Il provvedimento per la vicenda dei CV dei professionisti 3I

Il Mise, nell’ambito di operazioni finalizzate ad incentivare lo sviluppo delle startup, stabiliva nel 2019 la creazione della misura “Voucher 3I”, stanziando risorse per il triennio 2019-2021.

La misura prevedeva il sostenimento, da parte del Mise stesso, delle spese delle startup in consulenze ai fini di rafforzamento e accrescimento dell’impresa.

Per accedere alla misura era (è) necessario farne richiesta apposita, e rispettare determinati requisiti. Tra questi, è necessario rivolgersi ad un professionista o società di consulenza iscritti in un determinato elenco del Mise, istituito con apposito decreto.

Lo stesso decreto doveva stabilire “i requisiti necessari per l’iscrizione nell’elenco delle società di consulenza e dei manager qualificati, nonché i criteri, le modalità e gli adempimenti formali per l’erogazione dei contributi e per l’eventuale riserva di una quota delle risorse da destinare prioritariamente alle micro e piccole imprese e alle reti d’impresa” (comma 228).

Tale decreto (Decreto Ministeriale del 7/5/2019) rinviava ad un ulteriore atto amministrativo (in questo caso un Decreto del Direttore generale per gli incentivi alle imprese) la descrizione delle modalità di iscrizione nell’elenco del Mise da parte dei professionisti e delle società di consulenza.

Con il Decreto del Direttore generale è stata infine stabilita la pubblicazione dell’elenco dei professionisti e società iscritte (All. 4). Le informazioni riportate in questo elenco sono le seguenti: cognome, nome, codice fiscale, e-mail contatto (personale o società di consulenza), link cv, società di consulenza, soggetto già iscritto in altri elenchi dei manager dell’innovazione, esperienza professionale nello svolgimento di incarichi manageriali negli ambiti di cui all’articolo 3 del DM 7 maggio 2019 (numero anni), area di interesse.

La pubblicazione di questi dati ha attirato l’attenzione dell’Autorità Garante della Privacy, per un sospetto trattamento illecito di dati sensibili. L’Autorità, dopo una valutazione preliminare, ha accertato il trattamento di dati personali non conforme, da parte del Mise, di oltre 5.000 soggetti.

In particolare, la contestazione riguardava la violazione dell’art. 2-ter, commi 1 e 3, del Codice: l’Autorità non ha ritenuto che il contenuto del decreto del Direttore generale “potesse costituire un idoneo presupposto normativo per la diffusione di dati personali ai sensi del Codice, tenuto conto che il decreto direttoriale citato non ha natura regolamentare e non è, in ogni caso, in alcun modo richiamato dall’art. 1, commi 228, 230 e 231, della legge n. 145/2018” (inoltre, lo stesso Decreto non prevedeva la pubblicazione integrale dei CV, ma solo la diffusione dei nominativi iscritti all’Elenco).

Non solo, l’Autorità ha accertato il ritardo nella nomina del Responsabile della Protezione dei Dati, nonché nella comunicazione dei relativi dati di contatto all’Autorità stessa, in violazione dell’art. 37, parr. 1 e 7, del Regolamento europeo sul Trattamento dei Dati.

Al seguito dell’istruttoria, e delle osservazioni del MISE, il Garante ha ritenuto che gli elementi emersi non fossero sufficienti per procedere con l’archiviazione.

Il MISE aveva violato le disposizioni in tema di trattamento dei dati, diffondendo i dati personali e i CV (con tutte le informazioni aggiuntive ivi contenute) senza adeguata base giuridica (art. 2ter cc. 1, 3 Codice Privacy, art. 6, par. 1 let. c, e; par. 2, par. 3, let. b del RGDP), e non rispettando i principi di liceità, limitazione della finalità e minimizzazione dei dati (art. 5, par. 1, lett. a, b, c, RGDP).

Inoltre, il MISE aveva ritardato nella nomina (e nella conseguente comunicazione dei dati all’Autorità) del Responsabile della Protezione dei Dati, provvedendo alla nomina solamente un anno e mezzo dopo che era divenuto applicabile il RGDP.

L’autorità, considerato che in ogni caso la condotta si era esaurita, dal momento che i dati erano stati rimossi e che il MISE aveva provveduto alla nomina del RPD, non riteneva necessario adottare provvedimenti correttivi ex art. 58 par. 2 RGDP, ma provvedeva “soltanto” ad infliggere le sanzioni amministrative per 75.000 euro.

Considerazioni: Trasparenza e Privacy

La vicenda rappresenta un caso, per la verità abbastanza frequente nelle P.A., di scontro tra necessità di privacy e di trasparenza. Sono infatti ben noti gli obblighi di trasparenza in capo alle pubbliche amministrazioni (es. obbligo di adozione di un Piano Triennale per la corruzione e per la trasparenza, che impongono alle amministrazioni una comunicazione “aperta” in ottica di buon andamento e affidabilità).

D’altra parte, l’entrata in vigore del RGDP ha alzato la soglia per quanto riguarda la diffusione dei dati, e le amministrazioni pubbliche sono parimenti soggette alla norma.

È possibile quindi che si verifichino quindi casi in cui le amministrazioni eccedono nel proprio proposito di essere trasparenti e finiscono per violare, anche in buona fede, le disposizioni relative alla protezione dei dati.

Ed è proprio la necessità del rispetto del principio della trasparenza una delle ragioni addotte dal Mise a giustificazione della propria condotta: nel “botta-e-risposta” del procedimento, l’Autorità indicava modalità alternative (rispetto alla pubblicazione integrale dei CV) attraverso le quali favorire l’incontro tra consulenti e fruitori della misura, come ad esempio l’accesso selettivo ad aree riservate tramite credenziali di autenticazione appositamente generate; tuttavia, la risposta del Mise a tale osservazione sottolineava, oltre alle difficoltà tecniche per la realizzazione, il mancato rispetto delle “finalità di trasparenza connesse all’erogazione di incentivi pubblici”.

Secondo il Mise era “indispensabile per le imprese che consultano l’elenco MiSE acquisire tutte le informazioni necessarie ad esercitare una consapevole scelta del manager più adatto al proprio interesse aziendale. I dati indicati nel cv, forniti volontariamente dagli stessi manager, sono stati del resto oggetto di pubblicità secondo le modalità già conosciute e accettate dal manager. L’identificazione soggettiva del consulente, oltre che la qualifica professionale, è elemento discriminante e indispensabile per la finalizzazione dell’incarico”.

La lettura data dal Mise non convinceva tuttavia l’Autorità, la quale, pur accogliendo la premessa sulla necessità di incontro tra domanda e offerta sulla necessità di trasparenza dovuta all’instaurazione di un rapporto privatistico, anche basato sulla fiducia, non poteva fare a meno di sottolineare la sproporzione tra la finalità perseguita e l’applicazione pratica (“rimane in ogni caso sproporzionato rendere disponibili a chiunque – tramite la pubblicazione online sul sito web del Ministero senza alcun filtro – dati e informazioni personali di un numero così elevato di soggetti interessati […] La conoscenza generalizzata dei predetti dati non rispondeva ad alcuna ragione di trasparenza, considerando che la scelta dei manager era rimessa a una discrezionalità da parte delle imprese interessate, non sindacabile dal Ministero, e, inoltre, non tutti i manager iscritti nell’elenco avrebbero instaurato rapporti professionali con le imprese interessate perché da esse scartati”).

La buona fede del Mise è stata comunque riconosciuta dal Garante, e ha contribuito, insieme alla collaborazione del Ministero in fase di procedimento, nonché al celere adoperamento dello stesso nel rimuovere le violazioni, a ridurre la sanzione inflitta.

Rimane comunque presente, nell’ambito dell’attività delle pubbliche amministrazioni, un problema relativo alla difficile ricerca di un punto di equilibrio tra le necessita di trasparenza e rispetto della privacy.

Il provvedimento dell’Autorità in discussione ha senz’altro il pregio di confermare, se ce ne fosse il bisogno, che anche le pubbliche amministrazioni sono tenute al rispetto della privacy, e che le esigenze pubblicistiche di trasparenza e buon andamento non possono in ogni caso prevalere sul rispetto della riservatezza dei dati del singolo. I due elementi devono almeno essere soppesati e messi in relazione.

Considerazioni: Il responsabile del trattamento dei dati personali

Per concludere, il provvedimento offre una sponda anche per una breve riflessione riguardo la figura del Responsabile del Trattamento dei Dati all’interno delle P.A..

In questa occasione il Mise ha provveduto con ritardo alla nomina di un RPD, e questo è il solo aspetto sottolineato riguardo la figura del RPD. Tuttavia, anche in questo caso vi sono alcuni aspetti particolari, relativi all’imparzialità dell’incaricato, che vanno tenuti in considerazione al momento della nomina di un RPD.

I principi di buon andamento e imparzialità impongono infatti la nomina di soggetti con particolari caratteristiche, chiamati ad adempiere al proprio compito ma al tempo stesso garantire il funzionamento e la trasparenza della P.A. (praticamente la stessa situazione vista nel paragrafo precedente, rovesciata).

È chiaro quindi che il RPD debba trovarsi in situazioni di assoluta assenza di conflitto di interesse: in proposito, è da sottolineare che diversi commentatori hanno osservato in proposito l’incompatibilità della carica con ruoli e funzioni aziendali.

Per questo motivo, potrebbe essere l’ideale nominare un RPD esterno all’amministrazione. Ma la nomina di un RPD esterno presuppone, trattandosi di ente pubblico, la selezione attraverso un bando, con la definizione di determinate caratteristiche per l’incarico.

La conseguenza di questo iter è la nomina di un RPD con funzioni e caratteristiche costruite “ad hoc”, con la creazione di potenziali conflitti di interessi.

Come detto, questo aspetto non è stato affrontato dal Garante in questa occasione, in cui anzi è stato apprezzato il ravvedimento operoso ancorché tardivo del Mise.

Si tratta in ogni caso di un aspetto che sicuramente dovrà essere affrontato dall’Autorità Garante in futuro.

(1 votes, average: 5,00 out of 5)
Loading...