Garante per la protezione dei dati personali - 9556625

From GDPRhub
Garante per la protezione dei dati personali - 9556625
LogoIT.png
Authority: Garante per la protezione dei dati personali (Italy)
Jurisdiction: Italy
Relevant Law: Article 5(1) GDPR
Article 6(2) GDPR
Article 37(1) GDPR
Article 37(7) GDPR
art. 2-ter of the Italian Privacy Code
Type: Investigation
Outcome: Violation Found
Decided: 11.02.2021
Published: 11.03.2021
Fine: 75000 EUR
Parties: n/a
National Case Number/Name: 9556625
European Case Law Identifier: n/a
Appeal: n/a
Original Language(s): Italian
Original Source: Italian data protection authority website (in IT)
Initial Contributor: Davide C.

The Italian DPA (Garante per la protezione dei dati personali) fined the Ministry of Economic Development ('MISE') € 75,000 for failing to appoint a DPO by May 25, 2018, and for publishing personal data of more than five thousand managers on its website, including their CVs.

English Summary[edit | edit source]

Facts[edit | edit source]

Following some reports, the Italian DPA ascertained that the MISE uploaded on its website a list of more than 5,000 managers containing their personal data, including name, tax code, e-mail address, CV, mobile phone and, in some cases, ID and health card. All this data was freely visible and downloadable. The MISE published that list to help SMEs in booking advice from experienced business professionals on the technological and digital processes to manage vouchers provided in compliance with the 2019 Budget Law.

The DPA has also found that the MISE did not appoint a DPO by May 25, 2018, as required for all public bodies according to art. 37 GDPR.

Holding[edit | edit source]

The Italian DPA noted that MISE failed to appoint a DPO by the established deadline (May 25, 2018).

Furthermore, it has found that there was no adequate legal basis for the online publication of managers' personal data, as there were less intrusive methods to ensure that SMEs would have access to the managers' consultancy services, such as ensuring restricted access to said information through the use of passwords and usernames. As such, the Authority found that the dissemination of their personal information also consisted of disproportionate processing of data.

In light of the above and given that the MISE has appointed a DPO then, the Italian DPA issued a fine of EUR 75,000.

Comment[edit | edit source]

Share your comments here!

Further Resources[edit | edit source]

Share blogs or news articles here!

English Machine Translation of the Decision[edit | edit source]

The decision below is a machine translation of the Italian original. Please refer to the Italian original for more details.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

A seguito della pubblicazione di alcune notizie di stampa, questa Autorità ha aperto un’istruttoria nei confronti del Ministero dello Sviluppo Economico (MISE) in ordine alla diffusione di dati e informazioni personali sul sito web istituzionale avvenuta in maniera non conforme alla disciplina in materia di protezione dei dati personali. Sulla stessa questione sono stati ricevuti, a breve distanza di tempo, anche diverse segnalazioni e il reclamo del Sig. XX.

Nello specifico, dall’accertamento preliminare effettuato dall’Ufficio è emerso che all’url https://... era presente una pagina web intitolata «Elenco Manager» nella quale erano visibili e liberamente scaricabili dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, dettagliate esperienze professionali, in alcuni casi anche copia del documento di riconoscimento e della tessera sanitaria ecc.) riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei «Manager qualificati e delle società di consulenza».

Inoltre, all’url https://... era possibile scaricare l’allegato al decreto direttoriale del Ministero dello sviluppo economico del XX con cui è stato approvato il citato «elenco dei manager qualificati e delle società di consulenza istituito ai sensi del decreto ministeriale XX e formato sulla base dei dati e delle informazioni dichiarati dagli istanti», contenente dati e informazioni personali di tutti i predetti soggetti (fra cui nominativo, codice fiscale, e-mail).

2. Contesto normativo di riferimento dell’avvenuta pubblicazione.

La legge di bilancio 2019 ha previsto specifiche forme di incentivazione tramite l’erogazione di contributi per consulenza in innovazione (“Voucher”) a favore delle micro, piccole e medie imprese «per l'acquisto di prestazioni consulenziali di natura specialistica finalizzate a sostenere i processi di trasformazione tecnologica e digitale […]» forniti da società di consulenza o manager qualificati, iscritti in un apposito elenco (di seguito “Elenco MISE” o “Elenco dei manager”) istituito con apposito decreto del Ministro dello sviluppo economico (art. 1, commi 228 ss., della legge 30/12/2018, n. 145).

La citata legge ha previsto che tale decreto dovesse stabilire «i requisiti necessari per l'iscrizione nell'elenco delle società di consulenza e dei manager qualificati, nonché i criteri, le modalità e gli adempimenti formali per l'erogazione dei contributi e per l'eventuale riserva di una quota delle risorse da destinare prioritariamente alle micro e piccole imprese e alle reti d'impresa» (comma 228).

In attuazione di quanto disposto dal predetto comma, è stato quindi adottato il Decreto Ministeriale del 7/5/2019 (di seguito “D.M.”) che ha disciplinato la materia, dettando le disposizioni «applicative del contributo a fondo perduto, in forma di voucher».

Tale D.M., inoltre, al fine di dettagliare alcuni aspetti legati all’erogazione concreta del voucher, ha demandato a un ulteriore atto amministrativo – nello specifico, a un «decreto del Direttore generale per gli incentivi alle imprese» – la dettagliata individuazione di «modalità e termini per la presentazione delle domande di iscrizione all’elenco dei manager qualificati e delle società di consulenza abilitati allo svolgimento degli incarichi manageriali» nonché l’approvazione del «modello di domanda di ammissione al contributo», dei «termini per la presentazione [della stessa]», dei «criteri di valutazione delle domande e per l'assegnazione prioritaria delle risorse disponibili» (artt. 5, comma 1; 6, comma 1).

In tale cornice normativa, è stato approvato il Decreto del Direttore generale per gli incentivi alle imprese del XX intitolato «Voucher per consulenza in innovazione. Modalità e termini per la presentazione delle domande di iscrizione all'elenco» (di seguito “decreto direttoriale”).

Nel citato decreto direttoriale, oltre a essere contenute le disposizioni per la presentazione delle domande di iscrizione all'elenco, è stato previsto che «Trascorsi i termini per la trasmissione delle istanze di iscrizione […], con provvedimento del Direttore generale per gli incentivi alle imprese è pubblicato l'elenco Mise, secondo lo schema di cui all'allegato n. 4, reso disponibile nell'apposita sezione "Voucher per consulenza in innovazione" del sito web del Ministero (www.mise.gov.it)» (art. 4, comma 1). L’allegato n. 4 citato risulta contenere una tabella da compilare con i seguenti campi: cognome, nome, codice fiscale, e-mail contatto (personale o società di consulenza), link cv, società di consulenza, soggetto già iscritto in altri elenchi dei manager dell’innovazione, esperienza professionale nello svolgimento di incarichi manageriali negli ambiti di cui all’articolo 3 del DM 7 maggio 2019 (numero anni), area di interesse.

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Con la nota prot. n. XX del XX il MISE ha fornito riscontro alla richiesta d’informazioni dell’Ufficio (prot. n. XX del XX).

Rispetto a quanto rappresentato, a seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Ministero dello Sviluppo Economico – diffondendo online dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, esperienze professionali, ecc.) riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei «Manager qualificati e delle società di consulenza» – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD.

È stato inoltre accertato il ritardo nella nomina del Responsabile della Protezione dei Dati (RPD) del MISE, nonché della comunicazione a questa Autorità dei relativi dati di contatto, entrambi avvenuti in data successiva al 25/5/2018 in cui è divenuto obbligatorio il RGPD, in violazione dell’art. 37, parr 1 e 7, del Regolamento europeo.

Pertanto, con la medesima nota n. XX sono state notificate, al predetto Ministero, le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD, invitando il MISE a far pervenire al Garante scritti difensivi o documenti ed eventualmente a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive, audizione e valutazioni del Garante.

Il Ministero delle Sviluppo Economico ha inviato al Garante – con note prot. n. XX del XX, prot. n. XX del XX – i propri scritti difensivi in relazione alle violazioni notificate. Inoltre, in data XX si è svolta, mediante videoconferenza a distanza, l’audizione richiesta dal MISE ai sensi dell’art. 166, comma 6, del Codice, in occasione della quale è stata depositata ulteriore documentazione e sono stati forniti chiarimenti aggiuntivi.

Al riguardo, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

4.a. Sulla base giuridica del trattamento

L’Ufficio ha contestato al MISE la violazione dell’art. 2-ter, commi 1 e 3, del Codice – che prevede la possibilità, per i soggetti pubblici, di diffondere dati personali solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» – in quanto ha ritenuto che la disciplina prevista dagli artt. 3 ss. del Decreto Direttoriale del XX, non potesse costituire un idoneo presupposto normativo per la diffusione di dati personali ai sensi del Codice, tenuto conto che il decreto direttoriale citato non ha natura regolamentare e non è, in ogni caso, in alcun modo richiamato dall’art. 1, commi 228, 230 e 231, della legge n. 145/2018 (che prevedono l’istituzione dell’elenco dei manager).

È stato, inoltre, fatto presente che l’art. 4 del citato decreto direttoriale non prevede la pubblicazione integrale dei curriculum dei manager inviati, comprensivi di tutti i dati personali ivi contenuti, ma, al massimo, dell’«elenco MISE», ossia dell’elenco comprendente i «soggetti abilitati allo svolgimento degli incarichi manageriali oggetto di agevolazione» (secondo la definizione contenuta nell’art. 1, comma 1, lett. b, del decreto direttoriale).

OSSERVAZIONI DEL MISE

Al riguardo, il MISE nella nota prot. n. XX del XX – i cui contenuti sono in parte ripresi anche nel «documento inerente alle contestazioni mosse dal Garante» allegato al verbale di audizione del XX – ha fornito un’articolata ricostruzione che si fonda sostanzialmente sulle seguenti argomentazioni:

- «l’art. 4 del DD [i.e. il Decreto direttoriale] rimanda per la pubblicazione dell’Elenco MISE allo schema di cui all’allegato 4, il quale prevede, tra l’altro, una sezione recante il link al cv del manager. Pertanto, il combinato disposto dell’art. 4 e dell’allegato 4, ivi richiamato, consente di ritenere pacificamente che il DD prevedesse espressamente la diffusione dei dati che sono stati pubblicati dal Ministero»;

- «il riferimento al “regolamento” [contenuto nel Codice], stante l’asettica formulazione, è ragionevolmente da intendersi come un generico e ampio riferimento a disposizioni di natura secondaria, dunque lato sensu regolamentare»;

- «i “regolamenti” possono essere costituiti da tutte le fonti normative secondarie, e dunque con provenienza soggettiva dell’esecutivo, che sottostanno alle leggi. E in tale contesto si inquadrano tanto il DM quanto il DD che ne dà esecuzione»;

-  «l’art. 2-ter, comma 1, del Codice privacy, nel fare riferimento al “regolamento”, stante l’assenza di qualsiasi riferimento normativo alla legge 23 agosto 1988, n. 400, che specificamente disciplina il procedimento di adozione delle fonti regolamentari tradizionali, cioè del “contenitore regolamento”, e stante la diffusione già all’epoca della emanazione delle fonti secondarie atipiche, intende richiamare – in termini generali, e non particolari – un atto normativo avente natura di fonte sotto-ordinata alla legge […]»;

- «[quanto all’]interpretazione della condizione cui deve sottostare la fonte regolamentare per poter individuare la base giuridica per il trattamento dei dati personali («nei casi previsti dalla legge») [, un’]interpretazione letterale di tale inciso consente di rilevare come il legislatore non abbia in alcun modo circoscritto neanche il riferimento alla previa individuazione del trattamento di dati personali in una norma di rango primario. […] In altri termini, affinché una norma di regolamento possa costituire idonea base giuridica, deve ritenersi sufficiente che la legge individui anche solo indirettamente – e dunque per il tramite di norme attuative delle quali disponga l’adozione – il trattamento di dati personali, avendo la fonte primaria solo il ruolo di fonte di legittimazione dell’esercizio del potere normativo da parte dell’amministrazione».

- «D’altronde, ragionando a contrario, appare del tutto irragionevole immaginare che la legge debba sempre individuare direttamente le basi giuridiche per il trattamento di dati personali, disciplinandone nel dettaglio le modalità esecutive, non potendo demandare alle norme regolamentari l’individuazione di tali casi»;

- «[…] ove si offrisse una lettura dell’art. 2-ter, comma 1, del Codice Privacy più restrittiva di quella esposta, si finirebbe inevitabilmente per entrare in contrasto con quanto specificamente disposto dal RGPD in merito alle previsioni che possono costituire – nell’ambito degli ordinamenti dei diversi Stati membri – la “base giuridica” per il trattamento di dati personali»;

- «A tal proposito, occorre ribadire che nell’impianto del Regolamento – e in particolare secondo quanto espressamente previsto nel considerando 41 – tale base giuridica può essere costituita da qualsiasi norma, espressamente anche non di rango primario e non necessariamente adottate a seguito di procedura legislativa: “qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento”»;

- «Pertanto, sarebbe incoerente con le chiare disposizioni dettate dal legislatore UE una impostazione interpretativa volta a restringere (peraltro immotivatamente, stante il rispetto del principio di certezza del diritto, garantito dalla pubblicità assicurata alle fonti de quibus) l’ambito delle fonti regolamentari che possono costituire base giuridica per il trattamento, escludendo norme che, nel rispetto delle richiamate coordinate costituzionali in materia di norme attuative, siano chiare, precise e prevedibili nella loro applicazione, come quelle dettate dal DD».

- «Come previsto dall’art. 6, co. 3, 2° cpv. del GDPR, la norma di legge o di regolamento che costituisce la base giuridica di cui alle lettere c) ed e) del co. 1 dell’art. 6 del GDPR, potrebbe contenere, tra l’altro, l’indicazione delle tipologie di dati oggetto del trattamento, i soggetti cui possono essere comunicati i dati personali, le operazioni e procedure di trattamento, etc. La locuzione “potrebbe contenere” implica e ammette anche la possibilità che la norma di legge (nel caso in oggetto la legge di bilancio 2019) non specifichi queste informazioni, la cui individuazione si presume essere rimessa in capo al Titolare. Considerato il silenzio della legge di bilancio in merito, è il titolare, quindi il MiSE, che si è trovato a dover definire la tipologia di dati trattati (identificativi e professionali), i soggetti cui possono essere comunicati i dati personali (soggetti indeterminati), le operazioni di trattamento (raccolta e diffusione)» (dichiarazione contenuta nell’allegato al verbale di audizione).

VALUTAZIONI DEL GARANTE

La ricostruzione giuridica offerta del MISE, sicuramente utile ai fini della valutazione della condotta, non appare idonea a superare i rilievi critici mossi e si basa su un’interpretazione del combinato disposto delle norme del RGPD con quelle del Codice, che non è possibile accogliere in questa sede per i seguenti motivi.

Il RGPD prevede che il trattamento dei dati personali effettuato da soggetti pubblici è lecito se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e). In tale contesto, come correttamente ricordato anche dal MISE, il considerando n. 41 del RGPD indica che laddove il predetto regolamento europeo «faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato. [L’importante è che] tale base giuridica o misura legislativa [sia] chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell'uomo».

Il considerando n. 41 non va quindi interpretato in maniera isolata e decontestualizzata, come sembrerebbe fare il Ministero, ma in maniera sistematica e in combinato disposto con le altre disposizioni vigenti applicabili al caso di specie – già richiamate dall’Ufficio nella nota prot. n. XX del XX – quali l’art. 6, par. 2, del RGPD e l’art. 2-ter, commi 1 e 3, del Codice.

Il RGPD prevede, infatti, esplicitamente che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del [RGPD] con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e) [dell’art. 6, par. 1], determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, del RGPD). È, in tale contesto, che il Codice ha previsto degli specifici requisiti per il trattamento, stabilendo che, nel caso di diffusione di dati personali (come la pubblicazione su Internet) da parte di soggetti pubblici, tale operazione possa essere ammessa solo se prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice).

In tale quadro, la base normativa richiamata dal Ministero per giustificare la diffusione dei dati personali oggetto di contestazione e contenuta nel Decreto Direttoriale del XX non costituisce un idoneo presupposto normativo per la diffusione di dati personali, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.

Ciò in quanto, adottando un criterio sostanziale, la natura del decreto direttoriale citato – contrariamente a quanto sostenuto dal MISE – appare riconducibile più alla categoria dell’“atto amministrativo generale” (che a quella del “regolamento”, inteso come atto normativo a contenuto generale e astratto), considerando che la relativa applicabilità è limitata alla presentazione della domanda per l’iscrizione all’elenco MISE, con scadenza 25/10/2019, e si esaurisce con l’erogazione del voucher previsto una tantum dalla legge di bilancio 2019 per «i due periodi d'imposta successivi a quello in corso al 31 dicembre 2018» (sul punto, si rinvia alla ricostruzione della categoria dell’“atto amministrativo generale” contenuta, ex plurimis, in Cons. St., ad.plen., n. 9 del 4/5/2012; sez. III, n. 6028 del 22/12/2017).

Inoltre, l’utilizzo di un decreto direttoriale per stabilire il regime di pubblicità dei dati dei manager non era in alcun modo previsto dalla norma di rango primario, contenuta nell’art. 1, comma 228 della legge n. 145/2018, che ha sancito l’istituzione dell’elenco dei manager rinviando, per la relativa disciplina, a un apposito Decreto del Ministro dello sviluppo economico (e non a un altro atto amministrativo generale quale un decreto direttoriale).

In tal senso, quindi, anche se il D.M. approvato (del 7/5/2019) ha effettuato, a sua volta, un rinvio “di secondo grado” a un successivo «decreto del Direttore generale per gli incentivi alle imprese», occorre far presente che l’oggetto della disciplina del decreto del direttore generale per gli incentivi alle imprese doveva essere limitato – ai sensi dell’art. 5, comma 1, del decreto ministeriale – alla sola disciplina dell’individuazione di «modalità e termini per la presentazione delle domande di iscrizione all’elenco dei manager qualificati e delle società di consulenza abilitati allo svolgimento degli incarichi manageriali», e non poteva estendersi fino al punto di individuare regimi di pubblicità dei dati personali e operazioni di diffusione online.

Peraltro, il Decreto Direttoriale del XX ha previsto la pubblicazione sul sito web del Ministero dell’«elenco Mise» – che, ai sensi dell’art. 1, comma 1, lett. b), del citato decreto, è l’elenco comprendente i «soggetti abilitati allo svolgimento degli incarichi manageriali oggetto di agevolazione» – e non dei relativi documenti. Per cui tale disposizione – nonostante il riferimento allo «schema di cui all'allegato n. 4» del decreto direttoriale contenesse un campo dedicato al link del cv del manager (art. 4, comma 1) – non poteva essere interpretata, come sostiene il MISE, in maniera tanto estensiva da autorizzare la pubblicazione delle migliaia di curricula con tutti i dati personali ivi contenuti, ma al massimo dei soli campi previsti dal citato schema (cognome, nome, codice fiscale, e-mail di contatto, società di consulenza, indicazione circa l’iscrizione in altri elenchi dei manager dell’innovazione, esperienza professionale nello svolgimento di incarichi manageriali con indicazione del numero di anni, area di interesse).

A complicare il caso in esame, è infine la circostanza, come già evidenziato (cfr. supra par. 2), che – nonostante l’evidente ricaduta sulla protezione dei dati personali – sia il Decreto del Ministro per lo sviluppo economico del 7/5/2019, sia il Decreto Direttoriale del XX (che il MISE sostiene avere natura “regolamentare”) sono stati adottati senza il parere del Garante, obbligatoriamente previsto dagli artt. 36, par. 4; 57, par. 1, lett. c); 58, par. 3, lett. b), del RGPD (cfr. anche considerando n. 96). Tale elemento costituisce anche un vizio procedurale dei predetti atti amministrativi.

Le circostanze sopradescritte, considerate nel loro complesso, impediscono pertanto di ritenere che il richiamato Decreto Direttoriale del XX possa costituire un’idonea base normativa per diffondere i dati personali contenuti nell’elenco MISE e nei curricula dei manager, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.

4.b. Sul rispetto del principio di limitazione della finalità e di minimizzazione

Il MISE ha evidenziato che la finalità della pubblicazione dei dati personali e dei curricula dei manager risiedeva nella necessità «di consentire alle imprese potenzialmente beneficiarie del Voucher di individuare, agevolmente e in modo compiuto, i manager dei quali avvalersi per sostenere i propri processi di trasformazione tecnologica e digitale, nonché consentire alle imprese stesse di mettersi in contatto con tali professionisti» (note prott. n. XX del XX e n. XX del XX).

L’Ufficio ha rappresentato al Ministero che, per la finalità dichiarata, ossia l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager, come previsto dalla normativa di riferimento, sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni riguardanti tutti i manager, la quale rappresenta la forma più ampia di diffusione di dati personali, con il rischio di renderli facilmente vulnerabili rispetto a ulteriori forme di utilizzo, non legittime, da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbe potuto prevedere – ad esempio –forme di accesso selettivo ad aree riservate del sito web istituzionale che permettessero la consultazione delle informazioni riguardanti i manager inseriti nell’elenco del MISE ai soli soggetti che intendevano effettuare la domanda di voucher; mediante l’attribuzione a questi ultimi di credenziali di autenticazione (es. username o password, oppure altri strumenti di autenticazione forniti dall’amministrazione o previste dal d.lgs. n. 82 del 7/3/2005, Codice dell'amministrazione digitale-CAD).

Sotto questo profilo è stata quindi contestata la violazione dei principi di “limitazione della finalità” e di “minimizzazione dei dati” e di proporzionalità, anche considerando che il titolare del trattamento è tenuto a mettere «in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (art. 25, par. 1, del RGPD).

OSSERVAZIONI DEL MISE

Nella nota prot. n. XX del XX il Ministero ha osservato, in sintesi, che i dati personali dei manager sono stati raccolti per finalità determinate, esplicite (rese note tramite apposita informativa in cui si faceva esplicito riferimento alla pubblicazione dei curricula); legittime e per il solo tempo strettamente necessario all’erogazione dei contributi, in quanto i dati personali sono stati resi disponibili «dal XX (data di approvazione dell’Elenco MISE) al XX (data in cui il sito vetrina che esponeva i CV dei manager è stato chiuso)».

Quanto alla possibilità di soluzioni alternative, rispetto alla pubblicazione online di tutti i curricula, quali forme di accesso selettivo ad aree riservate del sito web istituzionale, il MISE – nella medesima nota (il cui contenuto è confermato anche nel «documento inerente alle contestazioni mosse dal Garante» allegato al verbale di audizione) – ha osservato che tale soluzione non poteva essere adeguata al caso di specie, fra l’altro, in quanto:

I) limitare l’accesso ai soli soggetti in possesso dei requisiti per la presentazione della domanda di voucher avrebbe comportato:

- un «serio dispendio di tempo e di risorse per il Ministero e […] significative problematiche inerenti all’individuazione dei soggetti che avrebbero potuto effettivamente rientrare tra i possibili beneficiari dei Voucher»;

- «il perimetro dei soggetti potenzialmente interessati non poteva […] essere noto a priori e men che meno poteva essere individuato da parte del Ministero sulla base di qualsiasi accertamento, poiché il Voucher doveva necessariamente essere accessibile non solo alle imprese già costituite, ma anche a tutti quei soggetti che si sarebbero determinati a costituire un’impresa per il tipico effetto incentivante delle misure di agevolazione»;

II) limitare l’accesso a chiunque ne facesse richiesta, senza dover effettuare alcun tipo di controllo:

-  avrebbe «vanifica[to], in concreto, la stessa misura dell’accesso riservato, posto che la consultazione dell’Elenco MiSE avrebbe dovuto essere pertanto concessa a chiunque»;

- «avrebbe rappresentato, per il Ministero, un onere sproporzionato e verosimilmente ingestibile in quanto l’implementazione di una soluzione software e dei processi operativi necessari per la gestione di tali attività avrebbe comportato» un «dispendio di risorse economiche»; «tempistiche di attuazione di tali schemi non immediate [che] avrebbero rischiato di compromettere il tempestivo svolgimento di tutte le attività necessarie all’assegnazione delle risorse stanziate per il 2019 per il Voucher – che potevano essere assegnate solo entro la data del 31 dicembre 2019 – e così, pertanto, l’efficienza e l’efficacia dell’iniziativa del Ministero»;

III) prevedere un accesso selettivo non sarebbe stato conforme alla volontà del legislatore considerando che:

- «non [sarebbe stata] rispettat[a] la sequenza normativa prevista dal legislatore, né le finalità di trasparenza connesse all’erogazione di incentivi pubblici. Infatti, solo dopo una trasparente consultazione di un elenco pubblico dei manager le imprese avrebbero potuto effettivamente assumere la decisione di richiedere l’incentivo, ma non prima»;

- «È indispensabile per le imprese che consultano l’elenco MiSE acquisire tutte le informazioni necessarie ad esercitare una consapevole scelta del manager più adatto al proprio interesse aziendale. I dati indicati nel cv, forniti volontariamente dagli stessi manager, sono stati del resto oggetto di pubblicità secondo le modalità già conosciute e accettate dal manager. L’identificazione soggettiva del consulente, oltre che la qualifica professionale, è elemento discriminante e indispensabile per la finalizzazione dell’incarico. La DGIAI ha offerto un servizio pubblico nell’ambito di un rapporto privatistico tra professionisti e aziende interessate, tant’è che la valutazione dei requisiti del manager non spetta alla DGIAI, che accredita i professionisti nell’elenco in base al possesso dei requisiti di accesso, ma all’impresa per la selezione del manager» (dichiarazione contenuta nell’allegato al verbale di audizione).

IV) attribuire credenziali di autenticazione, associate all’identità certa del soggetto, da utilizzare per l’accesso a un’eventuale area riservata «avrebbe certamente creato ostacoli al buon andamento dell’iniziativa», fra l’altro, perché:

- «esistono diversi sistemi che consentono di utilizzare credenziali informatiche fornite da terzi, con certezza di identificazione del soggetto a cui sono associate [fra cui il] Sistema Pubblico di Identità Digitale (“SPID”), [la] Carta Nazionale dei Servizi (“CNS”) e [la] Posta Elettronica Certificata (“PEC”) […]» e «la medesima certezza di identità non sussiste anche con riferimento al titolare di una casella di posta elettronica ordinaria»;

- considerando il «fatto che non si sarebbe potuto rendere obbligatorio e vincolante l’utilizzo dei citati strumenti di identificazione per l’accesso ad un elenco pubblico, poiché una simile soluzione pratica avrebbe rappresentato una “barriera” all’acceso ai contributi agevolativi, sarebbe stato conseguentemente necessario prevedere comunque una forma di autenticazione tramite credenziali informatiche, come la tradizionale posta elettronica e password, avendo però cura di acquisire copia del documento di identità del richiedente contestualmente all’istanza di accesso all’Elenco MISE (cfr. art. 38 del DPR 445/2000)»;

- «Per gestire la consultazione in area riservata dell’elenco dei manager, il MISE avrebbe dovuto, pertanto, implementare (ad esclusione di SPID, che avrebbe richiesto un periodo di implementazione troppo lungo per i nuovi siti web, come nel caso del sito vetrina miq.dgiai.gov.it, e quindi del tutto inconciliabile rispetto alle tempistiche dettate dalla normativa applicabile) un sistema per l’accredito all’accesso con verifica, anche a vista, del documento di identità di tutti i soggetti dotati della sola e-mail ordinaria ma privi di CNS e/o PEC e avrebbe dovuto, al tempo stesso, gestire sistemi per il rilascio e la gestione delle password per gli utenti, con assistenza dedicata e tempestiva in caso di anomalie di accesso e di rilascio della password. Anomalie, queste, la cui gestione sarebbe risultata poi particolarmente critica nelle fasi di chiusura della procedura, in funzione del rischio potenziale per un’impresa di non riuscire, ad esempio, a recuperare per tempo il codice fiscale di un manager a causa di una password dimenticata e per il manager stesso di perdere un’opportunità di lavoro».

VALUTAZIONI DEL GARANTE

Anche in questo caso, la ricostruzione offerta del MISE chiarisce molti punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare del tutto i rilievi critici mossi dall’Ufficio.

Sotto tale profilo, si condividono in via preliminare le osservazioni del MISE in ordine all’impossibilità di individuare a priori l’insieme dei soggetti che avrebbero potuto effettivamente rientrare tra i possibili beneficiari dei Voucher e quindi potenzialmente autorizzati a consultare l’elenco dei manager comprensivo dei CV (cfr. precedente punto I).

Si condivide, altresì, quanto riportato in ordine al fatto che la consultazione dell’elenco e dei CV dei manager (quanto più possibile completi) da parte delle imprese interessate fosse indispensabile per poter scegliere consapevolmente il soggetto ritenuto più idoneo a fornite la consulenza specialistica inerente ai processi di trasformazione tecnologica e digitale funzionale alle proprie esigenze operative, che costituiva il requisito per poter beneficiare dell’erogazione del contributo statale per questo previsto (cd. “voucher”). Rispetto alla scelta del manager-consulente il Ministero svolgeva anche una sorta di intermediazione per l’instaurazione «di un rapporto privatistico tra professionisti e aziende interessate» rispetto al quale «la valutazione dei requisiti del manager non spetta[va al Ministero]», che si doveva limitare ad «accredita[re] i professionisti nell’elenco in base al possesso dei requisiti di accesso», ma esclusivamente «all’impresa per la selezione del manager».

Ciò nonostante, a fronte delle circostanze evidenziate, rimane in ogni caso sproporzionato rendere disponibili a chiunque – tramite la pubblicazione online sul sito web del Ministero senza alcun filtro – dati e informazioni personali di un numero così elevato di soggetti interessati per due motivi fondamentali:

- la conoscenza generalizzata dei predetti dati non rispondeva ad alcuna ragione di trasparenza, considerando che la scelta dei manager era rimessa a una discrezionalità da parte delle imprese interessate, non sindacabile dal Ministero, e, inoltre, non tutti i manager iscritti nell’elenco avrebbero instaurato rapporti professionali con le imprese interessate perché da esse scartati;

- tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, esistono strumenti meno invasivi nonché misure tecniche e organizzative più adeguate, rispetto a quelle messe in atto dal MISE, capaci di «attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (art. 25 del RGPD).

Sotto tale profilo, infatti, non si può condividere quanto rappresentato dal MISE (cfr. precedente punto II) che la «sequenza normativa prevista dal legislatore» avrebbe impedito la predisposizione di un semplice accesso riservato, anche solo a chiunque ne facesse richiesta, ad esempio prevedendo l’assegnazione agli stessi di username e password, senza dover effettuare alcun tipo di controllo (strumento in grado di limitare l’ambito di circolazione dei dati personali riducendo i rischi di un improprio trattamento da parte di terzi) e che tale accorgimento tecnico «avrebbe rappresentato, per il Ministero, un onere sproporzionato e verosimilmente ingestibile […]». Ciò in quanto nessuna disposizione legislativa lo impediva e l’esistenza di un onere sproporzionato non risulta in alcun modo comprovato in base al principio di accountability (artt. 5, par. 2; 24 del RGPD); né può essere a priori condivisibile, considerando che il titolare del trattamento è un ente di grandi dimensioni quali un Ministero, abituato in quanto tale a trattare enormi quantità di dati personali di diversa natura, anche delicati e appartenenti a categorie particolari. Inoltre, dal momento dell’adozione della norma primaria (30 dicembre 2018) fino all’elaborazione delle relative disposizioni applicative (D.M. 7/5/2019 e D.D. XX) e all’approvazione dell’Elenco MISE (XX) è trascorso un lungo periodo di tempo sicuramente sufficiente a elaborare soluzioni rispettose delle disposizioni contenute nel RGPD prima richiamate.

Sotto il profilo tecnico, si rilevano inoltre alcune imprecisioni nella ricostruzione del MISE (cfr. precedente punto IV), che potrebbero inoltre averlo indotto in errore in ordine alle decisioni assunte. In particolare, si segnala che la PEC – contrariamente a quanto riportato nella memoria difensiva (cfr. pagg. 14 e 15) – non è uno strumento che presuppone «l’identificazione a monte del soggetto a cui [… è associata] da parte dell’ente/organizzazione deputato al […suo] rilascio», in quanto i gestori PEC non hanno alcun obbligo di verifica dell’identità del soggetto che richiede l’attivazione di una casella di posta elettronica certificata. Inoltre, fra gli strumenti idonei per l’identificazione dei soggetti va ricompresa anche la carta d’identità elettronica (CIE), che, al pari di SPID e CNS, può essere utilizzata per l’accesso ai servizi in rete erogati dalle pubbliche amministrazioni (cfr. art. 64, comma 2-quater, del d. lgs. n. 82 del 7/3/2005, Codice dell'amministrazione digitale-CAD).

In tale contesto, considerando che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato che i dati personali sono stati resi disponibili «dal XX (data di approvazione dell’Elenco MISE) al XX (data in cui il sito vetrina che esponeva i CV dei manager è stato chiuso)», non si ritiene necessario ingiungere, nell’ambito nel presente procedimento e a posteriori, l’adozione di specifiche misure tecniche e organizzative ritenute idonee al caso concreto già verificatosi.

4.c. sulla nomina del RPD

È stato contestato al MISE che, dall’istruttoria e dalle ricerche esperite all’Ufficio del protocollo del Garante è risultato che la nomina del Responsabile della Protezione dei Dati (RPD) è stata effettuata solo in data XX e che la comunicazione a questa Autorità dei dati di contatto del RPD è stata effettuata solo in data XX. Tale comportamento è risultato non conforme alle previsioni dell’art. 37, parr 1 e 7, del RGPD, laddove è prevista l’obbligatorietà dei predetti adempimenti dalla data del 25/5/2018 in cui è divenuto applicabile il regolamento europeo.

OSSERVAZIONI DEL MISE

Al riguardo, nella nota del MISE prot. n. XX del XX è stato rappresentato che:

- «in attuazione dell’articolo 4-bis del decreto-legge 12 luglio 2018, n. 86, convertito con la legge 9 agosto 2018, n. 97, al fine di armonizzare l’assetto organizzativo con lo sviluppo del quadro normativo in materia di tutela dei dati personali, in considerazione delle prescrizioni contenute nel Regolamento (UE) 2016/679, il Ministero ha avviato un complesso processo di riorganizzazione degli uffici dirigenziali di livello generale e delle funzioni ad essi affidate»;

- «Nell’ambito della dotazione organica del MiSE, per le funzioni di RPD, si è inteso procedere all’individuazione di una posizione dirigenziale ad hoc, di livello generale, tra quelle di consulenza, studio e ricerca, conferibili ai sensi dell’art. 19 commi 4 e 10 del decreto legislativo n. 165/2001»;

- «All’esito di numerosi incontri con i Direttori generali e con le Organizzazioni sindacali, la struttura organizzativa del Ministero è stata modificata con il Decreto del Presidente del Consiglio dei Ministri 19 giugno 2019, n. 93, pubblicato in G.U. 21 agosto 2019, n. 195»;

- «A seguito di pubblicazione in G.U. 21 agosto 2019 n. 195, il citato DPCM, è entrato in vigore il 5 settembre 2019 e ha disciplinato l’organizzazione degli uffici dirigenziali di livello generale modificando il decreto del Presidente del Consiglio 5 dicembre 2013, n. 158»;

- «Pertanto, con nota n. XX del XX, è stato dato avvio alla procedura di interpello per la copertura della posizione dirigenziale de qua. Il suddetto interpello pubblico è stato rivolto, con nota n. XX (pubblicata in data XX), anche ai dirigenti di ruolo del Ministero e ai dirigenti di ruolo delle amministrazioni statali»

- «La procedura di interpello si è conclusa con il conferimento dell’incarico, per le attività di RPD, ai sensi dell'articolo 19, commi 4 e 10 del decreto legislativo 30 marzo 2001, n. 165, per la durata di tre anni»;

- «Il conseguente decreto del Presidente del Consiglio dei Ministri adottato in data 29 ottobre 2019 ha disposto la nomina del RPD del Ministero ed è stato registrato dalla Corte dei Conti il XX, Reg. Prev. n. XX, nonché trasmesso al Ministero della Funzione Pubblica in data XX. Nella medesima data il Segretariato Generale ha inviato il DPCM di nomina, con allegato contratto di lavoro, al soggetto designato».

Appare, inoltre, rilevante quanto riportato nel «documento inerente alle contestazioni mosse dal Garante» allegato al verbale di audizione del XX, laddove, a integrazione di quanto precedentemente rappresentato, è stato evidenziato, fra l’altro, che il ritardo negli adempimenti previsti «è dipeso dall’avvicendarsi degli organi di indirizzo politico, con l’insediamento di un nuovo Governo in data XX e l’avvio della procedura di riorganizzazione – a seguito della nomina del nuovo Ministro – degli uffici dirigenziali di livello generale, in riforma del precedente assetto risalente al DPCM 5 dicembre 2013, n.158. La riorganizzazione è culminata nell’adozione del DPCM del 19/06/2019, n. 93 successivamente modificato dal DPCM 12/12/2019, n. 178. Con la modifica organizzativa si è inteso rafforzare il ruolo del responsabile per la protezione dei dati previsto dal regolamento europeo, creando ex novo tale posizione, qualificando il relativo posto di funzione quale posizione dirigenziale di livello generale da attribuirsi con incarico ai sensi dell’art. 19 commi 4 e 10 del d. lgs. n. 165/2001; distinguendo tale figura da quella del Responsabile per la prevenzione della corruzione e della trasparenza. La nomina del RPD è avvenuta con DPCM 21/10/2019, registrato dalla Corte dei Conti, in data XX, al n. XX».

VALUTAZIONI DEL GARANTE

Il MISE ha confermato l’avvenuto ritardo negli adempimenti previsti dal RGPD relativi alla nomina del RPD, descrivendone le circostanze.

Quanto riportato – anche se utile al fine della comprensione e della valutazione della condotta tenuta – non consente però di superare le contestazioni sollevate dall’Ufficio. Ciò soprattutto considerando che, fin dal maggio XX (quindi molto prima della data del 25/5/2018 di applicazione del RGPD), questa Autorità ha messo in atto una articolata attività informativa rivolta a tutti i soggetti pubblici in ordine agli adempimenti da effettuare, ai sensi del nuovo RGPD (compreso l’obbligo della nomina del RPD), che ha previsto il coinvolgimento in tempo utile di tutti i Ministeri, tramite inoltro di un’apposita comunicazione ai Ministri competenti, cui sono seguiti specifici incontri con i referenti designati dal Ministero, avvenuti presso il Garante, in data XX, e presso la sede della Banca d’Italia in data XX.

Con riferimento allo specifico caso in esame è stata inviata, dal Presidente del Garante al Ministro dello Sviluppo Economico, la nota prot. n. XX del XX, riscontrata con nota del Capo di Gabinetto del MISE prot. n. XX del XX.

Nell’allegato alla predetta nota, il Garante aveva espressamente indicato alle amministrazioni pubbliche le priorità che avrebbero dovuto tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento; al primo posto di tale priorità era riportata proprio la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39), evidenziando che “questa nuova figura che il Regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione” e che “il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto”.

5. Esito dell’istruttoria relativa al complesso della vicenda sottoposta all’attenzione del Garante

Alla luce di tutto quanto sopra descritto, gli elementi rappresentati negli scritti difensivi del MISE – in ogni caso rilevanti ai fini della valutazione della condotta – non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX e si rileva la non conformità del trattamento di dati personali oggetto del presente procedimento alla disciplina rilevante in materia di protezione dei dati personali, in quanto il Ministero dello Sviluppo economico:

1. pubblicando online dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, esperienze professionali, ecc.), riferiti a più di cinquemila soggetti interessati, inseriti nell’elenco dei «Manager qualificati e delle società di consulenza», ha diffuso dati personali:

a) in assenza di un idoneo presupposto normativo, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD;

b) in maniera non conforme al rispetto dei principi di “liceità”, “limitazione della finalità” e “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. a), b) e c), del RGPD;

2. non ha designato, essendovi tenuto, il Responsabile della Protezione dei Dati (RPD), né ha comunicato a questa a questa Autorità i relativi dati di contatto dopo averlo nominato, entro la data del 25/5/2018 in cui è divenuto applicabile il RGPD, avendo provveduto a tale adempimento solo a distanza di circa anno e mezzo e precisamente in data XX (per la nomina del RPD) e in data XX (per la comunicazione dei dati di contatto), in violazione dell’art. 37, parr 1 e 7, del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha provveduto a rimuovere dal sito web istituzionale i dati personali e a dare esecuzione agli adempimenti previsti dall’art. 37 del RGPD in relazione al RPD, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria e sull’adozione dell’ammonimento, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Ministero dello Sviluppo Economico risulta aver violato gli artt. 5, par. 1, lett. a), b) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 37, parr. 1 e 7, del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice.

Per la violazione delle predette disposizioni – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali; nonché il ritardo nella nomina del RPD.

Quanto al primo profilo, l’avvenuta diffusione ha avuto a oggetto dati personali che non appartengono a categorie particolari né a condanne penali o reati (artt. 9 e 10 del RGPD), riferiti a circa 5000 manager e si è protratta per un tempo limitato pari a circa 30 giorni. La condotta tenuta, basata su un’errata valutazione circa la relativa conformità alla normativa in materia di protezione dei dati personali, è di natura colposa. Va considerato, come ulteriore elemento attenuante, il contesto in cui è avvenuto il trattamento e l’incertezza del quadro normativo derivante dalla coesistenza di numerose fonti approvate nel tempo (legge, decreto ministeriale, decreto direttoriale), contenenti reciproci rinvii, che, adottate in assenza del parere obbligatorio del Garante, non potevano in ogni caso essere autonomamente disapplicate dagli operatori del MISE. Inoltre, va tenuto conto anche della circostanza che il titolare del trattamento pur sottovalutando, in buona fede, i rischi del trattamento, ha dichiarato di aver comunque «prontamente istruito ed evaso tutte le richieste di cancellazione dall’Elenco MiSE – 11 (undici) – e tutte le richieste di modifica dei CV e/o cancellazione di dati personali sul sito vetrina – 85 (ottantacinque)» (nota prot. n. XX del XX, pag. 12).

Quanto, invece, al ritardo nella nomina del RPD, la violazione delle disposizioni contenute nell’art. 37, parr. 1 e 7, del RGPD, si è protratta per circa un anno e mezzo. Sul punto, pur prendendo atto delle circostanze – descritte nel precedente paragrafo 4.c – legate alle contingenze dell’alternarsi del nuovo organo di vertice politico e alla connessa riorganizzazione amministrativa, si ritiene che la condotta posta in essere, pur di natura colposa, non sia giustificabile in particolare alla luce della comunicazione inviata dal Presidente dell’Autorità al Ministro il XX e dell’attività informativa sopra descritta (par. 4.c)) messa in atto dal Garante anche nei confronti del MISE.

Si deve in ogni caso tenere, altresì, conto che il MISE ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento e non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal citato Ministero

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 75.000,00 (settantacinquemila) per la violazione degli artt. 5, par. 1, lett. a), b) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 37, parr. 1 e 7, del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

Si ritiene, altresì, che – date le specifiche circostanze della fattispecie sottoposta all’attenzione del Garante, relative alla pubblicazione in Internet dei dati personali contenuti nel curriculum dei manager in assenza di un’idonea base normativa e alla nomina del RPD – debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Ministero dello Sviluppo Economico nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Ministero dello Sviluppo Economico, in persona del legale rappresentante pro-tempore, con sede legale Via Veneto, 33 - 00187 Roma (RM) – C.F. 80230390587 di pagare la somma di euro 75.000,00 (settantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione

INGIUNGE

al medesimo Ministero di pagare la somma complessiva di euro 75.000,00 (settantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero