Il Garante Privacy ha sanzionato il Ministero dello Sviluppo Economico (MISE) per la diffusione dei dati personali di oltre 5000 soggetti interessati, in mancanza di idoneo presupposto normativo e non conformemente al rispetto dei principi di liceità, limitazione del trattamento e minimizzazione dei dati del GDPR.
Il MISE ha pubblicato, nel proprio sito web, dati personali (nominativo, codice fiscale, e-mail) e curriculum vitae integrale (con ulteriori dati personali come, ad esempio, telefono cellulare, istruzione e formazione, esperienze professionali, ecc.), riferiti a più di cinquemila professionisti, inseriti nell’elenco dei “Manager qualificati e delle società di consulenza”.
Inoltre, durante l’istruttoria del provvedimento è emerso che il MISE, alla data di obbligatorietà (25 maggio 2018), non aveva provveduto alla nomina del Responsabile alla Protezione dei Dati Personali (RPD o DPO), nomina che è stata effettuata successivamente, con oltre un anno e mezzo di ritardo.
Emerge ancora una volta come, specialmente negli ambiti della pubblica amministrazione, sia necessario formare una reale consapevolezza della protezione dei dati personali.
Questo deve riguardare non solo gli incaricati al trattamento, ma anche i dirigenti, che decidono gli atti e le modalità di pubblicità che essi debbono avere.
In questo ambito, anche la mancanza della figura del DPO, con il suo fondamentale compito di sensibilizzazione, ha dimostrato che la sua presenza sia essenziale, specialmente in una grande organizzazione pubblica.
Non riusciamo a comprendere il motivo della mancata nomina, e della quale l’ente era certamente a conoscenza, anche a seguito dell’opera di informazione che era stata messa in atto dal Garante Privacy, sin dal maggio 2017.