il caso

Elenco manager innovativi, la morte della privacy è un “concorso di colpa”

Riguardo l’ormai noto “caso” dell’elenco contenente dati personali (in chiaro) riferibili a circa 9000 manager qualificati, il Mise avrebbe sì potuto agire in modo più oculato, ma una cosa è certa: la pubblicazione di tali nominativi non è del tutto illegittima come qualcuno ha lasciato intendere. Vediamo perché

11 Nov 2019
Diego Dimalta

Studio Legale Dimalta e Associati


E’ ormai nota la vicenda della pubblicazione, da parte del Ministero dello Sviluppo Economico, di un elenco contenente dati personali riferibili a circa 9000 manager qualificati, nell’ambito di un progetto governativo che mira a incentivare la trasformazione digitale all’interno delle PMI.

In molti hanno gridato allo scandalo, trattandosi di elenco accessibile “in chiaro” a tutti gli utenti web, ma in pochi hanno provato a cercare di comprendere le ragioni del Mise.

Questo articolo vorrebbe quindi fornire un’altra prospettiva da cui osservare il comportamento del Ministero, che lo renda se non proprio condivisibile, per lo meno più comprensibile.

I fatti

In primo luogo, riportiamo i fatti.

Come si legge sul sito del MISE, la misura “Voucher per consulenza in innovazione” è l’intervento che, in coerenza con il Piano nazionale “Impresa 4.0”, “sostiene i processi di trasformazione tecnologica e digitale delle PMI e delle reti di impresa di tutto il territorio nazionale”.

In sostanza, le imprese dotate di determinati requisiti, possono fruire di un aiuto economico pubblico – in forma di voucher – da investire in consulenze specialistiche che possono essere richieste ai soggetti inseriti in questa sorta di albo dei manager innovativi.

Di fatto, a seconda dei casi, lo Stato può contribuire in una misura che varia dal 30% al 50% del compenso richiesto dai consulenti esperti di settore.

Ma come funziona l’iscrizione all’albo?

I manager secondo alcune ricostruzioni hanno compilato un form e poi, “come era scontato hanno cliccato frettolosamente il consenso della presa visione della privacy policy”.

Che cosa significa che “come scontato”molti professionisti hanno cliccato frettolosamente il consenso? Insomma, stiamo parlando di persone che ambiscono a iscriversi a un albo dei manager innovativi e nessuno di loro ha dato peso all’informativa privacy?

Questo è un elemento da non sottovalutare nel computo dei giudizi e delle critiche rivolte al Mise in quanto, proprio l’alta professionalità dei soggetti coinvolti, porta ad escludere che questi possano asserire di non aver compreso o, peggio, di non aver letto la privacy policy.

Non siamo di fronte a persone prive degli strumenti utili alla comprensione dell’informativa.

Siamo invece davanti ad alti professionisti, persone con dottorati di ricerca e master. A parere di chi scrive, è chiaro che se costoro non hanno letto l’informativa non può essere colpa del Mise.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Certo, l’informativa non può fungere da panacea di tutti i mali.
La condotta del Ministero che informa i candidati circa la pubblicazione in chiaro dei loro dati personali, non può valere come scriminante.

Questo è evidente.

Ma cosa accadrebbe qualora il Mise avesse evidenziato, all’interno dell’informativa, il fatto di agire in base ad obblighi di legge?

E se pure il Garante avesse in passato avvallato simili condotte?

A questo proposito, è utile esaminare il contenuto dell’informativa in questione.

Citandola espressamente, si legge che “il trattamento è effettuato per motivi di interesse pubblico e per obblighi di legge”.

Ma di quale legge si tratta?

Il riferimento è all’art. 61 del Codice Privacy (così come novellato dal D.Lgs 101/18), che sancisce testualmente: “i dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento, che devono essere inseriti in un albo professionale in conformitòà alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell’articolo 2-ter del presente codice, anche mediante reti di comunicazione elettronica. Puo’ essere altresì menzionata l’esistenza di provvedimenti che a qualsiasi titolo incidono sull’esercizio della professione”.

Dalla lettura dell’informativa emergerebbe quindi un dato: il Mise ha correttamente applicato la normativa.
Non solo: riprendendo un provvedimento del Garante, seppur datato, è possibile osservare come, secondo l’allora presidente Rodotà “la comunicazione e la diffusione di dati personali nei confronti di privati o di enti pubblici economici [..] sono consentite solo se previste da una norma di legge o di regolamento”.

Applicando questi principi, il Garante ha ricordato che gli albi dei liberi professionisti sono ispirati, per loro stessa natura e funzione, ad un regime di pubblicità, anche in funzione della tutela dei diritti di coloro che, a vario titolo, hanno rapporti con gli iscritti all’albo.

In sostanza, l’Autorità, nel ricordare la necessità di attenersi alle norme di legge, ha voluto allo stesso tempo evidenziare come la pubblicità degli albi sia necessaria al fine di tutelare i diritti di chiunque potrebbe avere necessità di instaurare rapporti con i loro iscritti.

Del resto, quello dei manager inoovativi non è l’unico albo pubblico da cui è possibile trarre ogni tipo di informazione personale. Basti pensare all’albo degli avvocati – da sempre reperibile sul sito del CNF – che fornisce numerosi dati personali dei professionisti iscritti, tra cui il C.F., l’email, la PEC e il numero di telefono dello Studio. Questo, anche al fine di identificare con assoluta certezza il soggetto con cui si intende interloquire.

Privacy e trasparenza amministrativa

Bisognerebbe fare anche chiarezza su un binomio che spesso genera confusione tra i lettori.

E’ difatti importante distinguere la “trasparenza amministrativa” da quella che potremmo chiamare “trasparenza privacy”. La prima, disciplinata da d.lgs. 14 marzo 2013, n. 33 , consiste nella pubblicità di documenti propri di ogni amministrazione, allo scopo di favorire un controllo diffuso sul suo operato e sul’utilizzo delle risorse pubbliche. La seconda, invece, richiede che il Titolare del trattamento dei dati fornisca all’interessato informazioni chiare, coincise e facilmente intellegibili e che vengano fornite in un modo accessibile, senza ostacoli di sorta per lo stesso interessato.

Tenendo conto di queste definizioni, si potrebbe di buon grado sostenere che il Mise è stato trasparente sotto il profilo amministrativo, pubblicando l’elenco dei professionisti ed è stato altresì trasparente in accordo con la normativa privacy, fornendo un’informativa chiara, sia pure perfettibile.
L’errore, forse più macroscopico, riguarda invece il mancato utilizzo di misure tecniche e organizzative adeguate per raggiungere l’obiettivo della “trasparenza amministrativa”.

Ma questo – si badi bene – non ha nulla a che fare con la “trasparenza privacy”.
Attenzione però: si può essere trasparenti su entrambi i profili (amministrativo e privacy), ma non è detto che il trattamento di dati che ne consegue sia comunque corretto. Informare in maniera trasparente sul trattamento dei dati, non significa automaticamente che detto trattamento sia conforme alla normativa privacy.

In questo caso, infatti, è stata spesso agitata la bandiera della trasparenza amministrativa, relegando invece sullo sfondo il tema principale: la noncuranza da parte del Mise – questo sì – circa le misure tecniche e organizzative che potevano essere adottate per minimizzare il rischio privacy, quest’ultimo riconducibile – nel caso di specie – alla diffusione potenzialmente illimitata di dati, in quanto accessibili in chiaro sul web.

Il MISE avrebbe potuto agire diversamente?

Alla luce di tutto quanto sopra, è lecito chiedersi: il Mise avrebbe potuto agire diversamente?

Certo, in generale tutto è perfettibile.
L’informativa, ad esempio, poteva meglio precisare la legge che rende legittimo il trattamento dei dati da parte del Ministero. Allo stesso tempo, l’albo poteva prevedere una sorta di step intermedio tra la ricerca del nominativo e l’accesso a tutti i dati, creando – ad esempio – un sistema che permettesse alle parti di acconsentire simultaneamente alla visione dei reciproci documenti.

Il Ministero avrebbe anche potuto limitarsi a dare nome e cognome, permettendo poi alle aziende di richiedere i CV in separata sede.

Insomma, il Mise avrebbe sì potuto agire in modo più oculato, ma una cosa è certa: la pubblicazione di tali nominativi non è del tutto illegittima come qualcuno ha lasciato intendere.

Forse il Ministero avrebbe dovuto minimizzare il numero dei dati trattati, oltre a prevedere un’informativa più completa e misure di sicurezza ulteriori a quelle adottate ma, allo stesso tempo, anche i manager innovativi avrebbero dovuto prestare maggiore attenzione alla privacy policy e ai decreti dirigenziali.

Un concorso di colpa, dunque, ma non una sciocchezza del Ministero, questo deve essere chiaro.

WHITEPAPER
Che differenza c’è tra i Business Continuity e Disaster Recovery?
IoT
Manifatturiero/Produzione

@RIPRODUZIONE RISERVATA

Articolo 1 di 4