di Giuseppe Gorga, socio Aidr

Con Ordinanza di ingiunzioni assunta nei confronti di Ministero dello Sviluppo Economico – 11 febbraio 2021 – Registro dei provvedimenti n. 54 dell’11 febbraio 2021[doc. web n. 9556625] IL Garante Privacy ha sanzionato Il Ministero Dello Sviluppo Economico (MISE) per 75.000,00 di euro per avere nominato in ritardo il Responsabile della Protezione Dati e trasmesso con ritardo i relativi dati e per avere diffuso i curricula di 5000 di professionisti e Manager

Le pubbliche amministrazioni vanno sanzionate se non hanno designato il DPO entro il termine stabilito dal Regolamento UE 2016/679 e se comunicano i dati di contatto del DPO in ritardo.

A seguito di notizie di stampa l’Autorità ha aperto un’istruttoria nei confronti del Ministero dello Sviluppo Economico (MISE) in ordine alla diffusione di dati e informazioni personali sul sito web istituzionale avvenuta in maniera non conforme alla disciplina in materia di protezione dei dati personali.

Nello specifico sulla base dell’indagine fatta dal Garante è risultato che sul sito del MISE era presente una pagina web nella quale erano visibili e liberamente scaricabili dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, dettagliate esperienze professionali, in alcuni casi anche copia del documento di riconoscimento e della tessera sanitaria ecc.) riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei «Manager qualificati e delle società di consulenza».

Inoltre sempre dal sito era anche possibile scaricare il decreto del direttore del Ministero che approvava un elenco dei manager delle società di consulenza contenente dati e informazioni personali di tutti i Manager fra cui nominativo, codice fiscale, e-mail.

La legge di bilancio 2019 prevede contributi alle micro, piccole e medie imprese i cosi detti “Voucher” per l’acquisto, a fondo perduto, di consulenze specialistiche per i processi di trasformazione tecnologica e digitale.

Consulenze forniti da società e da manager, iscritti in un apposito elenco del MISE istituito con D.M. 7/52019 che nello specifico rimette proprio al decreto del Direttore generale sia la modalità di iscrizione all’elenco e la previsione di un modello per la pubblicazione dei dati  (allegato 4 )  contenente una tabella da compilare con i campi: cognome, nome, codice fiscale, e-mail contatto (personale o società di consulenza), link cv, società di consulenza, soggetto già iscritto in altri elenchi dei manager dell’innovazione, esperienza professionale nello svolgimento di incarichi manageriali negli ambiti di cui all’articolo 3 del DM 7 maggio 2019 (numero anni), area di interesse ecc.

A seguito dell’attività istruttoria IL Garante ha accertato che il Ministero dello Sviluppo Economico aveva diffuso online dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, esperienze professionali, ecc.) riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei Manager e, quindi effettuato un trattamento di dati personali non conforme al RGPD. Sempre nel corso di questa istruttoria veniva accertato la nomina del Responsabile della Protezione dei Dati (RPD) del MISE, nonché il ritardo nella comunicazione al Garante dei relativi dati di contatto del DPO e ciò in violazione dell’art. 37, parr 1 e 7, del Regolamento europeo. IL MISE con memoria difensiva ed audizione presso il Garante. Nel caso specifico sulla base   giuridica del trattamento il Garante ha rilevato che il Ministero violando  l’art. 2-ter, commi 1 e 3, del Codice – che prevede la possibilità, per i soggetti pubblici, di diffondere dati personali solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» ed il decreto del Direttore non era idoneo a legittimare la diffusione dei dati  perché non ha natura regolamentare e non è richiamato dall’art. 1, commi 228, 230 e 231, della legge n. 145/2018 (che prevedono l’istituzione dell’elenco dei manager).  Rilevato che lo stesso decreto del direttore non prevedeva la pubblicazione integrale dei curriculum dei manager inviati.

DIFESA DEL MISE

Il Ministero si è difeso sostenendo la natura regolamentare del decreto direttoriale in quanto costituito anche dalla fonte normative secondarie appunto il DM sulla base del quale è stato emesso il Decreto direttoriale e che quindi poiché l’art. 2-ter, comma 1, del Codice privacy, nel fare riferimento al “regolamento”, – come fonte (base giuridica) che autorizzava alla pubblicazione la pubblicazione dei dati doveva intendersi regolare in quanto aveva base giuridica nel Regolamento.

Ha sostenuto il Ministero che laddove la lettura dell’art. 2-ter, comma 1, del Codice Privacy fosse più restrittiva di quella proposta sarebbe in contrasto con il RGPD che rimette proprio agli ordinamenti nazionali la possibilità di individuare altre “base giuridica” per il trattamento di dati personali atteso che lo stesso considerando 41 prevede che la “base giuridica” può essere costituita da qualsiasi norma, espressamente anche non di rango primario.

Il Garante non ha accolto l’interpretazione del MISE perché il RGPD prevede che il trattamento dei dati personali effettuato da soggetti pubblici è lecito se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e). In tale contesto il considerando n. 41 è stato interpretato in modo  decontestualizzato in quanto il Regolamento consente agli stati nazionali di emettere disposizioni più specifiche per adeguare l’applicazione delle norme del [RGPD]  in tale contesto, che il Codice privacy (riformato) ha previsto degli specifici requisiti per il trattamento, stabilendo che, nel caso di diffusione di dati personali (come la pubblicazione su Internet) da parte di soggetti pubblici, tale operazione possa essere ammessa solo se prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice).

E , quindi, il Decreto Direttoriale – che non è un atto amministrativo generale e perciò non è un “regolamento”, non costituisce un idoneo presupposto normativo per la diffusione di dati personali, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice. Il MISE ha evidenziato che la finalità della pubblicazione dei dati personali e dei curricula dei manager risiedeva nella necessità «di consentire alle imprese potenzialmente beneficiarie del Voucher di individuare, agevolmente e in modo compiuto, i manager dei quali avvalersi per sostenere i propri processi di trasformazione tecnologica e digitale, nonché consentire alle imprese stesse di mettersi in contatto con tali professionisti»

Il Garante ha ritenuto invece che tale pubblicazione dei dati personali ha comportato un grave rischio di furti d’identità, profilazione illecita, phishing e che la finalità perseguita si poteva ben raggiungere, invece, attraverso forme di accesso selettivo ad aree riservate del sito web istituzionale. Le pubbliche amministrazioni vanno sanzionate se non hanno designato il DPO entro il termine stabilito dal Regolamento UE 2016/679 e se designato comunicano i dati di contatto del DPO in ritardo.

Inoltre che  la possibilità, per i soggetti pubblici, di diffondere dati personali è possibile solo  se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» ma in tutti gli altri casi devono, se la pubblicazione dei dati è prevista espressamente per legge valutare se  tale pubblicazione dei dati personali comportato un grave rischio  di  furti d’identità, profilazione illecita, phishing e, quindi ricorrere a forme alternate di accesso alla pubblicazione in relazione alle   finalità perseguita  consentire l’accesso  ai dati attraverso forme di accesso selettivo ad aree riservate del sito web istituzionale. Se non lo fanno sono sanzionate.