Con una recente ordinanza, l’Autority per la privacy ha condannato il Mise al pagamento di una sanzione di 75mila euro per omessa nomina del Responsabile della protezione dati entro il 28 maggio 2018, nonché per aver pubblicato i dati personali di oltre 5mila manager.
A seguito di alcune segnalazioni, il Garante aveva infatti aperto un’istruttoria da cui era emerso che, oltre alla mancata nomina del Responsabile, sul sito ministeriale erano liberamente visionabili e scaricabili una serie di schede contenenti i dati personali (nome e cognome, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare, documento di riconoscimento e tessera sanitaria) di molto professionisti.
In realtà si trattava di un servizio fornito alle piccole e medie imprese per agevolarle nell’individuazione di quei professionisti che potevano fornire un servizio di consulenza in materia di innovazione e trasformazione tecnologica e digitale, così da poter beneficiare dei voucher appositamente previsti dalla legge di bilancio 2019.
Ritenuto il decreto adottato dal direttore del Mise inadeguato a rappresentare una corretta base normativa per la diffusione dei dati online, l’Autority ha comunque considerato sproporzionato il trattamento di questi dati, con specifico riferimento alla pubblicazione integrale dei curricula dei professionisti contenuti nell’elenco.
Nel contempo, la stessa Autority ha ribadito che, per il perseguimento di tale scopo, il Ministero avrebbe potuto e dovuto ricorrere a strumenti meno invasisi rispetto a quelli dianzi descritti, che di fatto avrebbero potuto agevolare un utilizzo potenzialmente indiscriminato da parte di terzi (ad es. furti d’identità, profilazione illecita, phishing).
Si è quindi contestata la violazione dei principi di “limitazione delle finalità”, “minimizzazione dei dati” e di “proporzionalità”, ricordando che il titolare del trattamento è sempre tenuto a porre in essere tutte quelle misure tecnico organizzative (ad es., accesso selettivo ad aree riservate del sito con credenziali di autenticazione) utili “ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Questo provvedimento ribadisce ancora una volta la necessità che tutti i titolari di trattamento individuino, già in fase di prevalutazione dei rischi connessi all’utilizzo dei dati di cui sono entrati legittimamente in possesso, le opzioni più adeguate a garantire la massima protezione dei dati personali utilizzati, imitando la propria attività unicamente a quanto necessario al perseguimento delle finalità, nel rispetto del principio di accountability.