C’era una volta l’elenco degli innovation manager pubblicato dal Ministero dello Sviluppo Economico per la fruizione dei cc.dd. “Voucher per consulenza in innovazione”. Sulla base di un provvedimento del Direttore generale per gli incentivi alle imprese, venivano così resi pubblicamente accessibili e liberamente scaricabili i dati personali di oltre 5000 manager, con tanto di curriculum vitae integrale e, in alcuni casi, copia del documento di riconoscimento e della tessera sanitaria.
Quella che nella premessa sembrava una fiaba di innovazione ha assunto, nei risvolti operativi, i connotati oscuri e inquietanti propri dei racconti dei fratelli Grimm per l’aspetto di protezione dei dati personali. Tanto che, l’Autorità Garante per la protezione dei dati personali ha emesso una sanzione di 75 mila euro all’esito di un’articolata istruttoria, rilevando la carenza di una base giuridica per la diffusione dei dati tramite pubblicazione, la violazione dei principi di limitazione delle finalità e di minimizzazione e il ritardo nella designazione da parte del Ministero del Responsabile della protezione dei dati.
L’importo è stato particolarmente contenuto in ragione delle circostanze del caso, l’elevato grado di cooperazione con il Garante e l’esaurimento degli effetti della condotta in seguito alla rimozione dei dati personali dalla pubblicazione e la designazione del RPD.
I passaggi fondamentali dell’ordinanza-ingiunzione riguardano per lo più la regolamentazione della diffusione dei dati personali che, se svolta da un soggetto pubblico, è lecita solamente nel caso in cui possa essere fondata su “una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter Cod. Privacy). In ogni caso, nella sua modalità di attuazione, deve seguire i principi di limitazione di finalità e minimizzazione.
Prima di tutto, è chiarito che il presupposto normativo deve essere interpretato in modo restrittivo, e il decreto direttoriale avendo natura di atto amministrativo generale e non di regolamento non poteva “estendersi fino al punto di individuare regimi di pubblicità dei dati personali e operazioni di diffusione online”.
Inoltre, dal momento che la pubblicazione intendeva agevolare un incontro fra domanda e offerta per la fruizione dei Voucher e la selezione dei professionisti accreditati, la scelta di diffusione dei dati personali attraverso il sito vetrina è stata valutata come sproporzionata rispetto al perseguimento delle finalità individuate. Un passaggio significativo riguarda l’esigenza di svolgere una corretta analisi dei rischi riferita al contesto operativo, strumento fondamentale per la definizione di quelle modalità alternative di trattamento conformi al principio di privacy by design di cui all’art. 25 GDPR.
