Sanzione al MISE per € 75.000,00 cosa dice il Garante della Privacy
di Giuseppe Gorga, socio Aidr
Con Ordinanza di ingiunzioni assunta nei confronti di Ministero dello
Sviluppo Economico – 11 febbraio 2021 – Registro dei provvedimenti n.
54 dell’11 febbraio 2021[doc. web n. 9556625] IL Garante Privacy ha
sanzionato Il Ministero Dello Sviluppo Economico (MISE) per 75.000,00
di euro per avere nominato in ritardo il Responsabile della Protezione
Dati e trasmesso con ritardo i relativi dati e per avere diffuso i
curricula di 5000 di professionisti e Manager
Le pubbliche amministrazioni vanno sanzionate se non hanno designato
il DPO entro il termine stabilito dal Regolamento UE 2016/679 e se
comunicano i dati di contatto del DPO in ritardo.
A seguito di notizie di stampa l’Autorità ha aperto un’istruttoria nei
confronti del Ministero dello Sviluppo Economico (MISE) in ordine alla
diffusione di dati e informazioni personali sul sito web istituzionale
avvenuta in maniera non conforme alla disciplina in materia di
protezione dei dati personali.
Nello specifico sulla base dell’indagine fatta dal Garante è risultato
che sul sito del MISE era presente una pagina web nella quale erano
visibili e liberamente scaricabili dati personali (nominativo, codice
fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati
personali come, ad esempio, telefono cellulare, istruzione e
formazione, dettagliate esperienze professionali, in alcuni casi anche
copia del documento di riconoscimento e della tessera sanitaria ecc.)
riferiti a più di cinquemila soggetti interessati, inseriti
nell’elenco dei «Manager qualificati e delle società di consulenza».
Inoltre sempre dal sito era anche possibile scaricare il decreto del
direttore del Ministero che approvava un elenco dei manager delle
società di consulenza contenente dati e informazioni personali di
tutti i Manager fra cui nominativo, codice fiscale, e-mail.
La legge di bilancio 2019 prevede contributi alle micro, piccole e
medie imprese i cosi detti “Voucher” per l’acquisto, a fondo perduto,
di consulenze specialistiche per i processi di trasformazione
tecnologica e digitale.
Consulenze forniti da società e da manager, iscritti in un apposito
elenco del MISE istituito con D.M. 7/52019 che nello specifico rimette
proprio al decreto del Direttore generale sia la modalità di
iscrizione all’elenco e la previsione di un modello per la
pubblicazione dei dati (allegato 4 ) contenente una tabella da
compilare con i campi: cognome, nome, codice fiscale, e-mail contatto
(personale o società di consulenza), link cv, società di consulenza,
soggetto già iscritto in altri elenchi dei manager dell’innovazione,
esperienza professionale nello svolgimento di incarichi manageriali
negli ambiti di cui all’articolo 3 del DM 7 maggio 2019 (numero anni),
area di interesse ecc.
A seguito dell’attività istruttoria IL Garante ha accertato che il
Ministero dello Sviluppo Economico aveva diffuso online dati personali
(nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con
ulteriori dati personali come, ad esempio, telefono cellulare,
istruzione e formazione, esperienze professionali, ecc.) riferiti a
più di cinquemila soggetti interessati, inseriti nell’elenco dei
Manager e, quindi effettuato un trattamento di dati personali non
conforme al RGPD.
Sempre nel corso di questa istruttoria veniva accertato la nomina del
Responsabile della Protezione dei Dati (RPD) del MISE, nonché il
ritardo nella comunicazione al Garante dei relativi dati di contatto
del DPO e ciò in violazione dell’art. 37, parr 1 e 7, del Regolamento
europeo. IL MISE con memoria difensiva ed audizione presso il Garante.
Nel caso specifico sulla base giuridica del trattamento il Garante
ha rilevato che il Ministero violando l’art. 2-ter, commi 1 e 3, del
Codice – che prevede la possibilità, per i soggetti pubblici, di
diffondere dati personali solo se tale operazione è prevista «da una
norma di legge o, nei casi previsti dalla legge, di regolamento» ed il
decreto del Direttore non era idoneo a legittimare la diffusione dei
dati perché non ha natura regolamentare e non è richiamato dall’art.
1, commi 228, 230 e 231, della legge n. 145/2018 (che prevedono
l’istituzione dell’elenco dei manager). Rilevato che lo stesso
decreto del direttore non prevedeva la pubblicazione integrale dei
curriculum dei manager inviati.
DIFESA DEL MISE
Il Ministero si è difeso sostenendo la natura regolamentare del
decreto direttoriale in quanto costituito anche dalla fonte normative
secondarie appunto il DM sulla base del quale è stato emesso il
Decreto direttoriale e che quindi poiché l’art. 2-ter, comma 1, del
Codice privacy, nel fare riferimento al “regolamento”, – come fonte
(base giuridica) che autorizzava alla pubblicazione la pubblicazione
dei dati doveva intendersi regolare in quanto aveva base giuridica nel
Regolamento.
Ha sostenuto il Ministero che laddove la lettura dell’art. 2-ter,
comma 1, del Codice Privacy fosse più restrittiva di quella proposta
sarebbe in contrasto con il RGPD che rimette proprio agli ordinamenti
nazionali la possibilità di individuare altre “base giuridica” per il
trattamento di dati personali atteso che lo stesso considerando 41
prevede che la “base giuridica” può essere costituita da qualsiasi
norma, espressamente anche non di rango primario.
Il Garante non ha accolto l’interpretazione del MISE perché il RGPD
prevede che il trattamento dei dati personali effettuato da soggetti
pubblici è lecito se necessario «per adempiere un obbligo legale al
quale è soggetto il titolare del trattamento» oppure «per l’esecuzione
di un compito di interesse pubblico o connesso all’esercizio di
pubblici poteri di cui è investito il titolare del trattamento» (art.
6, par. 1, lett. c ed e). In tale contesto il considerando n. 41 è
stato interpretato in modo decontestualizzato in quanto il
Regolamento consente agli stati nazionali di emettere disposizioni più
specifiche per adeguare l’applicazione delle norme del [RGPD] in tale
contesto, che il Codice privacy (riformato) ha previsto degli
specifici requisiti per il trattamento, stabilendo che, nel caso di
diffusione di dati personali (come la pubblicazione su Internet) da
parte di soggetti pubblici, tale operazione possa essere ammessa solo
se prevista «da una norma di legge o, nei casi previsti dalla legge,
di regolamento» (art. 2-ter, commi 1 e 3, del Codice).
E , quindi, il Decreto Direttoriale – che non è un atto amministrativo
generale e perciò non è un “regolamento”, non costituisce un idoneo
presupposto normativo per la diffusione di dati personali, ai sensi
dell’art. 2-ter, commi 1 e 3, del Codice.
Il MISE ha evidenziato che la finalità della pubblicazione dei dati
personali e dei curricula dei manager risiedeva nella necessità «di
consentire alle imprese potenzialmente beneficiarie del Voucher di
individuare, agevolmente e in modo compiuto, i manager dei quali
avvalersi per sostenere i propri processi di trasformazione
tecnologica e digitale, nonché consentire alle imprese stesse di
mettersi in contatto con tali professionisti»
Il Garante ha ritenuto invece che tale pubblicazione dei dati
personali ha comportato un grave rischio di furti d’identità,
profilazione illecita, phishing e che la finalità perseguita si poteva
ben raggiungere, invece, attraverso forme di accesso selettivo ad aree
riservate del sito web istituzionale.
Le pubbliche amministrazioni vanno sanzionate se non hanno designato
il DPO entro il termine stabilito dal Regolamento UE 2016/679 e se
designato comunicano i dati di contatto del DPO in ritardo.
Inoltre che la possibilità, per i soggetti pubblici, di diffondere
dati personali è possibile solo se tale operazione è prevista «da una
norma di legge o, nei casi previsti dalla legge, di regolamento» ma in
tutti gli altri casi devono, se la pubblicazione dei dati è prevista
espressamente per legge valutare se tale pubblicazione dei dati
personali comportato un grave rischio di furti d’identità,
profilazione illecita, phishing e, quindi ricorrere a forme alternate
di accesso alla pubblicazione in relazione alle finalità perseguita
consentire l’accesso ai dati s attraverso forme di accesso
selettivo ad aree riservate del sito web istituzionale. Se non lo
fanno sono sanzionate.
