La pubblicazione in chiaro di dati personali dei innovation manager sul sito del ministero dello Sviluppo economico ha scosso l’opinione pubblica sollevando un mare di critiche non solo negli ambienti più attenti alle dinamiche della privacy.
Ed è un caso emblematico di quanto poco la PA abbia fatto proprie le logiche del Gdpr, privacy by design e by default.
Innovation manager, privacy violata?
Ricordiamo che si tratta della pubblicazione di dati personali di oltre 9000 professionisti (ossia i soggetti abilitati allo svolgimento degli incarichi manageriali oggetto di agevolazione ai sensi del decreto 7 maggio 2019) comprensivi di curricula, codici fiscali e numeri di telefono (in verità poi tolti dall’elenco completo ma rinvenibili tranquillamente tra i curricula).
E non hanno contribuito a stemperare gli animi le giustificazioni invocate dal Ministero di obblighi di “trasparenza” cui sono soggetti gli Enti pubblici e richiami all’informativa ex art.13 resa agli interessati in fase di presentazione della domanda.
Banco di prova del Gdpr
In verità di natura abbastanza generica e a mio avviso non propriamente allineata ai dettami del Regolamento Europeo Gdpr.
Ora, premettendo che secondo la normativa vigente, soltanto il Tribunale e l’autorità Garante per la protezione dei dati personali possono riconoscere se eventuale violazione di dati personali sia avvenuta, dal mio personalissimo punto di vista, credo che questa vicenda rappresenti un’interessante e positivo “benchmark” del Gdpr.
Deve essere valutato positivamente, infatti, che l’attenzione e la sensibilità dell’opinione pubblica, dei media e dei professionisti del settore accompagnano ormai da 18 mesi l’argomento della protezione dei dati senza evidenti cali di popolarità.
E pur se non con la celerità auspicata dal legislatore e dagli operatori del settore, questo clamore prima o poi non potrà essere ignorato dai soggetti richiamati al rispetto degli obblighi previsti dalla normativa.
Resta solo da vedere se questa costanza di intenti possa contribuire in maniera significante a sviluppare una cultura orientata sulla data protection o se al contrario bisognerà attendere che l’Autorità si faccia sentire a colpi di sanzioni.
Le difficoltà della trasparenza PA nel rapporto col Gdpr
D’altra parte sembra altresì evidente quanto le autorità pubbliche annaspino nell’approcciarsi alle solide e pragmatiche categorie logico-relazionali di matrice anglosassone che sono alla base del Regolamento Europeo 679/2016.
I principi di privacy by design e privacy by default, infatti, imporrebbero un approccio diverso e nuovo nella progettazione e costruzione di processi, procedure e procedimenti della Pubblica amministrazione. Così come il principio di finalità e quello di minimizzazione imporrebbero delle riflessioni preliminari (e tuttavia sconosciute) di acquisizione (e pubblicazione) di quei dati strettamente necessari al raggiungimento delle finalità del trattamento.
E’ inutile ribadire, anche in questo caso, che un maggior coinvolgimento del Responsabile per la protezione dei dati nella vita degli Enti dovrebbe contribuire a prevenire o minimizzare i rischi di una violazione…certo, a condizione che costui sia messo in grado di svolgere i propri compiti, e cioè non sia stato scelto a caso, non sia sottopagato, non sia costretto a seguire decine di Enti.
E’ così’ che tra l’attacco informatico del 5 novembre e la sospetta violazione di dati del 7 novembre sta per concludersi anche il 2019 con un significativo ritardo nella protezione degli interessati.
