Provvedimento dell'11 gennaio 2024 [9993548]
Provvedimento dell'11 gennaio 2024 [9993548]
Condividi[doc. web n. 9993548]
Provvedimento dell'11 gennaio 2024
Registro dei provvedimenti
n. 58 dell'11 gennaio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTA la nota con la quale il Consiglio Nazionale del Notariato (di seguito, “Consiglio”) ha chiesto chiarimenti in ordine all’applicazione del Regolamento (UE) 2016/679 nei rapporti tra i notai e il portale “Pigna” gestito dalla società “Euro Servizi per i Notai S.r.l.”;
VISTO il procedimento istruttorio avviato d’ufficio dal Garante ai sensi dell’art. 6, comma 1, del Regolamento interno n. 1/2019 sulle procedure interne a rilevanza esterna;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Richiesta del Consiglio Nazionale del Notariato.
Con nota del 3/7/2018, il Consiglio nazionale del Notariato ha chiesto a questa Autorità alcuni chiarimenti in ordine al corretto inquadramento dei rapporti tra istituti di credito e notai allorquando, nella stipula di contratti di mutuo, alcune banche mutuanti si avvalgono dei servizi di una società terza, “Euro Servizi per i Notai S.r.l.” (di seguito “ESpN” o “la Società”) per la gestione dello scambio documentale con i notai, tramite la Piattaforma Informatica Gestione Atti Notarili, denominata PIGNA (di seguito “Pigna” o “portale”).
In particolare sono state rappresentate alcune perplessità in ordine al ruolo svolto da tale Società nel rapporto con i notai incaricati della stipula, considerato che le modalità operative della predetta piattaforma implicano il trattamento di dati personali, oltre che dei mutuatari, anche di soggetti terzi strettamente correlati (ad es. venditore dell’immobile) nonché di dati riguardanti i notai medesimi.
Le richieste di chiarimento hanno riguardato, in particolare, due aspetti:
il ruolo da assegnare - in relazione alla gestione dei dati personali – ai diversi soggetti che, a diverso titolo, operano nell’ambito della piattaforma Pigna (notaio, banche e ESpN);
il rapporto intercorrente tra il portale e il singolo notaio. In particolare, il Consiglio ha rappresentato che i notai incaricati (di volta in volta scelti dai mutuatari o, in alcuni casi, dalle banche che si avvalgono della piattaforma) accedono alla piattaforma tramite apposite credenziali di autenticazione fornite direttamente dal gestore, che, al riguardo, sembrerebbe rendere ai notai “una informativa molto stringata”; inoltre, è stato evidenziato che i notai ricevono dal portale e a mezzo di posta elettronica diverse comunicazioni, “in taluni casi senza che neppure l’intervento del portale sia stato anticipato da comunicazioni direttamente provenienti dalla banca mutuante prescelta dal mutuatario” (quali ad es. la comunicazione con cui viene loro conferito l’incarico e il conseguente invito ad utilizzare il portale per lo scambio degli atti pre e post stipula con la banca). In particolare, alcune comunicazioni provenienti “da account della piattaforma”, sono finalizzate a fornire ai notai “una visione di riepilogo di tutte le singole posizioni aperte” e risultano corredate “da una tabella o da un foglio Excel nel quale sono riportati i diversi atti in istruttoria o rogati, facenti tutti riferimento al medesimo notaio, in relazione a diverse banche, con un codice di riferimento interno al portale, l’indicazione del nome della parte interessata (il mutuatario), della banca interessata, il tipo di adempimento ritenuto mancante e il tempo ritenuto congruo dal momento nel quale il disciplinare del portale ha richiesto la messa a disposizione del relativo documento o elemento”. A parere del Consiglio, quanto anzi riportato configurerebbe “un’ipotesi di autentica profilazione ex art. 22 del Regolamento” da parte di ESPN - gestore del portale - che, in tal modo, effettuerebbe un trattamento di dati personali riferiti ai notai, con particolare riguardo non solo ai dati identificativi ma anche a “quelli che sembrerebbero fare riferimento al rendimento professionale e in generale all’attività” dei notai medesimi.
2. L’attività istruttoria: le richieste di informazioni.
Al fine di acquisire elementi di valutazione, l’Ufficio ha avviato un’istruttoria, formulando richieste di informazioni ad alcuni tra i più importanti istituti bancari che aderiscono alla piattaforma e alla stessa ESpN, nell’ambito delle quali è stato chiesto di chiarire le modalità di funzionamento della citata piattaforma, il tipo di rapporto intercorrente tra le banche e ESpN, nonché gli adempimenti posti in essere ai fini del rispetto dei principi e delle disposizioni vigenti in materia di protezione dei dati personali.
Dagli elementi acquisiti dagli istituti di credito e dalla documentazione dagli stessi prodotta, è emerso che:
il portale PIGNA è un servizio attivato e messo a disposizione degli istituti di credito da ESpN, attraverso il quale le banche e i notai (incaricati per le diverse pratiche di stipula dei contratti di mutuo e delle relative garanzie), condividono i documenti necessari, sia nella fase precedente, sia in quella successiva alla stipula del contratto medesimo (con l’unica eccezione della copia del contratto in forma esecutiva);
a tal fine, gli istituti di credito che si avvalgono del servizio sottoscrivono un contratto di appalto per la fornitura di servizi, direttamente con ESpN, o con Centro Istruttorie S.p.a. (di seguito, CISPA);
nell’ambito di questi contratti di outsourcing, peraltro corredati da appositi data protection agreement, le banche operano in qualità di titolari del trattamento; per la designazione di ESpN, quale responsabile ai sensi dell’art. 28, non tutti gli istituti di credito interpellati adottano la medesima soluzione. In particolare, alcune banche designano direttamente ESpN quale responsabile del trattamento, mentre altre designano responsabile il CISPA che, a sua volta, come previsto nel contratto per la fornitura di servizi con il titolare, può affidare determinate attività in sub-appalto ad un altro soggetto, tra cui ESpN, che assume quindi espressamente il ruolo di sub-responsabile;
l’utilizzo del portale da parte del notaio, non obbligatorio, prevede che la banca comunichi i riferimenti del notaio rogante, incaricato della stipula, a ESpN, che provvede a rendergli disponibili le credenziali di autenticazione, previa verifica dell’identità e comunicazione delle condizioni di utilizzo del portale. Attraverso il portale, la banca rende disponibili al notaio i propri atti e il notaio trasmette alla banca la relazione notarile preliminare e gli altri documenti di stipula e post-stipula. Qualora il notaio non provveda a trasmettere nei termini la documentazione completa, la banca - a mezzo del portale - gli invierà una comunicazione di sollecito. Conclusa la procedura, ESPN e la banca procedono alla c.d. “chiusura della posizione”.
Sulla base degli elementi ricevuti da ESPN è emerso che:
“i servizi del portale sono offerti esclusivamente nei confronti delle banche e/o per conto delle banche”, le quali propongono al notaio di utilizzare il portale, determinando le finalità del trattamento; “tutti i trattamenti effettuati da ESPN in relazione al portale [sono] già predeterminati dalle banche e da queste resi disponibili ai notai per lo svolgimento delle pratiche di mutuo;
“i trattamenti effettuati dai notai nell’ambito delle singole pratiche per ciascuna banca sono svolti nell’interesse e nella titolarità della stessa banca, trattandosi di un servizio svolto ed erogato dalla banca (per il tramite di ESpN)”: quando il notaio accede alla propria area riservata, all’interno del portale, potrà usufruire dei servizi del portale medesimo “nei soli limiti della documentazione messa a disposizione da e per le singole banche” e non è possibile per il notaio “richiedere a ESpN delle personalizzazioni o delle funzionalità diverse del Portale”;
ESpN, dopo avere ricevuto dalla banca (oppure tramite il CISPA) l’incarico di abilitare il notaio rogante all’utilizzo del portale, provvede alla creazione di un account per il notaio medesimo. In tale fase, laddove il notaio non disponga già di credenziali di accesso, “ESPN, per conto della banca”, previa ricerca dell’indirizzo e-mail del notaio in questione sull’albo professionale del Notariato, invia allo stesso, alla casella di posta elettronica ufficiale, le credenziali per il primo accesso;
in tale fase, caratterizzata dall’attività di gestione delle credenziali di autenticazione per la creazione dell’account assegnato al notaio “(username e password, dove lo username è l’indirizzo e-mail ufficiale pubblico assegnato dal notariato)”, ESpN agisce come titolare del trattamento “per la sola creazione e mantenimento dell’account e il collegamento dello stesso agli spazi di uso esclusivo delle singole banche. […] Si tratta di titolarità delle sole credenziali e dei log di accesso del notaio, senza estensione alcuna ai documenti e quindi ai dati scambiati fra il notaio e le singole banche”. In tale veste, ESpN fornisce ai notai l’informativa ex art. 13 del Regolamento, tramite pubblicazione sul portale. I dati raccolti da ESpN, in qualità di titolare (relativi alle credenziali e ai log di accesso), sono conservati “fino all’ultimo giorno dell’anno successivo all’ultima data tra: data di creazione dell’utenza; data dell’ultimo accesso al portale effettuato dal notaio; data dell’ultimo aggiornamento delle credenziali del notaio”;
i “report” che periodicamente il portale invia ai notai allo scopo di fornire loro un riepilogo delle posizioni aperte rispetto a tutte le banche, hanno una funzione di promemoria, ad uso esclusivo dei notai e non sono in alcun modo visionabili da parte delle banche (che invece hanno accesso alle pratiche di loro competenza in carico a ciascun notaio) e i dati in essi contenuti vengono definitivamente cancellati non appena il notaio completa il caricamento dei documenti mancanti. Tale trattamento sarebbe effettuato dal portale, in qualità di responsabile/sub-responsabile, per conto di ciascuna banca ed avrebbe ad oggetto i dati personali relativi alle pratiche di finanziamento la cui titolarità appartiene, per ciascuna pratica, alla singola banca che ha conferito l’incarico al notaio; ne consegue che la relativa informativa deve essere rilasciata ai soggetti interessati (i mutuatari) da parte della banca.
3. L’attività istruttoria: l’avvio del procedimento.
L’Ufficio, sulla base delle dichiarazioni rese dalle parti e degli elementi acquisiti nel corso dell’istruttoria, con nota del 16 giugno 2022, ha notificato a ESPN l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione delle disposizioni di cui agli artt.5, par. 1, lett. a), e 6, par. 1, lett. a) e b), 13 e 14, par. 3, lett. b), del Regolamento.
In particolare è stato rilevato che:
a) nell’informativa che ESPN fornisce ai notai al momento in cui gli stessi procedono alla registrazione sul portale (informativa che è pubblicata sul portale medesimo), la base giuridica del trattamento è stata individuata nell’art. 6, par. 1, lett. f), del Regolamento (legittimo interesse). Sul punto è stata rilevata la necessità di distinguere il trattamento che ESpN pone in essere per la registrazione di ciascun notaio (e la creazione del relativo account) e la relativa procedura di autenticazione informatica, rispetto al trattamento successivo concernente la generazione e conservazione dei log di accesso al portale. Infatti, mentre rispetto a quest’ultimo trattamento il legittimo interesse del titolare (art. 6, par. 1, lett. f), del Regolamento) può costituire una base giuridica idonea in quanto funzionale a garantire la sicurezza delle reti e dei sistemi informativi della Società (cfr. considerando 49 del Regolamento, e Parere del 9 aprile 2014, WP 217 del Gruppo di lavoro Art. 29), altrettanto non può ritenersi per il trattamento di dati personali connesso alla fase di registrazione al portale e alla generazione delle credenziali di autenticazione del notaio; tali trattamenti risultano infatti necessari ai fini della fornitura di un servizio, da parte di ESpN, al notaio con la conseguenza che il trattamento dei dati personali che ne consegue risulta lecito in relazione all’art. 6, par. 1, lett. b), del Regolamento;
b) con riferimento al report che ESPN mette a disposizione dei notai al fine di fornire a ciascuno di essi un riepilogo delle posizioni aperte rispetto a tutte le banche e che hanno “funzione di mero reminder ad uso esclusivo del notaio”, è emerso che si tratta di una attività di elaborazione effettuata da ESPN in totale autonomia - decisionale e gestionale – rispetto alle banche (che non hanno espressamente richiesto questo trattamento); pertanto, in relazione al trattamento in questione, la Società - anziché agire in qualità di responsabile/sub-responsabile di ciascuna banca - opera in qualità di autonomo titolare del trattamento. Ne consegue che il trattamento posto in essere nei termini sopra indicati risulta effettuato senza una idonea base giuridica e senza che lo stesso sia stato adeguatamente evidenziato agli interessati all’interno dell’informativa;
c) l’informativa che ESPN, in qualità di titolare del trattamento, fornisce ai notai ai fini della creazione e gestione delle credenziali di autenticazione e dei log di accesso al portale risulta essere fornita successivamente all’inizio del trattamento ed è quindi tardiva; la stessa infatti viene resa disponibile agli interessati sul portale, in quella parte riservata alla quale ciascun notaio può accedere, solo successivamente all’invio, da parte di ESPN, della e-mail contenente le istruzioni e le credenziali per il primo accesso; ciò in violazione dell’art. 14, par. 3, lett. b) e del considerando 61 del Regolamento.
Con comunicazione del 15/7/2022, ESPN ha fatto pervenire i propri scritti difensivi con i quali, nel formulare richiesta di audizione, ha chiesto l’archiviazione del procedimento ovvero in subordine l’emissione di un provvedimento di ammonimento (con relativa riservatezza delle informazioni confidenziali contenute nella memoria, in quanto le stesse hanno “natura di segreto aziendale e/o commerciale diffuse esclusivamente all’interno di ESPN e delle società appartenenti al Gruppo MutuiOnline ”) sulla base delle considerazioni sotto riportate. In particolare:
in relazione al primo rilievo formulato dall’Autorità, nel contestare l’identificazione della Società quale gestore di identità digitale, ha precisato che “nel funzionamento del portale è del tutto assente l’elemento dell’identificazione informatica del notaio”; la Società infatti, “al pari di ogni altra piattaforma digitale, si limita alla creazione e gestione delle credenziali di autenticazione (uso dell’e-mail del notaio e generazione di password provvisoria) per consentire l’accesso e la registrazione al portale, con la conseguente autenticazione delle credenziali individuali”. D’altra parte, ESPN ritiene di non condividere la posizione dell’Autorità che individua nel rapporto contrattuale tra le parti la base giuridica del trattamento; ciò in quanto “nell’ambito del funzionamento del portale, non solo è assente un servizio di identificazione informatica ma sono assenti anche i presupposti per l’eventuale erogazione del servizio, non effettuando ESPN una raccolta dei dati personali e dei documenti del notaio per la sua identificazione. Manca completamente l’elemento oggettivo per la qualificazione contrattuale del rapporto tra ESPN e notaio”. Al contempo ESPN ribadisce che la base giuridica del trattamento in questione deve essere individuata nel legittimo interesse in quanto lo stesso “è funzionale a garantire la sicurezza delle reti e dei sistemi informativi” – assicurando “la protezione degli accessi individuali al portale e rendendo sicura la navigazione attraverso una misura di sicurezza” – e “tale base giuridica […] risulta essere anche una condizione di liceità più compatibile con i rapporti tra ESPN e i notai (che vengono ingaggiati direttamente su incarico della Banca e, in alcuni casi, senza una preventiva interlocuzione con gli stessi notai), contemperando in tal modo gli interessi giuridici dei notai nel più ampio disegno del bilanciamento effettuato. Ciò anche in ragione del fatto che […] l’interessato può proporre una eventuale opposizione ai sensi dell’art. 21 del GDPR in qualsiasi momento e qualora ritenga sussistere una particolare motivazione connessa alla sua situazione”;
relativamente all’assenza di base giuridica e di trasparenza per i trattamenti relativi alla reportistica, la Società ha affermato che il “servizio erogato da ESPN nei confronti delle banche determina un vincolo di natura contrattuale con obbligazione di risultato a carico di ESPN [...]. Di conseguenza, tutte le attività svolte, in via principale e/o accessoria, da ESPN sono eseguite per garantire l’obbligazione di risultato e quindi l’erogazione del servizio principale […]. Il report, di fatto, rappresenta un mezzo o una modalità per garantire il raggiungimento dell’obbligazione principale che lega ESPN a Centro Istruttorie e alle Banche. Per questo tale attività non deve essere scorporata dall’unicum del rapporto contrattuale ma, contrariamente, deve essere considerata come uno degli strumenti con cui ESPN eroga il suo servizio. I trattamenti che ne derivano ricadono nell’ambito dei trattamenti coperti dalla lettera di nomina a responsabile o sub-responsabile del trattamento che ESPN sottoscrive nei confronti rispettivamente delle banche o di Centro Istruttorie;
in ordine all’ultimo profilo di illiceità, la Società ha comunicato di avere provveduto nel senso indicato dall’Autorità, prevedendo che l’informativa sia resa ai notai al momento della prima comunicazione “ovvero in allegato alla e-mail di istruzioni per l’accesso al portale, che rappresenta il primo momento di contatto con i notai”.
In sede di audizione, tenutasi il 27/10/2022, la Società, nel ribadire quanto già rappresentato nella memoria sopra riportata, ha puntualizzato che “il contesto in cui la Società opera è caratterizzato da un’ampia complessità, anche di tipo normativo-regolamentare, che richiede anche un continuo monitoraggio e miglioramento della sicurezza dei trattamenti effettuati nell’ambito della piattaforma Pigna”, precisando altresì che:
“l’individuazione del legittimo interesse quale base giuridica del trattamento è stata effettuata dalla Società anche in ragione della finalità di sicurezza informatica (essendo le credenziali di autenticazione una misura di sicurezza) e in ragione del fatto che tale scelta si pone a maggior tutela dell’interessato che può, se del caso, esercitare il diritto di opposizione […]”;
“in relazione all’invio ai notai di report sullo stato di lavorazione delle pratiche agli stessi affidati, anche se gli istituti bancari non hanno mai richiesto esplicitamente alla Società di inviare tali report, l’attività costituisce uno strumento mediante il quale la Società ritiene di poter adempiere all’obbligazione contrattuale con gli istituti medesimi”.
4. Le valutazioni dell’Autorità e l’esito dell’istruttoria.
All’esito dell’esame delle dichiarazioni rese dalla Società nel corso del procedimento (della cui veridicità l’autore risponde ai sensi e per gli effetti di cui all’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”) nonché della documentazione acquisita agli atti, si rappresenta quanto segue.
4.1. Con riferimento alla base giuridica dei trattamenti di dati personali connessi alla registrazione al portale PIGNA da parte del notaio e alla generazione e gestione delle credenziali di autenticazione informatica utilizzate per verificarne l’identità all’atto dei successivi accessi al portale, l’Autorità osserva, in primo luogo, che la Società, pur non svolgendo direttamente l’identificazione del notaio (mediante la richiesta di esibizione e la verifica di un suo documento d’identità), si avvale dell’identificazione effettuata da un terzo, ossia il Consiglio Nazionale del Notariato; ciò in quanto la registrazione al portale avviene mediante l’utilizzo dell’indirizzo di posta elettronica, attribuito al notaio dal Consiglio e pubblicato nel relativo albo, che viene raccolto da ESpN presso la banca o direttamente presso il Consiglio.
Diversamente, se ESpN non avesse elementi sufficienti a garantire l’identità del soggetto che effettua la registrazione, la stessa dovrebbe effettuare in proprio verifiche sull’identità di quest’ultimo per evitare di attribuire credenziali di autenticazione a soggetti non autorizzati ad accedere al portale PIGNA, con la conseguente violazione del principio di integrità e riservatezza e degli obblighi di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento).
In secondo luogo, si rappresenta che il trattamento di dati personali in questione risulta necessario per consentire al notaio di fruire di un servizio di autenticazione informatica funzionale all’accesso - tramite apposite credenziali di autenticazione - al portale Pigna per lo scambio documentale con le banche; ne consegue che tra ESPN e il notaio si instaura un rapporto di natura contrattuale e il relativo trattamento dei dati personali trova, quindi, la sua condizione di liceità nell’art. 6, par. 1, lett. b) del Regolamento.
Si rileva, peraltro, che il diritto di opposizione – richiamato dalla Società nei suoi scritti difensivi (e ancora nel corso dell’audizione) a supporto della scelta di individuare nel legittimo interesse la base giuridica del trattamento delle credenziali di autenticazione dei notai – non risulta in concreto applicabile al trattamento in questione, in quanto l’esercizio di tale diritto determinerebbe l’impossibilità di verificare l’identità del notaio all’atto dell’accesso al portale e, quindi, di consentire allo stesso notaio incaricato di utilizzarlo per la gestione della documentazione relativa alle pratiche di mutuo ipotecario affidategli dalle banche.
Alla luce di quanto esposto, i trattamenti di dati personali connessi alla registrazione al portale da parte del notaio e alla generazione e gestione delle credenziali di autenticazione informatica risultano effettuati dalla Società in violazione del principio generale di cui all’art. 5, par. 1, lett. a) (“liceità e correttezza”) e del presupposto di liceità previsto dall’art. 6, par. 1, lett. b) del Regolamento.
4.2. Con riferimento, invece, ai trattamenti effettuati dalla Società attraverso l’invio di report ai notai, è emerso che gli stessi vengono effettuati dalla Società medesima in piena autonomia e al di fuori delle istruzioni ricevute ai sensi dell’art. 28 del Regolamento dalle banche che, quali titolari, “non hanno mai richiesto esplicitamente alla Società di inviare tali report”.
Al riguardo si evidenzia che il trattamento dei dati personali deve essere effettuato nel rispetto dei principi generali enunciati dall’art. 5 del Regolamento; in particolare, il par. 1 del citato articolo del Regolamento stabilisce che i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a), del Regolamento).
L’art. 6, par. 1, del Regolamento prevede, altresì, che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorra almeno una delle condizioni di liceità ivi indicate, tra cui, in particolare, il consenso espresso dall’interessato al trattamento dei propri dati per una o più specifiche finalità (art. 6, par, 1, lett. a), e cons. 40, 42, 43 e 44).
Con particolare riferimento al principio della trasparenza di cui al sopracitato art. 5, par. 1, lett. a), del Regolamento, questo si traduce nell’obbligo, da parte del titolare, di fornire all’interessato tutte le informazioni inerenti al trattamento dei dati personali che lo riguardano, in modo facilmente comprensibile, rendendolo edotto, nel momento i cui i dati personali sono ottenuti, anche delle finalità e delle modalità del trattamento e della base giuridica dello stesso, nonché di tutte le ulteriori informazioni necessarie per garantire che il trattamento sia corretto e trasparente nel rispetto di quanto previsto dagli artt. 13 e 14 del Regolamento.
L’art. 28, par. 3, del Regolamento, nel disporre che i trattamenti da parte del responsabile devono essere disciplinati da un contratto che individui in maniera specifica “la durata, la natura e le finalità del trattamento, il tipo di dati e le categorie di interessati, gli obblighi e i diritti del titolare”, prevede espressamente che i dati personali siano trattati “sulla base di istruzioni documentate del titolare” (art. 28, par. 3, lett. a), del Regolamento). Le stesse “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento” adottate dall’EDPB il 7 luglio 2021 prevedono che i “titolari del trattamento impartiscano ai responsabili istruzioni relative a ciascuna attività di trattamento. […] Il responsabile si limita a quanto disposto dal titolare del trattamento” (par. 1.3.1). Deve pertanto escludersi che al responsabile possa essere riconosciuto un margine di autonomia così ampio da consentirgli un’attività di elaborazione dei dati raccolti per un fine diverso e ulteriore rispetto a quello contrattualmente previsto (ovvero l’attività di sollecito relativa a una singola pratica). Resta fermo tuttavia che il responsabile medesimo, nello svolgimento dei propri compiti, possa agire con “autonomia di mezzi e di organizzazione”, purché nel rispetto delle istruzioni ricevute (cfr. al riguardo le anzi citate Linee guida laddove è stabilito che “le istruzioni del titolare del trattamento possono lasciare un certo margine di discrezionalità […]; ciò consente al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più idonei”, par. 4).
Si rileva, peraltro, che in base a quanto disposto dal par. 10 del medesimo art. 28 del Regolamento, laddove un responsabile determini finalità e mezzi del trattamento, lo stesso deve essere “considerato un titolare del trattamento in questione”.
Alla luce di quanto esposto, i trattamenti concernenti la produzione e l’invio di reportistica risultano effettuati dalla Società in assenza del consenso degli interessati e di una idonea informativa al riguardo, con conseguente violazione dei principi di cui agli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 13 e 14 del Regolamento.
4.3. Con riferimento alla rilevata intempestività dell’informativa resa agli interessati all’atto dell’accesso al portale, l’Autorità prende atto di quanto dichiarato dalla Società in ordine all’avvenuta regolarizzazione del momento di consegna dell’informativa stessa al momento della prima comunicazione “ovvero in allegato alla e-mail di istruzioni per l’accesso al portale, che rappresenta il primo momento di contatto con i notai”.
5. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.
Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.
I trattamenti posti in essere da ESpN risultano illeciti nei termini sopra esposti, in relazione agli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e b), 13 e 14 del Regolamento.
La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) e b), del Regolamento.
Inoltre, tenuto conto delle considerazioni sopra riportate, si ritiene necessario, ove ESPN intenda proseguire il trattamento dei dati riferiti a notai ai fini dell’invio agli stessi dei sopramenzionati report, ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di effettuare il trattamento in questione in qualità di titolare, con conseguente osservanza di tutti gli obblighi che la normativa in materia di protezione dei dati personali pone in capo ai titolari medesimi.
6. Ordinanza di ingiunzione.
La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) e b), del Regolamento.
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:
a) è stata considerata rilevante la natura delle violazioni, in quanto le stesse hanno riguardato i principi generali di liceità nel trattamento dei dati personali;
b) la Società, nel corso del procedimento, ha collaborato con l’Autorità, fornendo adeguati chiarimenti in ordine alle scelte effettuate;
c) la Società ha provveduto, nel corso dell’istruttoria, a regolarizzare il profilo relativo all’informativa da rendere agli interessati ai sensi dell’art. 14, par. 3, lett. b), del Regolamento;
d) non risultano precedenti violazioni o provvedimenti dell’Autorità ai sensi dell’art. 58 del Regolamento a carico della Società.
In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti riferiti al bilancio d’esercizio per l’anno 2022.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000 (cinquemila,00) per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 13 e 14 del Regolamento.
Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.
In tale quadro, anche in considerazione della tipologia di violazione accertata, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba disporre la sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione (v. art. 38 del regolamento interno n. 1 del 2019).
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
a) dichiara, ai sensi degli artt. 57, par. 1, e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e b), 13 e 14 del Regolamento;
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiunge alla summenzionata Società di conformare, entro sei mesi dalla data di notifica del presente provvedimento, i trattamenti di dati personali connessi all’invio della reportistica ai principi indicati al par. 4.2.
ORDINA
a Euro Servizi per i Notai S.r.l., con sede legale in Milano, via F. Casati, n. 1/A, P.I. 06417850960, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 5.000 (cinquemila,00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
alla medesima Euro Servizi per i Notai S.r.l. di pagare la somma di euro 5.000 (cinquemila,00) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
Si rappresenta che ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento e degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 gennaio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
