Per la prima volta il nostro Garante ha sanzionato una pubblica amministrazione per la mancata nomina del responsabile della protezione dei dati (RDP). Destinatario della sanzione è stato il Ministero dello Sviluppo Economico (MISE) che dovrà pagare una sanzione di 75.000 euro per non avere nominato l'RDP in conformità al GDPR. Il Garante imputa al MISE anche la violazione del GDPR per aver diffuso tramite il sito web istituzionale del Ministero informazioni personali relative a oltre 5.000 manager.

Nel provvedimento del Garante si legge che il MISE ha "provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo" nonostante il Garante stesso avesse attivato, fin dal Maggio 2017, un'attività informativa mirata sui Ministeri con la quale si ribadiva non solo la necessità di adeguarsi al GDPR, ma anche di nominare un RDP come elemento prioritatio.

La mancata nomina non è stato il motivo scatenante dell'istruttoria che ha portato alla sanzione: l'Ufficio del Garante ha dato seguito ad alcune segnalazioni che lamentavano la presenza, sul sito del Ministero, di una pagina contenente un elenco di manager dei quali era possibile visualizzare una serie di dati personali come nome e cognome, codice fiscale, email, curriculm vitae, numero di telefono e, in alcuni casi, anche un documento di riconoscimento e la tessera sanitaria. Insomma, un trattamento dati in aperta violazione del principio di minimizzazione chiaramente delineato nelle previsioni del GDPR. La mancata nomina per tempo dell'RDP è emersa nell'ambito di tali verifiche. 

Il sito conteneva anche il decreto direttoriale con il quale era stato approvato detto elenco, decreto che il Garante ha ritenuto assolutamente non adeguato come base normativa per la diffusione di dati online.

Il provvedimento del Garante però non si limita a rilevare le ineguatezze e violazioni al GDPR e ad emanare la sanzione: fornisce infatti una serie di consigli su come si può ovviare al problema incorso.

“Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal Cad, che permettessero la consultazione solo alle pmi interessate“ si legge.

Qui è consultabile il provvedimento > https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9556625