Il Garante per la protezione dei dati personali ha imposto una sanzione di 75.000 euro al Ministero dello Sviluppo Economico (MISE) per aver impropriamente diffuso sul proprio sito web dati personali relativi a circa 5.000 soggetti e per non aver nominato nei termini stabiliti dal Regolamento UE 2016/679 il Responsabile della protezione dei dati.
Al termine delle indagini, il Garante ha ritenuto di sanzionare il MISE contestando a quest’ultimo, da un lato, la violazione di alcuni dei principi fondamentali in materia di trattamento dei dati personali e, dall’altro, il ritardo nell’adempiere agli obblighi previsti dalla normativa vigente in materia di protezione dei dati personali.
IL FATTO
In seguito alla pubblicazione di alcune notizie di stampa, il Garante ha avviato un’indagine nei confronti del Ministero dello Sviluppo Economico (MISE) poiché nel sito del Ministero risultavano visibili e scaricabili dati personali (quali dati identificativi e curricula vitae integrali) riferibili a più di cinquemila soggetti inseriti nell’elenco dei “Manager qualificati e delle società di consulenza”. Tale elenco era stato predisposto per consentire a micro, piccole e medie imprese di individuare un fornitore per il servizio di consulenza in materia di innovazione e trasformazione tecnologica e digitale, beneficiando del contributo previsto dalla legge di bilancio 2019. L’elenco dei Manager qualificati era stato istituito con apposito decreto del Ministro dello sviluppo economico. Senza approfondire quanto emerso nel corso del contraddittorio tra il Garante e il Ministero dello Sviluppo Economico, relativamente alla liceità del trattamento e all’individuazione della corretta base giuridica del trattamento, giova esaminare quanto affermato dal Garante in merito all’applicazione degli ulteriori principi applicabili al trattamento dei dati personali, di cui all’art. 5 del Regolamento UE 679/2016, e in particolare in merito ai principi di minimizzazione, limitazione delle finalità e proporzionalità.
Nel caso in esame, la finalità del trattamento, come affermato dal MISE, era quella di “consentire alle imprese potenzialmente beneficiarie del contributo per attività di consulenza in materia di trasformazione tecnologica e digitale di individuare agevolmente e in modo compiuto i manager dei quali avvalersi per tale attività nonché mettersi in contatto con tali professionisti”. La pubblicazione integrale dei dati dei manager era dunque funzionale a fornire un servizio alle imprese. Anche in seguito ai chiarimenti forniti dal Ministero dello Sviluppo Economico, il Garante ha ritenuto che per il perseguimento della finalità indicata, il Ministero avrebbe potuto servirsi di strumenti meno invasivi rispetto alla pubblicazione sul proprio sito web di tutti i dati personali dei manager. In particolare, il Garante ha evidenziato che tale diffusione di dati personali ha il rischio di rendere vulnerabili i dati rispetto ad ulteriori forme di utilizzo dei dati da parte di terzi, quali, ad esempio, furti d’identità, profilazione illecita, phishing. Sotto tale profilo, il Garante ha dunque contestato al Ministero dello Sviluppo Economico la violazione dei principi di “limitazione delle finalità” e di “minimizzazione dei dati” e di “proporzionalità” considerato inoltre che il titolare del trattamento è tenuto a mettere “in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (art. 25, par. 1 del Regolamento UE 2016/679). Il Garante ha dunque ribadito nel proprio Provvedimento, la necessità di adottare strumenti idonei a garantire l’applicazione dei principi del trattamento dei dati personali, nonché misure tecniche e organizzative adeguate per tutelare i diritti degli interessati. Giova ricordare che Il Regolamento UE 2016/679 pone con forza l’accento sul concetto di “accountability” ossia sull’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare la corretta applicazione della normativa in materia di tutela dei dati personali (art. 5, co. 2 del Regolamento).
Nel corso delle indagini del Garante, è inoltre emerso che il Ministero dello Sviluppo Economico non ha provveduto, all’entrata in vigore del Regolamento UE 679/2016, alla nomina del Responsabile della Protezione dei Dati (Data Protection Officer, DPO), provvedendovi con notevole ritardo (circa un anno e mezzo dopo il 25 maggio 2018). Il MISE ha fornito un approfondita giustificazione in merito al ritardo nella nomina (legato alle contingenze dell’alternarsi del nuovo organo di vertice politico e alla connessa riorganizzazione amministrativa). Il Garante ha ritenuto tuttavia non giustificabile tale ritardo nella nomina del Responsabile della protezione dei dati personali anche in ragione dell’attività informativa svolta dal Garante nei confronti del Ministero dello Sviluppo Economico prima dell’entrata in vigore del Regolamento UE 2016/679. Come noto infatti – ai sensi dell’art. 37 del Regolamento – il titolare del trattamento è tenuto a designare un responsabile della protezione dei dati ogniqualvolta “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico” (art. 37 co. 1, lett. a) del Regolamento UE 2016/679).
Il Responsabile della protezione dei dati è un soggetto designato dal titolare del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. Giova ricordare che sono tenuti alla designazione del Responsabile per la protezione dei dati oltre ai soggetti pubblici, anche i soggetti privati le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (art. 37 co. 1, lett. b) e c) del Regolamento). A titolo esemplificativo e non esaustivo il Garante elenca tra i soggetti privati tenuti alla designazione del Responsabile della protezione dei dati: istituti di credito, imprese assicurative, istituti di vigilanza, sindacati, caf e patronati, società operanti nei settori delle telecomunicazioni e nella distribuzione di energia elettrica o gas, imprese di somministrazione di lavoro e ricerca del personale, ospedali privati, laboratori di analisi mediche, call center e società che forniscono servizi informatici.
L’incarico di Responsabile della protezione dei dati può essere affidato ad un soggetto interno o esterno all’azienda che possa garantire l’effettivo assolvimento dei compiti che il Regolamento assegna a tale figura. Nell’ipotesi di designazione di un soggetto interno, è inoltre necessario che tale soggetto non sia in conflitto di interessi ed è pertanto preferibile evitare di assegnare il ruolo a soggetti con incarichi di alta direzione (es. amministratore delegato, membro del consiglio di amministrazione, direttore generale, ecc.) ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, marketing, IT, ecc.).
PERCHÉ È IMPORTANTE:
L’Ordinanza di ingiunzione del Garante nei confronti del Ministero dello Sviluppo Economico ribadisce ai titolari del trattamento l’importanza di attuare in modo efficace i principi di protezione dei dati e di fare scelte consapevoli che consentano di garantire la protezione dei dati personali. Ogni attività di trattamento dei dati personali deve sempre essere attentamente valutata dal titolare del trattamento e che deve limitarsi a trattare esclusivamente i dati necessari per il perseguimento delle proprie finalità, nel rispetto del principio di accountability. Il Provvedimento del Garante ribadisce inoltre l’importanza di valutare la necessità di procedere alla designazione di un Responsabile della protezione dei dati, per garantire il rispetto della vigente normativa in materia di dati personali e non rischiare di incorrere in sanzioni.