Da Wired.it :
Sanzione da 75mila euro al Mise, che all’epoca dei fatti non aveva indicato il responsabile della protezione dei dati. Le indagini dopo il caso delle informazioni di migliaia di manager pubblicate online
Per la prima volta il Garante per la privacy ha sanzionato una pubblica amministrazione per non avere nominato il responsabile della protezione dati. Nel mirino c’è il ministero dello Sviluppo economico (Mise), che dovrà pagare 75mila euro per non avere nominato il responsabile (Rpd) entro il 28 maggio 2018, data di piena applicazione del regolamento europeo per la protezione dei dati, Gdpr, e avere diffuso sul sito web istituzionale le informazioni personali di oltre 5mila manager.
Il Mise, scrive il Garante, ha “provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo“. E questo nonostante l’autorità avesse, “fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento“.
La mancata nomina è emersa nel corso di una istruttoria, aperta dall’Ufficio anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, email, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. “All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale“, ricorda il Garante. Una vicenda denunciata da Wired (allora risultavano presenti sul sito 9mila nominativi).
Dal sito era inoltre possibile scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni di tutti i manager. “Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online – si legge nella nota -. L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, non in linea con i principi del Gdpr“.
L’autorità fornisce anche consigli su come si sarebbe potuto ovviare al problema: “Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal Cad, che permettessero la consultazione solo alle pmi interessate“.
Potrebbe interessarti anche