina web nella quale erano visibili e liberamente scaricabili dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, dettagliate esperienze professionali, in alcuni casi anche copia del documento di riconoscimento e della tessera sanitaria ecc.) riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei «Manager qualificati e delle società di consulenza».

Inoltre sempre dal sito era anche possibile scaricare il decreto del direttore del Ministero che approvava un elenco dei manager delle società di consulenza contenente dati e informazioni personali di tutti i Manager fra cui nominativo, codice fiscale, e-mail.
La legge di bilancio 2019 prevede contributi alle micro, piccole e medie imprese i cosi detti “Voucher” per l’acquisto, a fondo perduto, di consulenze specialistiche per i processi di trasformazione tecnologica e digitale.

La sanzione al MISE è inoltre una conseguenza di consulenze fornite da società e da manager, iscritti in un apposito elenco del MISE istituito con D.M. 7/52019 che nello specifico rimette proprio al decreto del Direttore generale sia la modalità di iscrizione all’ elenco e la previsione di un modello per la pubblicazione dei dati contenente una tabella da compilare con i campi: cognome, nome, codice fiscale, e-mail contatto (personale o società di consulenza), link cv, società di consulenza, soggetto già iscritto in altri elenchi dei manager dell’innovazione, esperienza professionale nello svolgimento di incarichi manageriali negli ambiti di cui all’articolo 3 del DM 7 maggio 2019 (numero anni), area di interesse ecc.

A seguito dell’ attività istruttoria il Garante ha accertato che il MISE aveva diffuso online dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, esperienze professionali, ecc.) riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei Manager e, quindi effettuato un trattamento di dati personali non conforme al RGPD.

Sempre nel corso di questa istruttoria veniva accertato la nomina del Responsabile della Protezione dei Dati (RPD) del MISE, nonché il ritardo nella comunicazione al Garante dei relativi dati di contatto del DPO e ciò in violazione dell’art. 37, parr 1 e 7, del Regolamento europeo. IL MISE con memoria difensiva ed audizione presso il Garante.

Nel caso specifico sulla base giuridica del trattamento il Garante ha rilevato che il Ministero violando l’ art. 2-ter, commi 1 e 3, del Codice – che prevede la possibilità, per i soggetti pubblici, di diffondere dati personali solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» ed il decreto del Direttore non era idoneo a legittimare la diffusione dei dati perché non ha natura regolamentare e non è richiamato dall’art. 1, commi 228, 230 e 231, della legge n. 145/2018 (che prevedono l’istituzione dell’elenco dei manager). Rilevato che lo stesso decreto del direttore non prevedeva la pubblicazione integrale dei curriculum dei manager inviati.

Sanzione al MISE – la difesa.

Il Ministero si è difeso sostenendo la natura regolamentare del decreto direttoriale in quanto costituito anche dalla fonte normative secondarie appunto il DM sulla base del quale è stato emesso il Decreto direttoriale e che quindi poiché l’art. 2-ter, comma 1, del Codice privacy, nel fare riferimento al “regolamento”, – come fonte (base giuridica) che autorizzava alla pubblicazione la pubblicazione dei dati doveva intendersi regolare in quanto aveva base giuridica nel Regolamento.

All’ emissione della sanzione al Mise, il Ministero ha sostenuto che laddove la lettura dell’ art. 2-ter, comma 1, del Codice Privacy fosse più restrittiva di quella proposta sarebbe in contrasto con il RGPD che rimette proprio agli ordinamenti nazionali la possibilità di individuare altre “base giuridica” per il trattamento di dati personali atteso che lo stesso considerando 41 prevede che la “base giuridica” può essere costituita da qualsiasi norma, espressamente anche non di rango primario.

Il Garante non ha accolto l’ interpretazione del MISE perché il RGPD prevede che il trattamento dei dati personali effettuato da soggetti pubblici è lecito se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e). In tale contesto il considerando n. 41 è stato interpretato in modo decontestualizzato in quanto il Regolamento consente agli stati nazionali di emettere disposizioni più specifiche per adeguare l’ applicazione delle norme del [RGPD] in tale contesto, che il Codice privacy (riformato) ha previsto degli specifici requisiti per il trattamento, stabilendo che, nel caso di diffusione di dati personali (come la pubblicazione su Internet) da parte di soggetti pubblici, tale operazione possa essere ammessa solo se prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice).

E , quindi, il Decreto Direttoriale – che non è un atto amministrativo generale e perciò non è un “regolamento”, non costituisce un idoneo presupposto normativo per la diffusione di dati personali, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.
Il MISE ha evidenziato che la finalità della pubblicazione dei dati personali e dei curricula dei manager risiedeva nella necessità “di consentire alle imprese potenzialmente beneficiarie del Voucher di individuare, agevolmente e in modo compiuto, i manager dei quali avvalersi per sostenere i propri processi di trasformazione tecnologica e digitale, nonché consentire alle imprese stesse di mettersi in contatto con tali professionisti”.

Il Garante ha emesso la sanzione al MISE perchè ha ritenuto, invece, che tale pubblicazione dei dati personali ha comportato un grave rischio di furti d’identità, profilazione illecita, phishing e che la finalità perseguita si poteva ben raggiungere, invece, attraverso forme di accesso selettivo ad aree riservate del sito web istituzionale.

Le pubbliche amministrazioni vanno sanzionate se non hanno designato il DPO entro il termine stabilito dal Regolamento UE 2016/679 e se designato comunicano i dati di contatto del DPO in ritardo.

Inoltre che la possibilità, per i soggetti pubblici, di diffondere dati personali è possibile solo se tale operazione è prevista “da una norma di legge o, nei casi previsti dalla legge, di regolamento” ma in tutti gli altri casi devono, se la pubblicazione dei dati è prevista espressamente per legge valutare se tale pubblicazione dei dati personali comportato un grave rischio di furti d’identità, profilazione illecita, phishing e, quindi ricorrere a forme alternate di accesso alla pubblicazione in relazione alle finalità perseguita a consentire l’ accesso ai dati attraverso forme di accesso selettivo ad aree riservate del sito web istituzionale. Se non lo fanno sono sanzionate.

 

di Giuseppe Gorga, socio Aidr