Il MISE ritarda l’adeguamento al GDPR. Multa di 75 mila euro dal Garante per la privacy

Il MISE sanzionato con 75.000 euro

Il pagamento di una sanzione di 75mila euro è stato ordinato al Ministero dello sviluppo economico da parte del Garante per la privacy. Causa della sanzione è la mancata nominato del DPO entro la data del 25 maggio 2018. Termine ultimo, ossia data di piena applicazione del GDPR. Infatti, la nomina e relativa comunicazione all’autorità ai sensi dell’art. 37 del Regolamento europeo, era avvenuta solo nel corso del 2019.

Inoltre, dall’istruttoria svolta dall’Autorità Garante sono stati trovati informazioni personali di oltre 5mila manager diffusi sul sito web istituzionale.

La sanzione al Mise è nata a seguito di pubblicazioni sulla carta stampata 

Nel corso di una istruttoria aperta dall’Ufficio è emersa la mancata nomina del DPO. A seguito di alcune segnalazioni è stata accertata la presenza di una pagina web con un elenco di manager nel sito del Ministero. Su tale pagina erano visibili e liberamente scaricabili i dati personali di oltre cinquemila professionisti. Come per esempio: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare. In alcuni casi risultavano addirittura visibili le copie della carta d’identità e della tessera sanitaria.

Un elenco a cui le piccole e medie imprese avrebbero potuto rivolgersi per richiedere la consulenza in ambito di transizione tecnologica e digitale, nonché destinatarie dei voucher previsti dalla legge di bilancio 2019.

Il Garante sanziona per la prima volta un PA

È la prima volta che l’Autorità ha sanzionato una PA per mancata nomina del DPO entro il termine stabilito ed avere provveduto alla nomina. Oltre ad aver comunicato con notevole ritardo dei dati di contatto al Garante. L’Autorità ha sanzionato anche per la fattispecie il Mise, sottolineando come la gravità di tale inadempimento fosse non scusabile. Anche alla luce del fatto che il Garante stesso avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta ai Ministeri, indicando tra le priorità da tenere in considerazione la nomina del DPO.

L’errore del MISE

Il Mise aveva ritenuto erroneamente, di essere legittimato a diffondere i dati personali degli interessati sulla base del Decreto Ministeriale che disciplinava la materia. L’Autorità, tuttavia, ha ritenuto il trattamento sproporzionato alla finalità perseguita in quanto la pubblicazione dei suddetti dati ha comportato un alto rischio ai soggetti interessati. I rischi di esportazione ed utilizzo non legittimato da parte di terzi, ad esempio: phishing, furto d’identità, profilazione illecita, ecc.

Era inoltre possibile scaricare dalla pagina internet, il decreto direttoriale con il quale l’elenco era stato approvato. Anche esso contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.

L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale e senza alcun filtro del CV rappresentasse un trattamento di dati sproporzionato e non in linea con i principi del GDPR. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager.

Ha sostenuto inoltre che si avrebbe potuto prevedere forme di accesso selettive e aree riservate del sito istituzionale. Accessi mediante credenziali e autenticazione come username o password.

In considerazione del carattere colposo della diffusione dei dati dei manager nonché della collaborazione che il Ministero ha prestato all’Autorità, la sanzione comminata è stata pari a 75 mila euro.

Come nominare un DPO

Fermo restando quanto prescritto dal Regolamento, il Garante ha precisato come sia possibile nominare un DPO* anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Vedi le FAQ del Garante qui.

Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, la figura del DPO.

Va detto che la violazione degli obblighi previsti dai artt. 37, 38 e 39 del GDPR comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Mal interpretazione oppure disattenzione?

Chiaramente non possiamo sapere quale sia stata la causa per la mancata nomina del DPO. Nemmeno perché il MISE abbia ritenuto opportuno pubblicare i dati e ritardato la nomina e comunicazione del DPO. Sappiamo invece che è costato caro. Inoltre si rifletterà negativamente sulla reputazione e intacca la fiducia dei cittadini nel confronto dei servizi offerti da parte de MISE.

Noi vogliamo fare chiarezza e rispondere a tante domande che, ancora oggi, non sono del tutto chiarite. Perciò offriamo un Webinar gratuito dedicato ai Sindaci e ai loro collaboratori. In un video corso di 90 minuti circa spiegheremo dettagliatamente tutti i requisiti minimi che un Comune / Regione deve rispettare per essere adempiente al regolamento europeo 679/2016.

L’iscrizione al Webinar online è aperta

Di seguito alcuni tra i più importanti argomenti trattati:

  1. le nomine
  2. il registro dei trattamenti
  3. le pubblicazioni e le reperibilità
  4. la formazione e i controlli

WEBINAR GRATUITO VENERDÌ 26 marzo 2021 ore 15:00

Fonte: Federprivacy.it * DPO= Data Protection Officer ossia in italiano RPD=Responsabile per la Protezione dei Dati