Sanzione Garante privacy per comunicazione della sospensione a soggetti ulteriori rispetto a quelli dell’art. 49, co. 2 DPR 221/1950
Con provvedimento del 22 febbraio u.s., il Garante privacy, in esito ad un procedimento ispettivo, ha sanzionato un ordine professionale per trattamento illecito di dati personali di un professionista iscritto; specificatamente, l’Ordine avrebbe inviato la delibera di sospensione del professionista -conseguente al mancato possesso del requisito vaccinale anti Covid- a diversi soggetti pubblici in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e parr. 2 e 3, lett. b), del Regolamento UE 2016/679, nonché dell’art. 2-ter D.lgs. 196/2003 ed in assenza di base giuridica.
Lasciando da parte la ratio e la normativa relativa alla sospensione ex DL 44/2021, l’elemento interessante della fattispecie esaminata dal Garante è la comunicazione ad enti terzi del provvedimento di sospensione ai sensi dell’art. 49, co. 2 del DPR 221/1950 e in particolare la possibilità -per l’Ordine- di inoltrare il provvedimento di sospensione a soggetti ulteriori rispetto a quelli specificati dalla citata previsione.
Nel caso di specie -sulla base di valutazioni di opportunità e contingenti- il provvedimento di sospensione veniva comunicato dall’Ordine anche al Sindaco e il Questore della città nonché all’Assessore Regionale alla Sanità sul presupposto poi indicato dall’Ordine durante l’istruttoria che “il coinvolgimento delle altre autorità non ricomprese negli articoli 2 e 49 del D.P.R. n.221/1950 era dettato dalla necessità di comunicare siffatta informazione anche alle Istituzioni preposte al controllo della pandemia (…), tale compito era percepito dall’Ente quale adempimento necessario allo svolgimento di un compito dispiegato per l’esercizio di pubblici poteri, attribuiti all’Ordine […]”
La comunicazione a soggetti ulteriori tuttavia non può essere giustificata da tale riflessione.
Secondo il Garante Privacy, infatti, “la comunicazione a tali soggetti dell’intervenuta sospensione esula certamente dall’ambito di applicazione dell’art. 49, comma 2, del d.P.R. 5 aprile 1950, n. 221” e neanche si rinviene, nel pur complesso panorama normativo afferente all’obbligo vaccinale, un’idonea disposizione (configurante pertanto base giuridica o motivo idoneo alla diffusione ai sensi del GDPR) che espressamente prevedeva la comunicazione del provvedimento di sospensione ai soggetti in questione.
Alla luce di tale considerazione, il Garante ha ritenuto che l’Ordine, effettuando la comunicazione di dati personali in questione a soggetti non individuati dalla normativa di riferimento, abbia agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), e parr. 2 e 3, lett. b), del Regolamento, nonché 2-ter del Codice Privacy
L’Ordine, pertanto, è stato sanzionato e ingiunto al pagamento di una somma di euro 5000 e il provvedimento è stato pubblicato sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice Privacy.
La commisurazione della sanzione in euro 5000, in luogo della più grave sanzione fino a 20.000 euro, è stata dovuta alle seguenti circostanze:
- la violazione ha riguardato i dati personali relativi a un solo interessato;
- la condotta ha carattere colposo, avendo l’Ordine agito in buona fede, nella convinzione che la comunicazione dei dati personali fosse necessaria per il perseguimento delle proprie finalità istituzionali e per la tutela della salute pubblica;
- la condotta ha avuto luogo nel contesto emergenziale dovuto alla pandemia da Covid-19, caratterizzato da un quadro normativo complesso ed in continua evoluzione;
- il buon livello di cooperazione offerto dall’Ordine durante l’istruttoria e l’insussistenza di precedenti violazioni
che hanno indotto il Garante a valutare come “basso” il livello di gravità della violazione commessa.