06.5921743
consulenza@legislazionetecnica.it
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

La comunicazione e la pubblicazione dei dati personali del segnalante è illecita

Con provvedimento del 23 maggio 2024, il Garante Privacy, in esito ad un reclamo, ha sanzionato un Ordine professionale che in sede di procedimento disciplinare ha reso noto il nominativo del segnalante sia al professionista incolpato, sia potenzialmente a tutti gli iscritti all’Ordine; nel primo caso, infatti, l’Ordine ha confermato la ricezione della segnalazione al segnalante e in tale conferma ha messo in copia il segnalato, nel secondo caso ha inserito per esteso il nominativo del segnalante nei verbali prodromici al procedimento disciplinare poi pubblicati, cosicché il nome avrebbe potuto essere visibile a chiunque.

A seguito di istruttoria il Garante ha avuto conferma che:

  • l’Ordine ha portato a conoscenza del segnalato il nome, il cognome e gli indirizzi di posta elettronica ordinaria e certificata del segnalante; a riguardo si rammenta che anche gli indirizzi di posta costituiscono dati personali, attratti nella sfera di applicazione della normativa di privacy;
  • per un certo periodo, l’Ordine ha pubblicato sul proprio sito web istituzionale il verbale del Consiglio dell’Ordine, contenente dati personali relativi sia al professionista segnalato (titolo, nome e cognome; vicenda segnalata) sia ad un soggetto omonimo del segnalante che era stato indicato erroneamente come segnalante stesso, pur essendo in realtà del tutto estraneo alla vicenda;
  • i dati di contatto del DPO dell’Ordine erano stati pubblicati tardivamente.

Dall’istruttoria, pertanto, è derivato che:

  • l’Ordine non ha provato la sussistenza dei presupposti normativi che giustificano il trattamento dei dati del segnalante; in particolare né è stata citata una normativa né una regolamentazione interna né un atto amministrativo che legittimano la comunicazione dei dati personali del segnalante al segnalato; altrettanto non è stata citata una normativa che ne legittima la pubblicazione all’interno di un verbale;  la mancanza di tali presupposti equivale a mancanza di base giuridica, e tale mancanza si traduce in una violazione;
  • la comunicazione dei dati personali del segnalante al segnato non risulta necessaria; ed infatti l’Ordine avrebbe potuto inviare due distinte comunicazioni – ovvero una al professionista segnalato e un’altra al segnalante – al fine di rendere edotti gli stessi delle attività disciplinari che ne sarebbero scaturite; l’Ordine invece ha optato per una sola comunicazione al segnalante, mettendo in copia il segnalato;
  • non ha nessun pregio difensivo la riflessione dell’Ordine rispetto alla possibilità del segnalato di conoscere i dati del segnalante a mezzo di accesso agli atti poiché, di fatto, non vi è stato nessuna richiesta di accesso agli atti da parte del segnalato;
  • la pubblicazione di dati personali di un soggetto diverso, omonimo del segnalante, ma assolutamente estraneo alla vicenda non può considerarsi “un mero refuso” ma costituisce una violazione, in particolare del principio di esattezza dei dati personali, in violazione dell’art. 5, par. 1, lett. d), del GDPR.

Il Garante ha conseguentemente rilevato l’illiceità della condotta dell’Ordine, per aver agito in violazione degli artt. 5, par. 1, lett. a) e d), 6 e 37, par. 7, del GDPR nonché 2-ter del Codice.

La violazione delle predette disposizioni ha avuto luogo in conseguenza di tre distinte condotte quali la comunicazione di dati personali del segnalante, la diffusione di dati personali mediante pubblicazione del verbale, anche in violazione del principio di esattezza e la comunicazione dei dati di contatto del RPD).

Il Garante ha pertanto sanzionato l’Ordine per il primo profilo – relativo all’illecita comunicazione dei dati personali – con una sanzione pari a € 1.500,00 mentre per il secondo profilo – relativo alla diffusione dei dati sul sito web in violazione del principio di esattezza – con una sanzione pari a € 2.000,00.

Rispetto alle violazioni accertate, l’Autorità ha valutato le condotte come violazione minore alla luce delle seguenti circostanze attenuanti:

  • l’Ordine è un ente di piccole dimensioni, dotato di limitate risorse organizzative;
  • non risultano pervenuti reclami o segnalazioni inerenti all’omessa comunicazione dei dati di contatto del RPD;
  • non risultano precedenti violazioni nella medesima materia;
  • la violazione ha riguardato un solo interessato e non ha riguardato dati personali relativi a categorie particolari o a condanne penali e reati;
  • la condotta dell’Ordine ha natura colposa.

Rispetto, invece, alla tardiva pubblicazione dei dati del DPO, il Garante ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ha ammonito  l’Ordine per aver violato l’art. 37, par. 7, del GDPR.

Allegati

Provvedimento Garante Privacy n. 10030785 del 23 maggio 2024

Back To Top