A causa dell’errore della mancata nomina di un Responsabile della protezione dati entro il 28 maggio 2018 e della diffusione sul sito web di informazioni personali di oltre 5 mila manager, il Mise ha subito da parte del Garante Privacy una sanzione di 75 mila euro.

Questa è stata la prima volta dove l’Autorità ha sanzionato una PA per non aver nominato il Rdp entro la data stabilita. Infatti, era dal maggio 2017 che il Garante aveva mandato un’informativa rivolta a tutti i Ministeri chiedendo inserire tra le priorità da tenere la nomina dell’Rdp.

Questa mancanza è emersa durante una istruttoria durante la quale è stato accertato che vi fosse la presenza sul sito del Ministero di una pagina web con un elenco di manager dove erano visibili e scaricabili i dati personali di oltre cinquemila professionisti (cv, e-mail, telefono cellulare). Quell’elenco era in realtà destinato alle pmi per l’acquisto di consulenze al fine di sostenere i processi di trasformazione tecnologica e digitale.

L’illiceità sta nel fatto che il Garante non ha ritenuto il decreto direttoriale del Mise un’adeguata base normativa per la diffusione dei dati online.

La pubblicazione del cv di questi individui, a detta del Garante, rappresenta un trattamento dei dati sproporzionato e non in linea con i principi del GDPR. Per arrivare ad un punto d’incontro dai manager e le società che richiedevano la consulenza sarebbe stato più che sufficiente utilizzare altre metodologie meno invasive rispetto a questo tipo di pubblicazione sul web.

Un esempio per poter prevedere questa diffusione dei dati sarebbe potuta essere un’area riservata del sito, oppure anche con strumenti previsti dal CAD che permettessero la consultazione esclusiva alle Pmi interessate.