Il Garante privacy sanziona il ministero dello sviluppo economico per aver pubblicato sul proprio sito internet i curricula e altri dati personali di oltre 5.000 manager

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Condividi con:

 

Garante per la protezione dei dati personali: Provvedimento numero 54 del 11 febbraio 2021

Fatto

Il garante per la protezione dei dati personali aveva avviato un’istruttoria nei confronti del ministero dello sviluppo economico, poiché era venuta a conoscenza di alcune notizie pubblicate dalla stampa, secondo cui nel sito Web istituzionale del ministero erano stati pubblicati dati e informazioni personali di numerosi manager. A tale notizia appresa “d’ufficio”, erano altresì seguite numerose segnalazioni da parte di altri soggetti nonché uno specifico reclamo da parte di uno degli interessati.

A seguito degli accertamenti effettuati dal garante, è emerso che all’interno del sito Web del Ministareo dello sviluppo economico era presente un elenco da cui si potevano consultare e anche “scaricare” numerosi dati personali riferiti a oltre 5000 soggetti (fra tali dati, si potevano visionare e acquisire il nominativo, il codice fiscale, l’ indirizzo e-mail, nonché il curriculum vitae degli interessati, contenente ulteriori dati personali come il numero di cellulare, i titoli di studio e le esperienza professionali).

In particolare, il suddetto elenco riguardava i professionisti e le società di consulenza che si erano iscritti come soggetti in grado di fornire consulenza per l’innovazione a favore delle imprese che avessero voluto richiedere il “voucher innovazione” previsto da un bando pubblico del ministero.

La decisione del Garante

Il garante per la protezione dei dati personali ha ritenuto che tale condotta posta in essere dal ministero dello sviluppo economico sia qualificabile come trattamento di dati non conforme alla disciplina contenuta nel Regolamento europeo in materia di protezione dei dati personali (cd. GDPR) per una serie di motivi.

In primo luogo, il Garante ha ritenuto che il suddetto trattamento di dati personali sia stato effettuato in mancanza di una idonea base giuridica.

In particolare, il Regolamento europeo stabilisce che i soggetti pubblici possono diffondere dati personali soltanto nel caso in cui ciò sia previsto da una norma di legge o di regolamento (in quest’ultimo caso soltanto se vi sia anche una norma di legge che attribuisca tale potere al regolamento). Nel caso di specie, la disposizione che aveva previsto la pubblicazione dei suddetti dati personali sul sito Internet del ministero era un decreto del Direttore. Ebbene, secondo il Garante, tale atto non è certamente catalogabile – a livello di fonte normativa – fra le leggi o fra i regolamenti, ma è invece inquadrabile come un atto amministrativo generale. In considerazione di ciò, tale atto non può costituire un idoneo presupposto normativo per il trattamento.

Ciò senza contare il fatto che, in ogni caso, neanche il citato Decreto direttoriale prevedeva la possibilità di pubblicare in maniera integrale il curriculum dei soggetti iscritti nell’elenco.

In secondo luogo, il garante per la protezione dei dati personali ha rilevato che il trattamento dati di cui sopra sostanzia una violazione del principio di limitazione della finalità del trattamento nonché quello di minimizzazione dei dati.

In particolare, la finalità che aveva indotto il Ministero dello sviluppo economico a pubblicare i dati personali dei manager all’interno del sito Internet era quella di permettere alle imprese che avrebbero voluto valutare la possibilità di richiedere il “Voucher innovazione”, di esaminare le caratteristiche professionali dei manager a cui affidare la consulenza da pagare poi attraverso il Voucher medesimo; nonché l’ulteriore successiva finalità di mettere in contatto l’impresa interessata con il professionista individuato a seguito della valutazione del curriculum. Ebbene, secondo il garante privacy, la suddetta finalità poteva essere raggiunta attraverso strumenti meno invasivi rispetto alla pubblicazione su Internet dei dati personali e dei curriculum degli interessati. Ciò in quanto, la pubblicazione su Internet dei dati e la loro accessibilità indiscriminata (nonché la possibilità di download indiscriminato dei medesimi), rappresenta la forma più ampia di diffusione dei dati personali e quindi determina un rischio elevato rispetto ai diritti e alle libertà degli interessati, rendendo questi ultimi facilmente vulnerabili rispetto a forme di utilizzo illegittime dei dati stessi da parte di terzi (come per esempio il furto di identità, la profilazione illecita e il phishing). Secondo il garante, in altri termini, il ministero avrebbe dovuto individuare delle modalità tali da permettere l’accesso e la consultazione dei dati soltanto a coloro che erano effettivamente interessati a consultarli per poter valutare le caratteristiche professionali dell’interessato, al fine di poterlo poi scegliere come consulente da pagare con il Voucher.

In terzo luogo, dall’istruttoria effettuata dal garante, è emerso che il ministero ha effettuato la nomina del responsabile della protezione dei dati oltre un anno dopo la applicabilità del regolamento europeo per la protezione dei dati personali, il quale ha previsto la obbligatorietà della nomina di tale figura per i soggetti pubblici come il ministero.

In considerazione di tutti i rilievi di cui sopra, il garante ha ritenuto di non poter archiviare il procedimento e di dover, invece, confermare che il trattamento di dati personali compiuto dal ministero, nelle modalità sopra descritte, determina una violazione della normativa privacy, in quanto ha comportato la diffusione di dati personali di oltre 5000 interessati (dati fra i quali il nominativo, il codice fiscale, la e-mail, il curriculum vitae, il telefono cellulare ecc.), senza che vi fosse un idoneo presupposto normativo e in maniera non conforme rispetto ai principi di liceità, limitazione della finalità e minimizzazione dei dati. Violazioni cui si deve aggiungere il fatto che il ministero non ha tempestivamente nominato il proprio responsabile per la protezione dei dati, nonostante ciò fosse diventato obbligatorio a suo carico.

Per quanto riguarda le sanzioni irrogate dal garante per la protezione dei dati personali al ministero dello sviluppo economico in considerazione delle violazioni di cui sopra, l’autorità ha ritenuto che non ricorrevano i presupposti per adottare delle misure correttive, poiché la condotta aveva già esaurito i suoi effetti in quanto il titolare del trattamento aveva già provveduto a rimuovere dal proprio sito Web istituzionale i dati personali dei manager. Tuttavia, il garante ha ritenuto di adottare una sanzione pecuniaria a carico del ministero che, in considerazione della mole dei dati trattati nonché della gravità e i rischi per i diritti e le libertà degli interessati determinato dalla diffusione, ha ritenuto di quantificare nella misura di euro 75.000.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano Comellini, 2020, Maggioli Editore

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!