il caso

Privacy manager dell’innovazione, il Mise non ha sbagliato: ecco perché

Nel caso della pubblicazione in chiaro dei dati degli innovation manager, il MISE si sta comportando come un cloud provider che offre una piattaforma di condivisione in cui l’interessato ha “interesse” alla pubblicazione dei suoi dati. Non chiediamo alla PA cose inverosimili solo per una rigida interpretazione del Gdpr

Pubblicato il 12 Nov 2019

Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni, direttore della rivista Digeat

Innovation-Manager_Multiplier-Mindset-Blog

In questi giorni, ha fatto molto discutere, per ragioni di “privacy”, la pubblicazione da parte del MISE dei dati personali dei manager dell’innovazione, di cui si possono avvalere le imprese Italiane ai fini dell’ottenimento di voucher finalizzati allo sviluppo di progetti innovativi.

In realtà, non è tanto la “privacy” ad essere stata violata, ma il buon senso nel modus operandi del Ministero.
Intendiamoci: non è sbagliato finanziare l’innovazione digitale, anzi ben venga. È più che altro surreale l’articolazione dell’iter per ottenere questi voucher che arrivano fino alla somma ottenibile di 80.000 euro.

Il discorso “bollino”

A parte la considerazione – con risvolti tragicomici, visto che si tratta di una procedura destinata a chi dovrebbe occuparsi di innovazione – che sia per l’inserimento nell’elenco da parte dei professionisti e sia per l’avvio delle istanze da parte delle imprese non sembrerebbe trovarsi traccia di SPID (come sappiamo trattasi del Sistema Pubblico di Identità Digitale che dovrebbe essere, secondo l’art. 65 del CAD e secondo il Piano Triennale di AGID, lo strumento di accesso privilegiato per l’avvio delle istanze verso la PA), non posso non chiedermi: che senso ha predisporre un elenco pubblico di manager che si auto-qualificano tali (senza alcuna verifica preliminare o selezione da parte del MISE)? A che serve questo burocratico elenco se non seleziona nulla e non è in grado di qualificare in modo serio i soggetti che sono inseriti nello stesso? Di fatto, solo a consentire a qualcuno di definirsi tale con il “bollino” surreale del Mise o, peggio, di dichiarare allegramente di lavorare presso il MISE.

Il discorso “innovazione”

In un sistema Paese come il nostro, sarebbe stato molto più logico finanziare progetti di innovazione seri e sin dall’inizio verificabili, da affidare a persone oggettivamente qualificate, con professionalità accertabili da preventive iscrizioni in albi o elenchi ufficiali, oppure comunque qualificati nelle loro competenze secondo la Legge 4/2013 sulle professioni non regolamentate (peraltro portata avanti con attenzione dallo stesso MISE), perché il rischio reale è che tutto questo si traduca in una iniziale barzelletta che andrà a contaminare inevitabilmente la serietà dei progetti che si intenderanno finanziare.

Semplicemente si sarebbe potuto sviluppare un iter rigoroso per ottenere finanziamenti su progetti innovativi, valutabili con parametri oggettivi, e l’impresa avrebbe potuto scegliersi tranquillamente il proprio manager qualificato in grado di assisterla per portarli avanti, senza doverlo ricercare in un elenco pubblico predisposto solo per questa occasione.

Lo ripeto ancora: a che serve predisporre e dover tenere aggiornati questi “elenchini” senza alcun reale valore?

Il discorso “privacy” e il discorso “trasparenza amministrativa”

Precisato questo, è inevitabile che la questione sul corretto trattamento dei dati personali dei manager passi in secondo piano (e, in ogni caso, sarà utile attendere un probabile pronunciamento del Garante in materia). A mio modesto avviso comunque, seppur qualche leggerezza probabilmente sia stata effettivamente compiuta in una prima fase di pubblicazione dell’elenco – dove sono comparsi immediatamente in chiaro dati che si potrebbero ritenere non indispensabili ai fini della pubblicazione in un’area .html direttamente ricercabile (quali i numeri di cellulare), anche se tali dati sono comunque ricavabili dai CV trasmessi e comunque scaricabili dall’area consulente – il comportamento del MISE denota più che altro una certa fretta e impreparazione nell’applicazione del principio di minimizzazione nella configurazione di un progetto (che è più che altro partito male sin da quanto è stato disegnato).

Dal punto di vista della protezione dei dati personali, non si può comunque non riflettere sul fatto che l’informativa fornita dal MISE esprimeva chiaramente la necessità di pubblicare tutti i dati in un elenco disponibile on line: “i dati trasmessi dall’interessato, ivi compreso il Curriculum Vitae (CV) così come caricato in piattaforma, saranno oggetto di pubblicazione nell’elenco istituito ai sensi dell’articolo 5 del decreto DM 7 maggio 2019 (Voucher per consulenza in innovazione) comprendente i soggetti abilitati allo svolgimento degli incarichi manageriali oggetto di agevolazione ai sensi dello stesso decreto” (art. 5 comma 4 della stessa)”.

Addirittura il MISE si è posto anche il problema di eventuali categorie particolari di dati inserite nei CV forniti e quindi pubblicati, prevedendo nell’art. 3 (in modo forse un po’ troppo generico e superfluo) che “l’eventuale trattamento di categorie particolari di dati personali è effettuato per motivi di interesse pubblico rilevante (l’art. 2-sexies, comma 2, lettera m del decreto legislativo 30 giugno 2003, n. 196 s.m.i. riconosce come “rilevante” l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nella concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni) sulla base del diritto dell’Unione europea ovvero, dell’ordinamento interno, delle disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.

Insomma, non si può non rilevare che da parte del MISE la trasparenza informativa sia stata garantita agli interessati, i quali quindi avrebbero potuto gestire con attenzione cosa inserire nei loro CV e cosa invece evitare di riportare perché superfluo o non necessario. Valutazione che non poteva spettare al MISE in questo specifico caso. Del resto, non si può non ricordare che la pubblicazione dei CV di dirigenti pubblici (ma anche di loro consulenti) è doverosa secondo la normativa sulla trasparenza amministrativa (e anche gli stessi CV dei dirigenti del Garante per la protezione dei dati personali sono pubblici, per esempio), ma sono disponibili on line anche i CV dei candidati a ricoprire l’incarico nel Collegio dell’Authority.

Il discorso “voucher”

In realtà, la finalità di questa pubblicazione nell’elenco è quella di favorire (con un iter – lo ripeto – criticabile nella sua burocraticità) l’incontro tra domanda e offerta ai fini dell’ottenimento del voucher. Probabilmente sarebbe teoricamente ravvisabile non solo l’interesse pubblicistico come base giuridica per questo trattamento, ma anche un interesse privato (punti a) e b) dell’art. 6 GDPR) a tale pubblicazione. Il “discorso privacy”, insomma, non è per nulla ovvio e non bilanciabile solo con questioni attinenti alla “trasparenza amministrativa”.

Del resto, si può davvero chiedere al MISE di controllare – al fine di applicare il principio di minimizzazione contenuto nel GDPR – circa 10.000 CV che sono necessari in un contesto di richiesta di finanziamento che si concede nell’interesse privatistico diretto tra professionista – azienda?

Il discorso “curriculum vitae”

In proposito, credo che sia giusto rilevare che il CV di un professionista non può essere considerato un atto amministrativo in senso stretto che una PA può modificare a proprio piacimento “in autotutela”, anche ai fini di protezione dei dati personali, applicando così il principio di minimizzazione (faccio riferimento alle cd. “copie corrotte in autotutela” ovviamente).
Tale CV è appunto del professionista ed è lui, quindi, ad assumere le dirette responsabilità sul contenuto di ciò che è stato ivi immesso. La PA non può invece (e direi non deve) intervenire su un cv modificandolo (quindi anche con l’oscuramento) in una delle sue parti, senza il consenso dell’interessato. Paradossalmente andrebbe fatto l’esatto contrario di ciò che qualcuno pretenderebbe con leggerezza che il MISE ponesse in atto. Ciò è ancor più vero poiché questo discorso si interseca con il mondo delle autocertificazioni e dichiarazioni sostitutive di cui solo chi firma può e deve garantire il contenuto.

E infine il discorso “buon senso”

In estrema sintesi, sono e resto convinto che un cittadino consapevole (a maggior ragione se professionista)  è anche un cittadino responsabile in un contesto trasparente. Nel nostro caso, la PA (MISE) ha messo a disposizione un servizio pubblico in un contesto privatistico tra professionisti (che auto-dichiarano di essere manager per l’innovazione) e aziende interessate. In questo particolare contesto, il MISE chiaramente e in modo trasparente ha precisato finalità e modalità di trattamento e ha sviluppato la sua piattaforma informativa. Il resto è automatizzato. Possiamo parlare di opportunità politica di questo meccanismo e anche di eventuale opportunità di verificare ex ante la veridicità di quei CV, ma non chiediamo alla PA ciò che è impossibile e che teoricamente non può neppure fare.

Il MISE si sta comportando di fatto come un qualsiasi cloud provider, che offre una piattaforma di condivisione nella quale l’interessato si trova in un contesto particolare, perché ha interesse diretto alla pubblicazione dei suoi dati. Non dimentichiamocelo. Non chiediamo alla PA di comportarsi in modo inverosimile, solo perché interpretiamo rigidamente e teoricamente il GDPR. L’interpretazione va fatta con buon senso e praticità. È del resto questo lo spirito della normativa europea contenuta nel GDPR, come chiarito tante volte dal compianto Giovanni Buttarelli.

Infine, mi sia consentita un’ultima riflessione. D’accordo, forse l’informativa fornita dal MISE potrebbe ritenersi generica[1] (…e guardando in giro non è che ci siano tanti esempi migliori!), ma davvero ci stiamo indignando di questo (dopo aver partecipato a una selezione piuttosto surreale e aver fornito un CV con dati spesso superflui), quando sistematicamente e spensieratamente cediamo fette intere della nostra esistenza digitale a player privati che li collazionano, li aggregano e li distribuiscono a partner commerciali e politici? Forse, noi “esperti della materia” potremmo impiegare meglio il nostro tempo con riflessioni su argomenti di diverso spessore e importanza, almeno considerando i principi dello stesso GDPR che tanto formalmente ci sta così a cuore, e quindi considerando i reali rischi per i diritti e le libertà degli interessati di tale trattamento! O no?

________________________________________________________________________

  1. Peraltro, nella genericità dell’informativa, non risultano neppure inseriti i dati di contatto del DPO (Data Protection Officer), la cui indicazione è obbligatoria ex art. 13 del GDPR.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati