g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 23 maggio 2024 [10030785]

Provvedimento del 23 maggio 2024 [10030785]

Stampa Stampa Stampa PDF Trasforma contenuto in PDF

[doc. web n. 10030785]

Provvedimento del 23 maggio 2024

Registro dei provvedimenti
n. 301 del 23 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. XX ha rappresentato di aver inviato all’Ordine degli Architetti, Pianificatori, Paesaggisti e Conservatori della Provincia di Matera (di seguito, l’ “Ordine”) - via e-mail in data XX e via PEC in data XX - una segnalazione in merito all’utilizzo improprio del titolo di architetto da parte di una professionista iscritta all’albo come pianificatrice, chiedendo chiarimenti all’Ordine in merito a tale circostanza.

Il reclamante ha lamentato, in particolare, che l’Ordine “provvedeva a comunicar[gli] l’avvenuta ricezione della segnalazione, con contestuale trasmissione al Consiglio di Disciplina dell’Ordine […]”, mettendo, tuttavia, “in copia conoscenza anche la segnalata, alla quale si permetteva di conoscere, così, chi fosse il denunciante, senza alcuna cautela […]”, rendendo, altresì, noti alla stessa propri dati personali quali “recapiti mail e PEC”, oltre al nome e al cognome.

Inoltre, “nella verbalizzazione della riunione del Consiglio dell'Ordine […], avvenuta in data XX e che ha visto la trattazione della segnalazione trasmessa [dal reclamante], il nome [dello stesso] veniva inserito per intero (senza omissis o abbreviazioni/puntature) rendendo lo stesso nome pubblico (il verbale, per trasparenza, viene pubblicato online) omettendo così di tutelare la privacy del denunciante e rendendolo passibile di eventuali ritorsioni”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), l’Ordine, con nota prot. n. XX dell'XX, ha dichiarato, in particolare, che:

“in data XXll’Ordine […] perveniva un messaggio di posta elettronica proveniente dall’indirizzo XX sottoscritta da tale 'XX’ avente ad oggetto ‘Uso improprio del titolo ‘Architetto’; alla mail non era allegato alcun documento d’identità”;

“in data XX ll’Ordine […] perveniva un messaggio di posta elettronica certificata proveniente dall’indirizzo XX, anche questa sottoscritta da tale ‘XX’, con lo stesso oggetto della precedente, come quella, senza alcun documento d’identità allegato”;

“in data XX in apertura di seduta del Consiglio dell’Ordine, il Presidente comunicava la ricezione della ‘nota con richiesta di chiarimenti pervenuta dal XX, in merito alla segnalazione dell’uso improprio del titolo di Architetto’, demandando il caso al Consiglio di Disciplina; di tale decisione nei giorni seguenti veniva data comunicazione ad ambedue gli indirizzi mail da cui erano pervenute le segnalazioni e, per conoscenza, alla persona che avrebbe impropriamente utilizzato il titolo ‘Architetto’”;

“si ritiene di NON aver reso nota l’identità del segnalante in quanto lo stesso non è stato identificato né era identificabile, non avendo allegato alcun documento d’identità ai messaggi inviati; delle 2 mail da cui sono partiti i messaggi, quella ordinaria, su dominio gmail.com, (XX) è attivabile senza fornire alcun documento d’identità al provider; quanto alla PEC (XX), riferibile a persona giuridica, nel tentativo di identificare il reclamante si è consultato il sito inipec.it per ottenere informazioni, ma la ricerca tramite indirizzo ‘XX’ […] ha permesso di ottenere il solo codice fiscale della Società ‘XX srl a capitale ridotto e, tramite la denominazione della società, si è reperita la sola sede sociale della stessa; la ricerca del sito web XX ho prodotto come unico risultato la homepage del sito ‘XX’ […], dove quindi ‘XX' è una cartella del sito XX, che non contiene alcuna informazione più specifica che potesse far risalire al reclamante: si tenga poi presente che il cognome ‘[cognome del reclamante]’ è molto diffuso a Matera e nella sua Provincia, tanto che presso l’Ufficio Anagrafe del solo Comune di Matera all’epoca dei fatti erano registrati 13 nominativi ‘[nome e cognome del reclamante]’ e, come riportato nel Verbale del XX[…], lo stesso reclamante veniva erroneamente definito ‘consigliere comunale’: esiste infatti anche un consigliere comunale, assolutamente estraneo alla vicenda, con questo nome; si fa presente, inoltre, che tra i dati in questione (indirizzi di posta elettronica) non vi sono comunque dati particolari”;

“la decisione di pubblicare i Verbali di Consiglio è stata deliberata nella seduta del Consiglio dell’Ordine del XX al punto 12 […], in ossequio al principio di trasparenza dell’Ordine, quindi in esecuzione di un compito di interesse pubblico, anche se, come ci ha fatto osservare il nostro Responsabile della Protezione Dati, tali operazioni di trattamento (comunicazione e diffusione) vanno preventivamente vagliate alla luce della compatibilità con la normativa in materia di Protezione dei Dati Personali; nel caso di specie, tuttavia, [si ritiene] che la pubblicazione non abbia reso nota l’identità del segnalante”;

quanto alla figura del Responsabile della protezione dei dati personali (RPD), “la designazione è avvenuta nella seduta del Consiglio dell’Ordine in data XX […]; la pubblicazione dei dati di contatto sul sito web e la comunicazione all’Autorità sono avvenute in data XX;

“senza negare la circostanza del tardivo adempimento, [l’Ordine fa presente di essere un] piccolo ordine professionale, in cui tutti oper[ano] pro bono, con un solo addetto amministrativo […;] [in tale contesto, l’Ordine sta, tra le altre cose,] revisionando la disciplina delle pubblicazioni, limitandone la durata in funzione della tipologia di pubblicazione e della presenza di eventuali dati personali contenuti”.

In riscontro a un’ulteriore richiesta d’informazioni dell’Autorità (v. nota prot. n. XX ell’XX, l’Ordine, con nota prot. n. XX del XX ha dichiarato, in particolare, che “il verbale del Consiglio dell’Ordine del XX è stato oggetto di pubblicazione sul sito web dell’Ordine […] fino al XX, allorché si è provveduto a rimuovere l’intera sezione ‘Verbali del Consiglio’; la rimozione è stata consigliata dal nuovo RPD, che sta predisponendo un’idonea regolamentazione, che, pur nel rispetto degli obblighi di pubblicità e trasparenza previsti dalla normativa, tenga però conto delle contestuali tutele degli interessati previste dalla normativa in materia di protezione dei dati personali”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avendo l’Ordine:

- comunicato i dati personali del segnalante e odierno reclamante alla professionista segnalata in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice;

- trasmesso i dati personali della professionista segnalata e di un soggetto terzo del tutto estraneo alla segnalazione (ovvero un consigliere comunale del Comune di Matera, omonimo del segnalante e odierno reclamante), in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione dell’art. 5, par. 1, lett. a), e 6 del Regolamento, nonché dell’art. 2-ter del Codice;

- attribuito la segnalazione al predetto soggetto terzo estraneo alla stessa, in maniera non conforme al principio di “esattezza”, in violazione dell’art. 5, par. 1, lett. d), del Regolamento.

Nel corso dell’istruttoria è, inoltre, emerso che, sebbene l’Ordine abbia tempestivamente designato il proprio responsabile della protezione dei dati (RPD) in data XX, ovvero prima della data di efficacia del Regolamento (25 maggio 2018), la pubblicazione dei dati di contatto dello stesso sul sito web istituzionale dell’Ente e la comunicazione di tali dati all’Autorità sono avvenute soltanto in data XX. Pertanto, l’Ufficio ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, anche in relazione alla violazione dell’art. 37, par. 7, del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, inviata per conto dell’Ordine dal proprio avvocato, il titolare del trattamento ha presentato una memoria difensiva, dichiarando, in particolare, che:

l’Ordine “nel rappresentare l’assoluta buona fede che ha connotato il proprio operato nella vicenda in esame, rileva che non si è verificato alcun pregiudizio per il segnalante, né men che meno alcun pericolo per eventuali ritorsioni”;

“d’altro canto, il professionista segnalato avrebbe avuto comunque diritto ad accedere a tutti i dati della segnalazione: si consideri che le notizie acquisite dall’Amministrazione o da un soggetto pubblico a seguito di un esposto altro non sono che una mera informazione, scevra di caratteri probanti e indizianti, volta a stimolare un’attività di verifica, ed eventuale applicazione di sanzione, dei fatti contestati”;

“la denuncia costituisce il rapporto che coinvolge non solo l’autore e l’Amministrazione competente, ma anche colui che è attinto dai fatti segnalati”;

“i soggetti denunciati, prima ancora di essere parte dell’eventuale procedimento sanzionatorio, sono soggetti direttamente interessati ex art. 22 l. n. 241/1990 e sono portatori di un interesse concreto, diretto, attuale e rilevante giuridicamente volto alla conoscenza dell’esposto, del contenuto e dell’autore dello stesso”;

tale “principio è confermato dalla giurisprudenza amministrativa”;

"il pericolo rappresentato nella nota di avvio del procedimento, relativo alla possibilità che la condotta del deducente Ordine avrebbe consentito alla segnalata di avere informazioni relative al denunciante assume quindi rilievo secondario, avuto riguardo al fatto che la stessa, a seguito di apposita istanza, avrebbe comune avuto accesso alle informazioni relative alla segnalazione”;

pertanto, “l’operato dell’Ordine non ha determinato alcun pericolo o pregiudizio per il segnalante”;

“l’identità del segnalante non è stata resa nota, in quanto lo stesso non è stato identificato né era identificabile, non avendo allegato alcun documento d’identità ai messaggi inviati”;

“i due indirizzi di email non consentivano un immediato collegamento con il soggetto segnalante né la comunicazione conteneva dati particolari e sensibili”;

“d’altro canto, allo stesso nominativo corrispondono diversi soggetti: donde un ulteriore elemento che non permetteva di risalire al denunciante”;

“quanto alla definizione di “consigliere comunale”, si è trattato di un mero refuso ed errore assolutamente non connotato da profili di dolo o colpa”;

“si aggiunga l’elemento di buona fede che ha condotto l’operato dell’Ordine, ritenendo che la pubblicazione del Verbale […] rispondesse ad un interesse pubblico di trasparenza”;

“l’Ordine è un piccolo Ente, gestito con poche risorse di personale e finanziarie: ciò che ha inciso anche sulla gestione della vicenda in esame”;

ciò vale “anche con riferimento al ritardo nella pubblicazione del nominativo del Responsabile della protezione dei dati personali (RPD): l’Ordine ha un solo dipendente che si occupa delle questioni amministrative”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX della medesima data), l’Ordine ha dichiarato, in particolare, che:

“nel nostro ordinamento, fatti salvi i casi che ricadono nell’ambito del c.d. whistleblowing, non sono ammesse le segnalazioni anonime. Ciò anche a salvaguardia dei soggetti segnalati, che, ai fini dell’esercizio del proprio diritto di difesa, devono poter eccepire la sussistenza di eventuali posizioni di conflitto d’interesse da parte dei soggetti segnalanti o di altre circostanze soggettive comunque rilevanti ai fini della valutazione dei fatti segnalati”;

“i dati oggetto di comunicazione sarebbero stati comunque ostensibili in sede di accesso agli atti ai sensi della l. 241/1990”;

"non sono state comunque comunicate informazioni tali da poter consentire un’identificazione certa del soggetto segnalante, che, peraltro, non era un iscritto all’Ordine”.

3. Esito dell’attività istruttoria.

3.1 L’illecita comunicazione dei dati personali del reclamante alla professionista segnalata.

I soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso (v. art. 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento, nonché 2-ter del Codice).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” (art. 2-ter, comma 4, lett. a), del Codice) di dati personali, da parte di soggetti pubblici, è ammessa solo al ricorrere delle condizioni previste dall’art. 2-ter del Codice.

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ciò premesso, all’esito dell’istruttoria preliminare relativa al reclamo, è emerso che:

in data XX, l’Ordine ha ricevuto un messaggio di posta elettronica, privo di copia di un valido documento di riconoscimento, proveniente dall’indirizzo “XX”, sottoscritto da “XX”, avente ad oggetto “Uso improprio del titolo ‘Architetto’”;

in data XX, l’Ordine riceveva un messaggio di posta elettronica certificata, privo di copia di un valido documento di riconoscimento, proveniente dall’indirizzo “XX”, sottoscritto da “XX”, con lo stesso oggetto del precedente messaggio;

con verbale n. XX del XX, relativo alla seduta del Consiglio dell’Ordine della medesima data, il Presidente dell’Ordine “porta[va] a conoscenza dell’intero Consiglio la nota con richiesta di chiarimenti pervenuta dal XX, in merito alla segnalazione dell’uso improprio del titolo di “Architetto” da parte della iscritta Pian. XX” e il Consiglio, “preso atto della segnalazione pervenuta a mezzo e-mail in data XX, acquisita al prot. XX in pari data, […] all’unanimità decide[va] di demandare il caso al Consiglio di Disciplina, dando mandato alla Segreteria di comunicare questa decisione al segnalante e, per conoscenza, alla iscritta Pian. XX”;

con nota del XX (prot. n. XX), invita al “Sig. XX” agli indirizzi “XX” e “XX”, nonché in copia per conoscenza “alla iscritta Pian. XX”, all’indirizzo “XX”, con oggetto “Riscontro a Sua comunicazione su “Uso improprio del titolo “Architetto””, l’Ordine comunicava, “con riferimento alla […] comunicazione del XX, ns. prot. n. XX in pari data […], in ottemperanza a quanto previsto dall’art. 8 comma 1 del D.P.R. 7 agosto 2012 n. 137 [di aver] trasmess[o] [tale comunicazione] al Consiglio di Disciplina dell’Ordine, in data XX, per i provvedimenti di competenza”.

Risulta, pertanto, accertato che l’Ordine, con la predetta nota del XX (prot. n. XX), ha portato a conoscenza della professionista segnalata il nome, il cognome e gli indirizzi di posta elettronica ordinaria e certificata del segnalante e odierno reclamante.

Al riguardo, deve osservarsi che, contrariamente a quanto sostenuto dall’Ordine nel corso del procedimento, le predette informazioni devono considerarsi “dati personali” del segnalante e odierno reclamante, in quanto informazioni relative a una persona fisica identificata o identificabile (art. 4, par. 1, n. 1), del Regolamento). Infatti, ancorché il segnalante e odierno reclamante non avesse allegato alle segnalazioni una copia di un proprio documento di riconoscimento e l’Ordine non fosse, pertanto, in grado di identificare con certezza lo stesso, la persona segnalata poteva comunque risalire all’identità dello stesso. Ciò in ragione dell’eventuale conoscenza diretta del segnalante, menzionato con l’indicazione del nome e del cognome nella nota inviata dall’Ordine, o della possibilità di identificare lo stesso mediante i predetti indirizzi di posta elettronica ordinarie e certificata (nel caso in cui il segnalante avesse già avuto una corrispondenza via email con la professionista segnalata) o di effettuare tale associazione attraverso informazioni che si trovano nella disponibilità di terzi (nel caso in cui il segnalante avesse già avuto una corrispondenza via email con tali terzi) o che sono disponibili pubblicamente (come nel caso dell’indirizzo XX, riconducibile, tramite il registro c.d. “INI-PEC”, a una società a responsabilità limitata e, pertanto, tramite un’ordinaria visura camerale, anche ai suoi soci che siano persone fisiche), nonché, in ogni caso, in considerazione della disponibilità nell’ordinamento nazionale di mezzi giuridici (ad esempio ove la segnalazione avesse configurato un’ipotesi di reato) per ottenere in via giudiziale tali informazioni dai fornitori dei servizi di posta elettronica ordinaria e certificata che hanno attribuito gli indirizzi di posta elettronica in questione al segnalante e odierno reclamante (v., per analogia, Corte di giustizia dell’Unione europea, sentenza C-582/14, Breyer, del 19 ottobre 2016).

Ciò chiarito, deve rilevarsi che l’Ordine non ha comprovato la sussistenza dei presupposti previsti dalla normativa in materia di protezione dei dati, sopra richiamati, affinché una comunicazione di dati personali a terzi, da parte di un soggetto pubblico, possa considerarsi lecita, non avendo lo stesso indicato alcuna norma di legge, di regolamento o atto amministrativo generale che espressamente prevedesse la comunicazione dei dati personali in questione.

Né tale comunicazione poteva ritenersi necessaria, atteso che l’Ordine avrebbe potuto inviare due distinte comunicazioni - ovvero una alla professionista segnalata e un’altra al segnalante e odierno reclamante - al fine di rendere edotti gli stessi dell’interessamento del Consiglio di Disciplina dell’Ordine in merito ai fatti segnalati, senza portare a conoscenza della professionista segnalata informazioni relative al segnalante e odierno reclamante.

Quanto alla difesa prospettata dall’Ordine in merito alla circostanza che “il professionista segnalato avrebbe avuto comunque diritto ad accedere a tutti i dati della segnalazione” (v. memoria difensiva, cit.) e che, pertanto, “i dati oggetto di comunicazione sarebbero stati comunque ostensibili in sede di accesso agli atti ai sensi della l. 241/1990” (v. verbale di audizione, cit.), deve osservarsi che - in disparte la questione se, in generale, un soggetto segnalato possa vantare un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata alla segnalazione, ad accedere alla stessa, anche venendo a conoscenza dell’identità del soggetto segnalante - non risulta che, nel caso di specie, la professionista segnalata avesse presentato all’Ordine una richiesta di accesso documentale ai sensi degli artt. 22 e ss. della l. 7 agosto 1990, n. 241. L’Ordine ha, infatti, di propria iniziativa scritto alla professionista segnalata, rendono edotta la stessa del nome, del cognome e degli indirizzi di posta elettronica (ordinaria e PEC) del segnalante e odierno reclamante.

Alla luce delle considerazioni che precedono, deve concludersi che, ponendo in essere la comunicazione di dati personali in questione, l’Ordine ha agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice.

3.2 L’illecita diffusione di dati personali sul sito web istituzionale dell’Ordine e la violazione del principio di esattezza

L’operazione di “diffusione” (art. 2-ter, comma 4, lett. b), del Codice) di dati personali, da parte di soggetti pubblici, è ammessa solo se qualora sussista un’idonea base giuridica (v. art. 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento, nonché 2-ter del Codice) e, in ogni caso, nel rispetto dei principi di protezione dei dati (v. art. 5 del Regolamento).

Nel caso di specie, risulta accertato che, fino al XX, l’Ordine ha pubblicato sul proprio sito web istituzionale il verbale del Consiglio dell’Ordine del XX, contenente dati personali relativi sia alla professionista segnalata (titolo, nome e cognome; vicenda segnalata) sia al “XX”, indicato erroneamente come segnalante ed in realtà del tutto estraneo alla vicenda.

Atteso che l’Ordine non ha indicato alcuna norma di legge, di regolamento o atto amministrativo generale che espressamente prevedesse la pubblicazione online dei dati personali in questione - tanto che lo stesso Ordine ha dichiarato che, dopo aver ricevuto la richiesta d’informazioni dell’Autorità, ha provveduto a rimuovere dal proprio sito web l’intera sezione “Verbali del Consiglio” e a “revisiona[re] la disciplina delle pubblicazioni, limitandone la durata in funzione della tipologia di pubblicazione e della presenza di eventuali dati personali contenuti” - deve concludersi che l’Ordine, diffondendo i dati personali della professionista segnalata e del XX ha agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

Deve, altresì, osservarsi che, in base al principio di “esattezza”, i dati personali devono essere “esatti e, se necessario, aggiornati […]” (art. 5, par. 1, lett. d), del Regolamento).

Nel caso di specie, come dichiarato dall’Ordine nel corso dell’istruttoria, il XX, omonimo del segnalante e odierno reclamante, era “assolutamente estraneo alla vicenda” e che nel verbale si è fatto riferimento allo stesso per “un mero refuso”.

Avendo l’Ordine erroneamente attribuito la segnalazione in questione a un consigliere comunale del Comune di Matera, omonimo del segnalante, riportando i dati dello stesso nel verbale del Consiglio dell’Ordine del XX e diffondendo tali dati sul proprio sito web istituzionale, l’Ordine ha, altresì, agito in maniera non conforme al principio di esattezza dei dati personali, in violazione dell’art. 5, par. 1, lett. d), del Regolamento.

3.3 Il ritardo nella pubblicazione dei dati di contatto del RPD e nella comunicazione degli stessi all’Autorità

Ai sensi dell’art. 37, par. 7, del Regolamento, “il titolare del trattamento […] pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo” (cfr. par. 2.6 delle “Linee guida sui responsabili della protezione dei dati”, adottate dal Gruppo di Lavoro art. 29 il 5 aprile 2017, WP 243 rev. 01, fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018”, nonché par. 7 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104).

Al riguardo, l’Ordine ha dichiarato nel corso dell’istruttoria che, sebbene la designazione del RPD sia stata tempestivamente effettuata nella seduta del Consiglio dell’Ordine in data XX, ovvero prima della data di efficacia del Regolamento (25 maggio 2018), la pubblicazione dei dati di contatto dello stesso sul proprio sito web istituzionale e la comunicazione di tali dati all’Autorità sono avvenute soltanto in data XX.

Risulta, pertanto, accertato che l’Ordine, dal XX e fino al XX, ha agito in violazione dell’art. 37, par. 7, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità della condotta dell’Ordine, per aver agito in violazione degli artt. 5, par. 1, lett. a) e d), 6 e 37, par. 7, del Regolamento, nonché 2-ter del Codice.

La violazione delle predette disposizioni ha avuto luogo in conseguenza di tre distinte condotte, relative alla comunicazione di dati personali (v. precedente par. 3.1), alla diffusione di dati personali, anche in violazione del principio di esattezza (v. precedente par. 3.2) e alla comunicazione dei dati di contatto del RPD (v. precedente par. 3.3).

5. Ammonimento (art. 58, par. 2, lett. b), del Regolamento).

Il Garante, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ha il potere di “rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del […] regolamento”.

In merito al caso di specie, la tardiva comunicazione agli interessati e all’Autorità dei dati di contatto del RDP (v. precedente par. 3.3) può considerarsi un'unica e distinta condotta.

Ciò premesso, occorre tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

l’Ordine è un ente di piccole dimensioni (con circa 463 iscritti all’albo degli architetti), dotato di risorse organizzative estremamente limitate (v. le dichiarazioni dell’Ordine, sopra riportate, in merito alla circostanza che l’Ente può avvalersi di “un solo addetto amministrativo”);

la violazione è emersa a seguito di accertamenti disposti dall’Autorità d’ufficio e non risultano pervenuti reclami o segnalazioni relativi alla mancata comunicazione agli interessati dei dati di contatto del RPD, che era stato comunque tempestivamente designato dall’Ordine;

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148, dell’art. 83, par. 2, del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire l’Ordine per la violazione dell’art. 37, par. 7, del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, l’Ordine ha posto in essere ulteriori due distinte condotte sanzionabili, ulteriori rispetto alla condotta di cui al precedente par. 5, che devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi come di seguito illustrate.

6.1 L’illecita comunicazione dei dati personali del reclamante alla professionista segnalata

Come sopra illustrato, l’Ordine, comunicando i dati personali del segnalante e odierno reclamante alla professionista segnalata, ha agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice.

Al riguardo si rileva che se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non deve superare l'importo specificato per la violazione più grave, assorbendo così le altre violazioni meno gravi (cfr. art. 83, par. 3, del Regolamento).

Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria, inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la condotta dell’Ordine ha esposto il reclamante al potenziale rischio di subire conseguenze pregiudizievoli nei rapporti con la professionista segnalata o altri soggetti (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione ha riguardato un solo interessato (cfr. art. 83, par. 2, lett. a), del Regolamento);

la condotta dell’Ordine ha natura colposa, essendo lo stesso incorso in errore nell’inviare un’unica comunicazione al segnalante e alla professionista segnalata (cfr. art. 83, par. 2, lett. b), del Regolamento);

la violazione non ha comunque riguardato dati personali relativi a categorie particolari di dati (v. art. 9 del Regolamento) o a condanne penali e reati (v. art. 10 del Regolamento) (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, occorre prendere in considerazione le seguenti circostanze attenuanti:

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (cfr. art. 83, par. 2, lett. e), del Regolamento);

l’Ordine ha prestato una buona collaborazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento);

l’Ordine è un ente di piccole dimensioni (con circa 463 iscritti all’albo degli architetti), dotato di risorse organizzative estremamente limitate (v. le dichiarazioni dell’Ordine, sopra riportate, in merito alla circostanza che l’Ente può avvalersi di “un solo addetto amministrativo”) (cfr. art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.500 (millecinquecento) per la violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dei predetti rischi a cui è stato esposto il reclamante, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

6.2 L’illecita diffusione di dati personali sul sito web istituzionale dell’Ordine e la violazione del principio di esattezza

Come sopra illustrato, l’Ordine ha diffuso dati personali relativi sia alla professionista segnalata (titolo, nome e cognome; vicenda segnalata) sia a un consigliere comunale omonimo del reclamante, identificato erroneamente come segnalante ed in realtà del tutto estraneo alla vicenda, in maniera non conforme a principi di “liceità, correttezza e trasparenza” ed “esattezza”, e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e d), e 6 del Regolamento, nonché 2-ter del Codice.

Al riguardo si rileva che se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non deve superare l'importo specificato per la violazione più grave, assorbendo così le altre violazioni meno gravi (cfr. art. 83, par. 3, del Regolamento). Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la condotta dell’Ordine ha esposto la professionista segnalata a possibili conseguenze pregiudizievoli per la propria attività professionale (cfr. art. 83, par. 2, lett. a), del Regolamento);

l’Ordine, ancorché per errore (cfr. art. 83, par. 2, lett. b), del Regolamento), ha imputato la segnalazione a un soggetto del tutto estraneo alla vicenda, esponendo lo stesso al potenziale rischio di subire conseguenze pregiudizievoli nei rapporti con la professionista segnalata o altri soggetti (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione ha riguardato due soli interessati (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione non ha comunque riguardato dati personali relativi a categorie particolari di dati (v. art. 9 del Regolamento) o a condanne penali e reati (v. art. 10 del Regolamento) (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, occorre prendere in considerazione le seguenti circostanze attenuanti:

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (cfr. art. 83, par. 2, lett. e), del Regolamento);

l’Ordine ha prestato una buona collaborazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento);

l’Ordine è un ente di piccole dimensioni (con circa 463 iscritti all’albo degli architetti), dotato di risorse organizzative estremamente limitate (v. le dichiarazioni dell’Ordine, sopra riportate, in merito alla circostanza che l’Ente può avvalersi di “un solo addetto amministrativo”) (cfr. art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dei predetti rischi a cui sono stati esposti i due interessati, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità della condotta dell’Ordine per violazione degli artt. 5, par. 1, lett. a) e d), 6 e 37, par. 7, del Regolamento, nonché 2-ter del Codice;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Ordine per aver violato l’art. 37, par. 7, del Regolamento, come sopra descritto

ORDINA

all’Ordine degli Architetti Pianificatori Paesaggisti e Conservatori della Provincia di Matera, in persona del legale rappresentante pro-tempore, con sede legale in Via Domenico Ridola, 21 - 75100 Matera (MT), C.F. 93002810773, di pagare la complessiva somma di euro 3.500 (tremilacinquecento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ordine, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la complessiva somma di euro 3.500 (tremilacinquecento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10030785
Data
23/05/24

Argomenti

Comunicazioni indesiderate Ordini professionali Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca