Il Garante per la protezione dei dati personali ha erogato una sanzione di 75.000 euro al Ministero dello Sviluppo Economico (MiSE) per aver pubblicato sul sito web i dati personali di oltre 5.000 manager e per non aver nominato il Responsabile della Protezione dei Dati (RPD) entro il 28 maggio 2018, data di entrata in vigore del GDPR (Regolamento Generale sulla Protezione dei Dati).
Il Garante multa una Pubblica Amministrazione
Il Garante scrive che per la prima volta la sanzione è stata sanzionata una Pubblica Amministrazione per non aver nominato il RPD entro il termine stabilito, nonostante sia stata inviata una specifica comunicazione a tutti i Ministeri nel maggio 2017, indicando proprio la suddetta nomina come una delle priorità da considerare nell’adeguamento alla nuova normativa europea.
La mancata nomina è stata scoperta durante l’istruttoria avviata in seguito alle segnalazioni ricevute dal Garante sulla presenza di un elenco di manager sul sito web del MiSE. Questo elenco conteneva numerosi dati personali di oltre 5.000 professionisti: nome, codice fiscale, indirizzi email e il curriculum vitae completo con ulteriori dati, tra cui numero di telefono, istruzione e formazione, esperienze professionali, documento di riconoscimento e tessera sanitaria.
L’autorità ha rilevato un trattamento di dati personali sproporzionato e quindi non conforme alla normativa in vigore. Il Garante spiega che il MiSE doveva utilizzare strumenti meno invasivi per la divulgazione dei dati, evitando il rischio di usi illegittimi da parte di terzi (furto d’identità, profilazione, phishing e altro). Per tali violazioni, il Ministero dovrà pagare una sanzione di 75.000 euro.