In questi giorni, ha fatto molto discutere, per ragioni di “privacy”, la pubblicazione da parte del MISE dei dati personali dei manager dell’innovazione, di cui si possono avvalere le imprese Italiane ai fini dell’ottenimento di voucher finalizzati allo sviluppo di progetti innovativi.
In realtà, non è tanto la “privacy” ad essere stata violata, ma il buon senso nel modus operandi del Ministero.
Intendiamoci: non è sbagliato finanziare l’innovazione digitale, anzi ben venga. È più che altro surreale l’articolazione dell’iter per ottenere questi voucher che arrivano fino alla somma ottenibile di 80.000 euro.
Il discorso “bollino”
A parte la considerazione – con risvolti tragicomici, visto che si tratta di una procedura destinata a chi dovrebbe occuparsi di innovazione – che sia per l’inserimento nell’elenco da parte dei professionisti e sia per l’avvio delle istanze da parte delle imprese non sembrerebbe trovarsi traccia di SPID (come sappiamo trattasi del Sistema Pubblico di Identità Digitale che dovrebbe essere, secondo l’art. 65 del CAD e secondo il Piano Triennale di AGID, lo strumento di accesso privilegiato per l’avvio delle istanze verso la PA), non posso non chiedermi: che senso ha predisporre un elenco pubblico di manager che si auto-qualificano tali (senza alcuna verifica preliminare o selezione da parte del MISE)? A che serve questo burocratico elenco se non seleziona nulla e non è in grado di qualificare in modo serio i soggetti che sono inseriti nello stesso? Di fatto, solo a consentire a qualcuno di definirsi tale con il “bollino” surreale del Mise o, peggio, di dichiarare allegramente di lavorare presso il MISE.
Il discorso “innovazione”
In un sistema Paese come il nostro, sarebbe stato molto più logico finanziare progetti di innovazione seri e sin dall’inizio verificabili, da affidare a persone oggettivamente qualificate, con professionalità accertabili da preventive iscrizioni in albi o elenchi ufficiali, oppure comunque qualificati nelle loro competenze secondo la Legge 4/2013 sulle professioni non regolamentate (peraltro portata avanti con attenzione dallo stesso MISE), perché il rischio reale è che tutto questo si traduca in una iniziale barzelletta che andrà a contaminare inevitabilmente la serietà dei progetti che si intenderanno finanziare.
Semplicemente si sarebbe potuto sviluppare un iter rigoroso per ottenere finanziamenti su progetti innovativi, valutabili con parametri oggettivi, e l’impresa avrebbe potuto scegliersi tranquillamente il proprio manager qualificato in grado di assisterla per portarli avanti, senza doverlo ricercare in un elenco pubblico predisposto solo per questa occasione.
Lo ripeto ancora: a che serve predisporre e dover tenere aggiornati questi “elenchini” senza alcun reale valore?
Il discorso “privacy” e il discorso “trasparenza amministrativa”
Precisato questo, è inevitabile che la questione sul corretto trattamento dei dati personali dei manager passi in secondo piano (e, in ogni caso, sarà utile attendere un probabile pronunciamento del Garante in materia). A mio modesto avviso comunque, seppur qualche leggerezza probabilmente sia stata effettivamente compiuta in una prima fase di pubblicazione dell’elenco – dove sono comparsi immediatamente in chiaro dati che si potrebbero ritenere non indispensabili ai fini della pubblicazione in un’area .html direttamente ricercabile (quali i numeri di cellulare), anche se tali dati sono comunque ricavabili dai CV trasmessi e comunque scaricabili dall’area consulente – il comportamento del MISE denota più che altro una certa fretta e impreparazione nell’applicazione del principio di minimizzazione nella configurazione di un progetto (che è più che altro partito male sin da quanto è stato disegnato).
Dal punto di vista della protezione dei dati personali, non si può comunque non riflettere sul fatto che l’informativa fornita dal MISE esprimeva chiaramente la necessità di pubblicare tutti i dati in un elenco disponibile on line: “i dati trasmessi dall’interessato, ivi compreso il Curriculum Vitae (CV) così come caricato in piattaforma, saranno oggetto di pubblicazione nell’elenco istituito ai sensi dell’articolo 5 del decreto DM 7 maggio 2019 (Voucher per consulenza in innovazione) comprendente i soggetti abilitati allo svolgimento degli incarichi manageriali oggetto di agevolazione ai sensi dello stesso decreto” (art. 5 comma 4 della stessa)”.
Addirittura il MISE si è posto anche il problema di eventuali categorie particolari di dati inserite nei CV forniti e quindi pubblicati, prevedendo nell’art. 3 (in modo forse un po’ troppo generico e superfluo) che “l’eventuale trattamento di categorie particolari di dati personali è effettuato per motivi di interesse pubblico rilevante (l’art. 2-sexies, comma 2, lettera m del decreto legislativo 30 giugno 2003, n. 196 s.m.i. riconosce come “rilevante” l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nella concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni) sulla base del diritto dell’Unione europea ovvero, dell’ordinamento interno, delle disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Insomma, non si può non rilevare che da parte del MISE la trasparenza informativa sia stata garantita agli interessati, i quali quindi avrebbero potuto gestire con attenzione cosa inserire nei loro CV e cosa invece evitare di riportare perché superfluo o non necessario. Valutazione che non poteva spettare al MISE in questo specifico caso. Del resto, non si può non ricordare che la pubblicazione dei CV di dirigenti pubblici (ma anche di loro consulenti) è doverosa secondo la normativa sulla trasparenza amministrativa (e anche gli stessi CV dei dirigenti del Garante per la protezione dei dati personali sono pubblici, per esempio), ma sono disponibili on line anche i CV dei candidati a ricoprire l’incarico nel Collegio dell’Authority.
Il discorso “voucher”
In realtà, la finalità di questa pubblicazione nell’elenco è quella di favorire (con un iter – lo ripeto – criticabile nella sua burocraticità) l’incontro tra domanda e offerta ai fini dell’ottenimento del voucher. Probabilmente sarebbe teoricamente ravvisabile non solo l’interesse pubblicistico come base giuridica per questo trattamento, ma anche un interesse privato (punti a) e b) dell’art. 6 GDPR) a tale pubblicazione. Il “discorso privacy”, insomma, non è per nulla ovvio e non bilanciabile solo con questioni attinenti alla “trasparenza amministrativa”.
Del resto, si può davvero chiedere al MISE di controllare – al fine di applicare il principio di minimizzazione contenuto nel GDPR – circa 10.000 CV che sono necessari in un contesto di richiesta di finanziamento che si concede nell’interesse privatistico diretto tra professionista – azienda?
Il discorso “curriculum vitae”
In proposito, credo che sia giusto rilevare che il CV di un professionista non può essere considerato un atto amministrativo in senso stretto che una PA può modificare a proprio piacimento “in autotutela”, anche ai fini di protezione dei dati personali, applicando così il principio di minimizzazione (faccio riferimento alle cd. “copie corrotte in autotutela” ovviamente).
Tale CV è appunto del professionista ed è lui, quindi, ad assumere le dirette responsabilità sul contenuto di ciò che è stato ivi immesso. La PA non può invece (e direi non deve) intervenire su un cv modificandolo (quindi anche con l’oscuramento) in una delle sue parti, senza il consenso dell’interessato. Paradossalmente andrebbe fatto l’esatto contrario di ciò che qualcuno pretenderebbe con leggerezza che il MISE ponesse in atto. Ciò è ancor più vero poiché questo discorso si interseca con il mondo delle autocertificazioni e dichiarazioni sostitutive di cui solo chi firma può e deve garantire il contenuto.
E infine il discorso “buon senso”
In estrema sintesi, sono e resto convinto che un cittadino consapevole (a maggior ragione se professionista) è anche un cittadino responsabile in un contesto trasparente. Nel nostro caso, la PA (MISE) ha messo a disposizione un servizio pubblico in un contesto privatistico tra professionisti (che auto-dichiarano di essere manager per l’innovazione) e aziende interessate. In questo particolare contesto, il MISE chiaramente e in modo trasparente ha precisato finalità e modalità di trattamento e ha sviluppato la sua piattaforma informativa. Il resto è automatizzato. Possiamo parlare di opportunità politica di questo meccanismo e anche di eventuale opportunità di verificare ex ante la veridicità di quei CV, ma non chiediamo alla PA ciò che è impossibile e che teoricamente non può neppure fare.
Il MISE si sta comportando di fatto come un qualsiasi cloud provider, che offre una piattaforma di condivisione nella quale l’interessato si trova in un contesto particolare, perché ha interesse diretto alla pubblicazione dei suoi dati. Non dimentichiamocelo. Non chiediamo alla PA di comportarsi in modo inverosimile, solo perché interpretiamo rigidamente e teoricamente il GDPR. L’interpretazione va fatta con buon senso e praticità. È del resto questo lo spirito della normativa europea contenuta nel GDPR, come chiarito tante volte dal compianto Giovanni Buttarelli.
Infine, mi sia consentita un’ultima riflessione. D’accordo, forse l’informativa fornita dal MISE potrebbe ritenersi generica[1] (…e guardando in giro non è che ci siano tanti esempi migliori!), ma davvero ci stiamo indignando di questo (dopo aver partecipato a una selezione piuttosto surreale e aver fornito un CV con dati spesso superflui), quando sistematicamente e spensieratamente cediamo fette intere della nostra esistenza digitale a player privati che li collazionano, li aggregano e li distribuiscono a partner commerciali e politici? Forse, noi “esperti della materia” potremmo impiegare meglio il nostro tempo con riflessioni su argomenti di diverso spessore e importanza, almeno considerando i principi dello stesso GDPR che tanto formalmente ci sta così a cuore, e quindi considerando i reali rischi per i diritti e le libertà degli interessati di tale trattamento! O no?
________________________________________________________________________
- Peraltro, nella genericità dell’informativa, non risultano neppure inseriti i dati di contatto del DPO (Data Protection Officer), la cui indicazione è obbligatoria ex art. 13 del GDPR. ↑