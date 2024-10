Sanzionato l’Ordine professionale che tramite email invia ad un appartenente la comunicazione di una segnalazione nei suoi confronti mettendo in cc anche il denunciante. Per l’approfondimento consigliamo anche il corso di formazione “AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”

1. I fatti: segnalazione all’ordine degli architetti

Una persona inviava un reclamo al Garante per la protezione dei dati personali lamentando un illecito trattamento dei suoi dati personali da parte di un consiglio dell’ordine degli architetti.

In particolare, il reclamante sosteneva di aver inviato una segnalazione a detto Ordine con cui comunicava che una professionista iscritta aveva utilizzato impropriamente il titolo di “architetto” (in quanto sarebbe stata, in realtà, iscritta come “pianificatrice”). A seguito della predetta segnalazione, l’Ordine l’aveva trasmessa tramite email al Consiglio di disciplina per le opportune valutazioni, mettendo in copia conoscenza nella email sia il denunciante che la segnalata. In tal modo, quindi, la segnalata aveva potuto apprendere i dati personali del denunciante: precisamente, nome, cognome, indirizzo email e indirizzo PEC.

L’ordine, invitato dal Garante a fornire le proprie difese in merito a quanto oggetto di reclamo, rappresentava che il suo operato era stato connotato da assoluta buona fede e che il reclamante non aveva subito alcun pregiudizio. In secondo luogo, faceva presente che la segnalata avrebbe potuto comunque prendere visione dei dati personali del reclamante, in quanto i soggetti denunciati – anche prima dell’inizio del procedimento disciplinare – possono prendere visione del relativo fascicolo mediante un accesso agli atti in quanto soggetti interessati.

Infine, l’Ordine sosteneva che tramite l’inserimento in copia conoscenza dell’indirizzo email del denunciante, non era stata comunque resa nota l’identità di quest’ultimo, in quanto lo stesso no nera comunque identificato né era identificabile stante l’assenza della copia del suo documento di identità. Ciò a maggior ragione visto che gli indirizzi email (ordinaria e PEC) del reclamante usati dall’Ordine non consentivano un immediato collegamento con il reclamante e che al nominativo di quest’ultimo corrispondono diversi soggetti.



2. La valutazione del Garante

Preliminarmente, il Garante ha evidenziato che i soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito lo stesso.

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza e minimizzazione dei dati, in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Nel caso di specie, secondo il Garante, è stato accertato che l’ordine attraverso il predetto invio della email ha portato a conoscenza della professionista il nome, il cognome e gli indirizzi di posta elettronica ordinaria e certificata del segnalante.

Tutte dette informazioni sono dei dati personali del segnalante, in quanto si tratta di informazioni relative ad una persona fisica identificata o identificabile.

Secondo il Garante, la mancanza del documento di identità e la presenza di più persone con lo stesso nominativo, anche se non aveva permesso all’ordine di identificare il segnalante, non escludono che la professionista segnalata, invece, potesse essere in grado di risalire all’identità del segnalante tramite il nome e il cognome che erano contenuti in chiaro nella email. Quest’ultima, infatti, avrebbe potuto identificarlo in quanto lo conosceva direttamente oppure utilizzando gli indirizzi email visibili nella comunicazione dell’Ordine (per esempio avrebbe potuto utilizzare il registro INIPEC per risalire, dall’indirizzo PEC, alla persona fisica cui la stessa era associata).

Posto che le predette informazioni sono qualificabili come dati personali, l’Ordine non ha dimostrato la sussistenza di una idonea base giuridica, cioè una norma di legge o di regolamento o atto amministrativo generale, che legittimasse il trattamento compiuto (cioè la comunicazione dei medesimi alla segnalata).

Inoltre detta comunicazione non poteva ritenersi necessaria, in quanto l’ordine avrebbe ben potuto inviare due distinte comunicazioni (una al segnalante e una alla segnalata) per informarli degli sviluppi della segnalazione, senza portare a conoscenza della segnalata i dati personali del segnalante.

Per quanto riguarda, infine, il fatto che la segnalata avrebbe potuto comunque accedere ai dati del segnalante utilizzando lo strumento dell’accesso agli atti, secondo il Garante tale argomento non è sufficiente a far venire meno la illiceità della condotta dell’Ordine, in quanto dall’istruttoria non è emerso che la professionista avesse effettivamente presentato all’Ordine una richiesta di accesso ai documenti del fascicolo.

3. La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che la comunicazione alla segnalata dei dati del segnalante, posta in essere dall’Ordine degli architetti tramite l’invio di una email in copia conoscenza ad entrambi, ha comportato un trattamento non conforme ai principi di liceità, correttezza e trasparenza nonché in assenza di una base giuridica.

Conseguentemente, il Garante ha ritenuto di poter applicare al predetto Ordine una sanzione amministrativa pecuniaria.

Per quanto concerne la quantificazione della sanzione, il Garante, da un lato, ha ritenuto che la violazione commessa dal titolare del trattamento fosse di gravità media, in quanto la condotta ha esposto il reclamante ad un potenziale rischio di subire conseguenze pregiudizievoli nei rapporti con la professionista segnalata o altri soggetti, anche se ha riguardato un solo interessato ed è stata di natura colposa (essendo l’Ordine incorso in errore nell’inviare un’unica comunicazione ad entrambi i soggetti, anziché due distinte). Dall’altro lato, il Garante ha valutato che non risultano precedenti violazioni commesse a carico del titolare del trattamento e che questi ha prestato una buona collaborazione con il Garante, oltre al fatto che si tratta di un ente di piccole dimensioni e dotato di risorse organizzative estremamente limitate.

In conclusione, il Garante ha quindi quantificato la sanzione pecuniaria applicata al titolare del trattamento nell’importo di €. 1.500 (mille cinquecento).