[doc. web n. 9973749]

Provvedimento del 16 novembre 2023

Registro dei provvedimenti
n. 528 del 16 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il recante il Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n.196 e s.m.i. (di seguito: “Codice”);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (di seguito: “Regolamento 1/2019);

ESAMINATO il reclamo presentato dal signor XX relativo a un presunto trattamento illecito di dati personali a sé afferenti, effettuato dall’avv. XX;

Esaminate le informazioni fornite dalle parti;

Vista la restante documentazione in atti;

Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali;

Relatore il dott. Agostino Ghiglia;

1. La vicenda e l’attività istruttoria del Garante

Il signor XX ha presentato a questa Autorità un reclamo relativo a un trattamento asseritamente illecito dei suoi dati personali da parte dell’avv. XX. In particolare, il signor XX ha riferito che “in data 5/12/2018 è stata invita mail con atti sensibili giudiziari sulla posta certificata aziendale di cui sono socio insieme a mio fratello (…), a cui possono accedere anche i dipendenti. Nella fattispecie la mail certificata è stata ricevuta da mio fratello (…) che ha provveduto ad inoltrarmela ma il quale non era a conoscenza degli ultimi sviluppi della mia questione privata relativa agli strascichi del divorzio dalla mia ex coniuge.”.

L’Autorità ha invitato l’avv. XX a fornire ogni utile elemento in ordine a quanto esposto nel reclamo chiedendo di fornire, in particolare, copia dell’email in questione e ogni altra deduzione ritenuta utile ai fini della valutazione del reclamo.

L’avv. XX ha fornito il riscontro richiesto, inviando copia della pec - con la quale è stata notificata, ai sensi della legge n. 53 del 1994, all’indirizzo di posta elettronica certificata aziendale un atto giudiziario al reclamante - e dichiarando, per quanto qui rileva, che: “l'invio della pec (…) è avvenuto nell'ambito di un procedimento ex art. 702 cpc bis con richiesta di emissione di sequestro conservativo  promosso dalla (…) mia assistita ed ex coniuge del XX per ottenere il saldo di quanto alla medesima dovuto in esito alla vendita della casa coniugale (…) così come concordato dai coniugi in occasione della separazione.” (…) Dopo richieste in via stragiudiziale della metà del ricavato (…) il sottoscritto ha intrapreso l'azione di cui si è detto. Con provvedimento in data 3 dicembre 2018 il Tribunale di Genova ha concesso il sequestro inaudita altera parte (…)  La comunicazione al sig. XX è stata fatta per ragioni di economia processuale e di costi e anche per evitare che (nell'attesa che si compisse la notifica tramite ufficiale giudiziario) si trovasse il conto bloccato a sua insaputa. Infine si deve considerare che il recapito del sig. XX è presso la casa materna (…)  dove il medesimo vive col figlio che in passato, quando è capitato di eseguire notifiche tramite Ufficiale Giudiziario, le ha dovute ricevere (…). Tutte le ragioni sopradette hanno indotto il sottoscritto avvocato ad eseguire la notifica via pec. (…) Se poi si guarda alla intestazione della PEC si evince che la comunicazione era indirizzata all'attenzione del sig. XX. Pertanto una comunicazione riservata che, se del caso, è stata illecitamente trattata da chi ha aperto la PEC stessa. Senza considerare che, in ogni caso, il XX non ha fornito la prova che siano stati altri terzi prima di lui ad aprire la PEC.”. In conclusione, l’avvocato ha ritenuto che non vi fosse stato alcun trattamento illecito.

Poiché le giustificazioni fornite non sono apparse tali da legittimarne la condotta, l’Autorità ha comunicato all’avv. XX in qualità di titolare del trattamento e al sig. XX, in qualità di interessato reclamante, l’avvio del procedimento per la possibile adozione- ai sensi degli articoli 77 ss. del Regolamento- dei provvedimenti di cui agli articoli 58, paragrafo 2 e 83 del Regolamento stesso, dell’articolo 166 del Codice e degli articoli 12 ss.. del regolamento 1/2019 del Garante, per la presumibile violazione degli articoli 5 e 6 del Regolamento.

L’avv. XX ha trasmesso note difensive, confermando quanto precedentemente rilevato e sostenendo che: “non si può certamente confutare il fatto che l’invio sia avvenuto e che lo stesso sia avvenuto all’indirizzo pec della società del sig. XX. Ciò su cui, tuttavia, il sottoscritto avvocato vuole richiamare ancora una volta l’attenzione del Garante è: a) la modalità con cui è stato trattato il dato [con riguardo alla dicitura «All’attenzione del sig. XX» presente nella pec in questione]; b) i soggetti che potevano accedere alla pec; c) la ricorrenza di alcune delle condizioni enumerate all’art. 6 par. 1 RGPD; d) la mancata prova, da parte del sig. XX, di aver subito una lesione dal trattamento dei dati”.

In particolare, circa la modalità con cui è avvenuta la comunicazione in esame, l’avvocato ha rappresentato che: “in ogni caso, ciò che appariva ai dipendenti era la schermata con la suddetta dicitura e cinque file che quantunque denominati non lasciavano intuire senza ombra di dubbio il contenuto, salvo che non venissero aperti. (…) era personale perché portato all’attenzione del sig. XX ma il contenuto era difficilmente identificabile”. Quanto ai soggetti che potevano accedere, l’avvocato ha prodotto la visura della società cui è stata inviata la pec in esame, da cui risultava che i dipendenti della società erano due e i soci quattro (il sig. XX, il fratello, il padre e la madre) e che “Dunque, fatta eccezione per i dipendenti (…) avevano accesso alla pec aziendale in primo luogo soggetti che normalmente sono a conoscenza delle vicende personali del sig. XX”. Sull’asserita ricorrenza di alcune delle condizioni di liceità del trattamento ex art. 6 del Regolamento, la parte sostiene che l’avvocato il trattamento sarebbe legittimato dalla necessità di salvaguardare gli interessi della cliente nel giudizio suddetto, trattandosi quindi “di aspetti che rilevano ai fini dell’applicazione delle lett. b), c) e f)”. Inoltre ha affermato che “la fretta ha fatto si che il sottoscritto avvocato mandasse la PEC all’indirizzo sbagliato. Ma ciò ha fatto in adempimento di un obbligo procedimentale ossia notificare il sequestro al sequestrato. (…) Ciò ha fatto altresì per salvaguardare gli interessi economici e in genere per perseguire il legittimo interesse della [cliente], che erano diventati “vitali” ove contrapposti all’interesse alla privacy del sig. XX”. L’avvocata ha rappresentato, infine, che non sarebbe stato prodotto alcun danno nella sfera personale e patrimoniale del sig. XX, chiedendo di essere sentita personalmente.

Il 4 maggio 2023 si è svolta, con modalità telematiche, l’audizione della parte, nel corso della quale essa ha rappresentato che il sig. XX non avrebbe mai presentato alcuna richiesta risarcitoria in relazione al trattamento di dati personali in questione, chiedendo in conclusione di procedere all’archiviazione del procedimento amministrativo e, in subordine, pur senza riconoscere la fondatezza delle contestazioni del sig. XX, l’applicazione di una sanzione nella minore entità possibile.

2. Normativa applicabile ed esito dell’attività istruttoria.

Ai sensi dell’art. 4, paragrafo 1, n. 1), del Regolamento costituisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Ai sensi del numero 2) del medesimo articolo, costituisce trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.
Pertanto, la comunicazione delle informazioni relative al reclamante costituisce trattamento di dati personali.

Dagli atti dell’istruttoria preliminare e da quelli successivamente acquisiti a seguito del presente procedimento, risulta confermato che l’avv. XX ha trasmesso dati personali relativi all’interessato (il reclamante) all’indirizzo pec dell’azienda, di cui il reclamante è socio, in assenza di una idonea base giuridica (art. 6 del Regolamento) e del principio di «minimizzazione dei dati» (art. 5, par. 1, lett. c) RGDP).

La difesa dell’avv.XX si basa sull’assunto preliminare che la personalità del dato in questione fosse andata sfumando, in quanto “era personale perché portato all’attenzione del sig. XX ma il contenuto era difficilmente identificabile” (v. memorie difensive cit.). Al riguardo risulta, invece, accertato un trattamento di dati “personali” riferiti al reclamante da parte dell’avvocata, che ha riconosciuto e documentato l’avvenuta comunicazione alla casella di posta aziendale, accessibile anche da soggetti diversi dal reclamante, di atti giudiziari a lui relativi. L’oggetto della pec in questione (denominato: “notificazione ai sensi della l. 53/1994”) risultava, peraltro, associabile al testo della stessa, contenente il nominativo dell’interessato (mediante la dicitura: “all’attenzione del sig. XX”).

In ordine all’asserita ricorrenza delle condizioni di cui all’art. 6, par. 1 lett. c) ed f), del Regolamento, la parte non ha fornito alcuna prova circa la sussistenza della necessità di adempiere un obbligo legale in relazione all’obbligo procedimentale di notificare il sequestro all’interessato, dando piuttosto dimostrazione del contrario e rappresentando, nel corso dell’istruttoria, che conosceva il recapito del sig. XX, presso il quale in passato aveva avuto modo di “eseguire notifiche tramite ufficiale giudiziario” e che l’atto giudiziario “avrebbe potuto essere notificato il giorno successivo presso la residenza e/o domicilio del sig. XX” (v. riscontro e memorie difensive cit.).

Non è stata dimostrata, del resto, la necessità del trattamento per la salvaguardia degli interessi vitali (sia pur patrimoniali) della cliente dell’avvocata, tenuto conto che, come riportato nel corso dell’istruttoria preliminare, una volta disposto dal Tribunale inaudita altera parte il sequestro conservativo sul conto corrente del reclamante, l’avvocata ha immediatamente avvertito la società sequestrataria a tutela degli interessi della sua cliente, non ravvisandosi pertanto alcuna necessità o urgenza di procedere come si è ritenuto.

Non rileva, infine, la mancanza di prova da parte del sig. XX di aver subito una lesione dal trattamento dei dati né la circostanza che egli non abbia mai presentato, come rappresentato dall’avv. XX in sede di audizione, alcuna richiesta risarcitoria. Essa non costituisce, infatti, in alcun modo condizione di procedibilità rispetto all’esercizio dei poteri correttivi e sanzionatori dell’Autorità, né elemento tipico degli illeciti amministrativi contestati.

3. Conclusioni.

In ragione di quanto su esposto, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive e nell’audizione non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali sotteso alla contestata comunicazione, effettuato dall’avv. XX in violazione degli artt. 5, par. 1, lett.  c) e 6 del Regolamento. 

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa

pecuniaria (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice).
L’illecito accertato è soggetto all’applicazione di sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La commisurazione infraedittale della sanzione da irrogare, in funzione delle circostanze di ogni singolo caso, va determinata tenuto conto dei principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento), sulla base dei criteri di cui al paragrafo 2 del medesimo articolo, in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito di reclamo da parte dell’interessato (art. 83, par. 2, lett. h) del Regolamento);

- il trattamento dei dati effettuato dall’avvocato ha riguardato atti giudiziari riferiti all’interessato (art. 83, par. 2, lett. g) del Regolamento);

- sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento (art. 83, par. 2, lett. b) del Regolamento);

- la parte ha dimostrato un buon grado di cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

- nei confronti della parte non risultano precedenti provvedimenti del Garante per violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- il numero delle persone legittimate ad accedere alla casella di posta elettronica certificata aziendale è risultato esiguo (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 500,00 (cinquecento) per l’accertato illecito, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’avv. XX per la violazione degli articoli 5, p.1, lett.c) e 6 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGDP all’avv. XX di pagare la somma di euro 500,00 (cinquecento) a titolo di sanzione amministrativa pecuniaria per gli illeciti indicati nel presente provvedimento, rappresentandosi che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni dalla notificazione del presente atto, di un importo pari alla metà della sanzione comminata.

INGIUNGE

all’avv. XX, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 500,00 (cinquecento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Ai sensi dell’articolo 78 del Regolamento, degli articoli 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi