E’ illecito l’invio di una comunicazione circa l’apertura di un procedimento disciplinare ad un indirizzo email diverso da quello personale dell’interessato.
1. Il fatto
Un magistrato presentava un reclamo al Garante per la protezione dei dati personali in cui affermava che l’associazione nazionale di categoria, cui lo stesso era iscritto, aveva compiuto un trattamento illecito dei suoi dati personali.
In particolare, il magistrato sosteneva che l’associazione avesse trasmesso una email PEC all’indirizzo di posta elettronica dell’ufficio protocollo della procura della repubblica dove il magistrato presta il proprio servizio, cui era allegata la comunicazione di apertura di un procedimento disciplinare nei suoi confronti. Tale comunicazione era avvenuta a tale indirizzo PEC dell’ufficio, nonostante l’associazione avesse a disposizione l’indirizzo email personale del magistrato. Ciò aveva comportato una divulgazione dei dati personali dell’interessato a soggetto terzi (appunto gli addetti all’Ufficio protocollo della Procura, il Procuratore medesimo e il personale di segreteria) che non erano legittimati a prendere notizia di detti dati.
Il Garante chiedeva alla associazione di fornire le proprie difese in merito a quanto esposto dal reclamante.
L’associazione sosteneva, quindi, che aveva proceduto all’invio della comunicazione in questione anche alla PEC dell’ufficio del protocollo in applicazione di una apposita disposizione del regolamento di procedura dell’attività disciplinare dell’associazione medesima, il quale prevedeva che viene dato avvisto di apertura del procedimento disciplinare nei confronti del magistrato interessato mediante comunicazione riservata presso l’Ufficio in cui egli presta servizio. Pertanto, l’associazione aveva provveduto ad inviare la PEC, allegandovi la comunicazione in questione ed avendo cura di indicare in maniera specifica che la stessa aveva natura riservata e personale per il reclamante.
Secondo l’associazione, in tal modo, si sarebbe dovuto garantire la riservatezza dei dati personali ivi contenuti.
In ogni caso, sempre secondo la reclamata, l’indirizzo personale dell’interessato noto all’associazione era quello istituzionale e il suo uso non avrebbe comunque garantito la riservatezza dei dati, in ragione della prassi dichiarata secondo cui molti magistrati mettono a disposizione dei propri collaboratori gli indirizzi email istituzionali personali (mentre l’associazione non conosceva l’indirizzo personale privato del reclamante).
Inoltre, la reclamata sosteneva che il personale di segreteria della procura della repubblica che avrebbe potuto prendere visione della comunicazione era tenuto a smistare il messaggio al destinatario senza prendere visione della comunicazione allegata e che comunque tale personale era tenuto al segreto ai sensi del codice dell’amministrazione digitale.
In ogni caso, la reclamata sosteneva che le condotte che erano state poste in essere dal magistrato e che avevano condotto all’apertura del procedimento disciplinare erano già note al pubblico, proprio a seguito di una pregressa intervista dello stesso reclamante.
Infine, l’associazione precisava che, successivamente all’evento in questione, aveva provveduto a modificare la propria prassi, inviando le comunicazioni di apertura dei procedimenti disciplinari a carico dei propri iscritti mediante uso delle email personali degli interessati.
Potrebbe interessarti anche:
2. Le valutazioni del Garante
Il Garante ha preliminarmente ricordato che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento è effettuato nel rispetto del Regolamento europeo per la protezione dei dati personali e che tali misure dovrebbero tener conto anche del rischio per i diritti e le libertà delle persone fisiche. Pertanto, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
In secondo luogo, il titolare, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di tutelare i diritti degli interessati.
In considerazione di ciò, il titolare del trattamento deve valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi e assicurare un adeguato livello di sicurezza dei dati trattati (inclusa la riservatezza), tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
Nel caso di specie, l’associazione ha notificato all’interessato una comunicazione di avvio del procedimento disciplinare nei suoi confronti, mediante l’indirizzo di PEC dell’Ufficio protocollo della procura della repubblica dove il magistrato lavorava, invece di usare l’indirizzo email personale riconducibile all’interessato, di cui l’associazione era a conoscenza.
Nonostante l’associazione abbia utilizzato tale modalità di comunicazione in adempimento a quanto previsto dal proprio regolamento e lo abbia fatto per avere certezza circa l’avvenuta consegna e ricezione della comunicazione da parte del destinatario, tale condotta configura comunque una violazione della normati privacy sopra richiamata.
Infatti, la decisione di trasmette la comunicazione ad un indirizzo di posta elettronica diverso da quello indicato a suo tempo dal reclamante, ha determinato la conoscenza a terzi di informazioni che erano riferite all’interessato e che avrebbero dovuto rimanere confidenziali.
Il titolare del trattamento avrebbe potuto agevolmente evitare tale indebita conoscenza da parte di terzi dei dati personali dell’interessato: per esempio, inviando la comunicazione di cui è causa soltanto all’indirizzo di posta elettronica personale (anche se istituzionale) che il reclamante aveva comunicato all’associazione e di cui questa era quindi a conoscenza.
Il fatto, poi, che l’uso di questo indirizzo email non avrebbe garantito comunque la riservatezza della comunicazione (perché avrebbe potuto essere in uso anche ad altri soggetti), non è rilevante, in quanto il titolare del trattamento non è tenuto a conoscere o a valutare le modalità con cui l’interessato usava il proprio indirizzo email.
Mentre, l’esigenza di certezza della ricezione e conoscenza della comunicazione da parte dell’interessato, sarebbe stata raggiungibile mediante l’uso di altri strumenti, quali per esempio la raccomandata a/r. In ogni caso, l’associazione avrebbe potuto contattare l’interessato per assicurarsi che quest’ultimo aveva ricevuto la comunicazione.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla associazione sostanzi una violazione della normativa in materia di protezione dei dati personali, ma ha deciso di non adottare delle ingiunzioni nei confronti di questa in considerazione del fatto che la stessa aveva già dichiarato di aver modificato la propria prassi circa le modalità di invio agli interessati delle comunicazioni di avvio del procedimento sanzionatorio.
Tuttavia, il Garante ha ritenuto di comminare una sanzione amministrativa pecuniaria a carico del titolare. Per quanto concerne la sua quantificazione, il Garante, da un lato, ha valutato la natura e la gravità della violazione, il livello di danno subito dall’interessato (viste le ripercussioni, anche solo in termini di immagine, derivate dalla conoscenza non autorizzata di informazioni così strettamente confidenziali) nonché il grado di responsabilità del titolare, che era comunque in possesso di altro idoneo indirizzo e-mail riconducibile all’interessato. Dall’altro lato, il Garante ha valutato il carattere colposo della violazione, l’assenza di precedenti specifici a carico del titolare del trattamento, il carattere episodico della violazione, il numero esiguo dei soggetti coinvolti e la successiva adozione spontanea di comportamenti rispettosi della disciplina vigente.
In considerazione di tali elementi, quindi, il Garante ha quantificato la sanzione amministrativa pecuniaria in €. 5.000 (cinquemila).
>>>Per approfondire<<<
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento