Il Regolamento Generale per la protezione dei dati UE 2016/679 prevedeva per le amministrazioni pubbliche la nomina obbligatoria entro il 25 maggio 2018 del Data Protection Officer.
Il Ministero dello sviluppo economico è stato sanzionato con un’ordinanza di ingiunzione dell’11 febbraio 2021 per un importo pari a 75mila euro. Infatti è stato colto doppiamente in fallo: oltre ad avere diffuso le informazioni personali di oltre 5mila manager sul sito web istituzionale, ha nominato il DPO con notevole ritardo rispetto a quanto previsto dalla normativa.
L’istruttoria è stata aperta in seguito ad alcune segnalazioni di professionisti che lamentavano la presenza sul sito del Mise di propri dati personali e sensibili liberamente scaricabili da chiunque. In particolare il Ministero ha reso pubblici: nominativo, codice fiscale, email, curriculum integrale con numero di telefono, in alcuni casi il documento di riconoscimento e la tessera sanitaria.
Un trattamento ritenuto sproporzionato anche a fronte del Decreto ministeriale del 7 maggio 2019 o del Decreto direttoriale per gli incentivi alle imprese pubblicato sul sito del Mise.
È stato probabilmente mal interpretato l’art. 5, comma 1, del Decreto ministeriale che disciplina l’individuazione delle «modalità e termini per la presentazione delle domande di iscrizione all’elenco dei manager qualificati e delle società di consulenza abilitati allo svolgimento degli incarichi manageriali».
Il servizio in questione è rivolto alle aziende e ai professionisti e per consentire l’incontro tra la domanda delle società e l’offerta dei manager sarebbe stato doveroso utilizzare servizi meno invasivi e maggiormente tutelanti della riservatezza dei dati di ambo le parti.
Il Ministero avrebbe dovuto prevedere forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione oppure tramite gli strumenti previsti dal Cad. Oppure ancora, come proposto da Wired all’inizio della vicenda, attraverso l’ideazione di una piattaforma di intermediazione realizzata ad hoc.
Ciò detto, perché è necessario nominare il DPO? Il Data Protection Officer, all’italiana Responsabile della protezione dei dati, è una figura indispensabile per ciascun ente.
La conoscenza specifica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno di quanto previsto dal Regolamento è fondamentale.
I suoi compiti sono vari e tutti importanti:
Tolta la sua effettiva utilità bisogna ricordare che la nomina è obbligatoria per le autorità e gli organismi pubblici, identificabili nelle amministrazioni dello stato, negli enti pubblici economici nazionali, regionali e locali, nelle regioni e negli enti locali.
Il titolare del trattamento deve pubblicare i dati di contatto del DPO e comunicare gli stessi al Garante, in modo da garantire a tutti gli interessati e all’autorità di controllo la possibilità di contattare il Dpo in modo facile e diretto.
Siamo d’accordo nell’affermare che urge più cautela con il trattamento dei dati e che bisogna fare in modo che la loro tutela sia uno degli obiettivi principali di qualsiasi amministrazione.