Garante per la protezione dei dati personali: Provvedimento numero 54 del 11 febbraio 2021
Fatto
Il garante per la protezione dei dati personali aveva avviato un’istruttoria nei confronti del ministero dello sviluppo economico, poiché era venuta a conoscenza di alcune notizie pubblicate dalla stampa, secondo cui nel sito Web istituzionale del ministero erano stati pubblicati dati e informazioni personali di numerosi manager. A tale notizia appresa “d’ufficio”, erano altresì seguite numerose segnalazioni da parte di altri soggetti nonché uno specifico reclamo da parte di uno degli interessati.
A seguito degli accertamenti effettuati dal garante, è emerso che all’interno del sito Web del Ministareo dello sviluppo economico era presente un elenco da cui si potevano consultare e anche “scaricare” numerosi dati personali riferiti a oltre 5000 soggetti (fra tali dati, si potevano visionare e acquisire il nominativo, il codice fiscale, l’ indirizzo e-mail, nonché il curriculum vitae degli interessati, contenente ulteriori dati personali come il numero di cellulare, i titoli di studio e le esperienza professionali).
In particolare, il suddetto elenco riguardava i professionisti e le società di consulenza che si erano iscritti come soggetti in grado di fornire consulenza per l’innovazione a favore delle imprese che avessero voluto richiedere il “voucher innovazione” previsto da un bando pubblico del ministero.
La decisione del Garante
Il garante per la protezione dei dati personali ha ritenuto che tale condotta posta in essere dal ministero dello sviluppo economico sia qualificabile come trattamento di dati non conforme alla disciplina contenuta nel Regolamento europeo in materia di protezione dei dati personali (cd. GDPR) per una serie di motivi.
In primo luogo, il Garante ha ritenuto che il suddetto trattamento di dati personali sia stato effettuato in mancanza di una idonea base giuridica.
In particolare, il Regolamento europeo stabilisce che i soggetti pubblici possono diffondere dati personali soltanto nel caso in cui ciò sia previsto da una norma di legge o di regolamento (in quest’ultimo caso soltanto se vi sia anche una norma di legge che attribuisca tale potere al regolamento). Nel caso di specie, la disposizione che aveva previsto la pubblicazione dei suddetti dati personali sul sito Internet del ministero era un decreto del Direttore. Ebbene, secondo il Garante, tale atto non è certamente catalogabile – a livello di fonte normativa – fra le leggi o fra i regolamenti, ma è invece inquadrabile come un atto amministrativo generale. In considerazione di ciò, tale atto non può costituire un idoneo presupposto normativo per il trattamento.
Ciò senza contare il fatto che, in ogni caso, neanche il citato Decreto direttoriale prevedeva la possibilità di pubblicare in maniera integrale il curriculum dei soggetti iscritti nell’elenco.
In secondo luogo, il garante per la protezione dei dati personali ha rilevato che il trattamento dati di cui sopra sostanzia una violazione del principio di limitazione della finalità del trattamento nonché quello di minimizzazione dei dati.
In particolare, la finalità che aveva indotto il Ministero dello sviluppo economico a pubblicare i dati personali dei manager all’interno del sito Internet era quella di permettere alle imprese che avrebbero voluto valutare la possibilità di richiedere il “Voucher innovazione”, di esaminare le caratteristiche professionali dei manager a cui affidare la consulenza da pagare poi attraverso il Voucher medesimo; nonché l’ulteriore successiva finalità di mettere in contatto l’impresa interessata con il professionista individuato a seguito della valutazione del curriculum. Ebbene, secondo il garante privacy, la suddetta finalità poteva essere raggiunta attraverso strumenti meno invasivi rispetto alla pubblicazione su Internet dei dati personali e dei curriculum degli interessati. Ciò in quanto, la pubblicazione su Internet dei dati e la loro accessibilità indiscriminata (nonché la possibilità di download indiscriminato dei medesimi), rappresenta la forma più ampia di diffusione dei dati personali e quindi determina un rischio elevato rispetto ai diritti e alle libertà degli interessati, rendendo questi ultimi facilmente vulnerabili rispetto a forme di utilizzo illegittime dei dati stessi da parte di terzi (come per esempio il furto di identità, la profilazione illecita e il phishing). Secondo il garante, in altri termini, il ministero avrebbe dovuto individuare delle modalità tali da permettere l’accesso e la consultazione dei dati soltanto a coloro che erano effettivamente interessati a consultarli per poter valutare le caratteristiche professionali dell’interessato, al fine di poterlo poi scegliere come consulente da pagare con il Voucher.
In terzo luogo, dall’istruttoria effettuata dal garante, è emerso che il ministero ha effettuato la nomina del responsabile della protezione dei dati oltre un anno dopo la applicabilità del regolamento europeo per la protezione dei dati personali, il quale ha previsto la obbligatorietà della nomina di tale figura per i soggetti pubblici come il ministero.
In considerazione di tutti i rilievi di cui sopra, il garante ha ritenuto di non poter archiviare il procedimento e di dover, invece, confermare che il trattamento di dati personali compiuto dal ministero, nelle modalità sopra descritte, determina una violazione della normativa privacy, in quanto ha comportato la diffusione di dati personali di oltre 5000 interessati (dati fra i quali il nominativo, il codice fiscale, la e-mail, il curriculum vitae, il telefono cellulare ecc.), senza che vi fosse un idoneo presupposto normativo e in maniera non conforme rispetto ai principi di liceità, limitazione della finalità e minimizzazione dei dati. Violazioni cui si deve aggiungere il fatto che il ministero non ha tempestivamente nominato il proprio responsabile per la protezione dei dati, nonostante ciò fosse diventato obbligatorio a suo carico.
Per quanto riguarda le sanzioni irrogate dal garante per la protezione dei dati personali al ministero dello sviluppo economico in considerazione delle violazioni di cui sopra, l’autorità ha ritenuto che non ricorrevano i presupposti per adottare delle misure correttive, poiché la condotta aveva già esaurito i suoi effetti in quanto il titolare del trattamento aveva già provveduto a rimuovere dal proprio sito Web istituzionale i dati personali dei manager. Tuttavia, il garante ha ritenuto di adottare una sanzione pecuniaria a carico del ministero che, in considerazione della mole dei dati trattati nonché della gravità e i rischi per i diritti e le libertà degli interessati determinato dalla diffusione, ha ritenuto di quantificare nella misura di euro 75.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento