La vicenda che vede protagonista il Mise ci spiega perché è necessario nominare il DPO

lentepubblica.it • 29 Marzo 2021

Perché è necessario nominare il DPO? Il Garante per la privacy ha sanzionato per la prima volta una pubblica amministrazione per non aver rispettato le tempistiche di nomina del Data Protection Officer secondo quanto previsto dal Gdpr.

Il Regolamento Generale per la protezione dei dati UE 2016/679 prevedeva per le amministrazioni pubbliche la nomina obbligatoria entro il 25 maggio 2018 del Data Protection Officer.

Il Ministero dello sviluppo economico è stato sanzionato con un’ordinanza di ingiunzione dell’11 febbraio 2021 per un importo pari a 75mila euro. Infatti è stato colto doppiamente in fallo: oltre ad avere diffuso le informazioni personali di oltre 5mila manager sul sito web istituzionale, ha nominato il DPO con notevole ritardo rispetto a quanto previsto dalla normativa.

L’istruttoria è stata aperta in seguito ad alcune segnalazioni di professionisti che lamentavano la presenza sul sito del Mise di propri dati personali e sensibili liberamente scaricabili da chiunque. In particolare il Ministero ha reso pubblici: nominativo, codice fiscale, email, curriculum integrale con numero di telefono, in alcuni casi il documento di riconoscimento e la tessera sanitaria.

Un trattamento ritenuto sproporzionato anche a fronte del Decreto ministeriale del 7 maggio 2019 o del Decreto direttoriale per gli incentivi alle imprese pubblicato sul sito del Mise.

È stato probabilmente mal interpretato l’art. 5, comma 1, del Decreto ministeriale che disciplina l’individuazione delle «modalità e termini per la presentazione delle domande di iscrizione all’elenco dei manager qualificati e delle società di consulenza abilitati allo svolgimento degli incarichi manageriali».

Quale sarebbe stata la procedura corretta?

Il servizio in questione è rivolto alle aziende e ai professionisti e per consentire l’incontro tra la domanda delle società e l’offerta dei manager sarebbe stato doveroso utilizzare servizi meno invasivi e maggiormente tutelanti della riservatezza dei dati di ambo le parti.

Il Ministero avrebbe dovuto prevedere forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione oppure tramite gli strumenti previsti dal Cad. Oppure ancora, come proposto da Wired all’inizio della vicenda, attraverso l’ideazione di una piattaforma di intermediazione realizzata ad hoc.

Perché nominare un DPO oltre ad essere obbligatorio è anche indispensabile?

Ciò detto, perché è necessario nominare il DPO? Il Data Protection Officer, all’italiana Responsabile della protezione dei dati, è una figura indispensabile per ciascun ente.

La conoscenza specifica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno di quanto previsto dal Regolamento è fondamentale.

I suoi compiti sono vari e tutti importanti:

Informare e fornire consulenza al titolare del trattamento
Sorvegliare l’osservanza del Regolamento
Cooperare con l’autorità di controllo
Fungere da punto di contatto con l’autorità di controllo e con gli interessati per l’esercizio dei loro diritti

Tolta la sua effettiva utilità bisogna ricordare che la nomina è obbligatoria per le autorità e gli organismi pubblici, identificabili nelle amministrazioni dello stato, negli enti pubblici economici nazionali, regionali e locali, nelle regioni e negli enti locali.

Il titolare del trattamento deve pubblicare i dati di contatto del DPO e comunicare gli stessi al Garante, in modo da garantire a tutti gli interessati e all’autorità di controllo la possibilità di contattare il Dpo in modo facile e diretto.

Siamo d’accordo nell’affermare che urge più cautela con il trattamento dei dati e che bisogna fare in modo che la loro tutela sia uno degli obiettivi principali di qualsiasi amministrazione.