L’Autorità Garante per la protezione dei dati personali, in data 11 marzo 2021, ha sanzionato il Ministero dello Sviluppo Economico al pagamento di euro 75.000.

I fatti

Si tratta della prima sanzione, irrogata dal Garante a una Pubblica Amministrazione, per non aver rispettato il termine entro cui nominare il Responsabile per la protezione dei dati (RPD), così come previsto dal GDPR. Difatti, il Mise non ha provveduto alla nomina entro il 28 maggio 2018. Nel corso di un’istruttoria, a seguito di alcune segnalazioni, è emerso che sono stati resi noti più di 5 mila dati personali di manager dal sito web istituzionale del Mise. Questi dati comprendevano: nominativo, codice fiscale, e-mail, curriculum vitae integrale con numero di cellulare e, talvolta, anche la copia del documento di riconoscimento e della tessera sanitaria dei professionisti.

Tali dati, però, dovevano essere visibili solo a piccole e medie imprese (PMI) destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale. Inoltre, sempre attraverso l’accesso al sito ministeriale era possibile, per chiunque, scaricare il decreto direttoriale che conteneva tutte le informazioni personali di questi 5 mila manager.

A tal proposito, il Garante ha specificato come il decreto direttoriale non costituisca affatto una base giuridica del trattamento, ex art. 6 del GDPR, per la diffusione sul web di simili dati personali.

Reazione del Garante

L’Autorità Garante ha rilevato nell’operato del Mise una violazione del principio di proporzionalità, statuito dal Regolamento europeo in materia di protezione dei dati (GDPR)

Il Garante ha aggiunto che sarebbe stato sufficiente, per soddisfare la domanda di consulenza manageriale richiesta dalle PMI, l’utilizzo di strumenti meno invasivi rispetto alla pubblicazione sul sito web delle informazioni personali dei professionisti. Questo, allo scopo di evitare il rischio di esporre i dati dei manager a trattamenti illegittimi da parte di terzi. Una alternativa sufficiente ad esempio, sarebbe stata l’attribuzione di credenziali di autenticazione (username o password) per accedere ad aree riservate del sito web istituzionale del Ministero.

Il Garante pone, ancora una volta, l’accento sull’importanza di eseguire il trattamento di dati personali in conformità con i principi del GDPR e soprattutto, sull’importanza di affidarsi ad un Responsabile della Protezione dei Dati competente.

Sul tema potrebbe interessarti – Come il (giusto) DPO può far evitare (o ridurre) le sanzioni: il caso