06.5921743
consulenza@legislazionetecnica.it
Garante Privacy

L’Ordine professionale che comunica a terzi la ricezione di una richiesta di accesso viola la normativa di privacy

Con provvedimento del 12 settembre u.s. il Garante Privacy ha sanzionato un Ordine delle professioni sanitarie per trattamento illecito dei dati personali del reclamante e del coniuge, poiché effettuato in assenza di un’idonea base giuridica e in difformità ai principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati.

In particolare, l’Ordine aveva comunicato al datore di lavoro del reclamante la ricezione di diverse richieste di accesso da parte del dipendente e del coniuge, nonché le proprie valutazioni circa la pretestuosità degli accessi; la comunicazione al datore di lavoro, inoltre, veniva sottoscritta da tutti gli Ordini della medesima professione presenti nella regione e dal Coordinamento locale degli Ordini che, pertanto, erano stati altrettanto messi al corrente delle istanze di accesso avanzate dal reclamante.

Interessante, in questa fattispecie, è la ricostruzione dei fatti, gli addebiti mossi dal Garante e la difesa approntata dall’Ordine.

Ricostruzione dei fatti
Il reclamante, militare appartenente all’Arma dei carabinieri, comunicava al Garante che il proprio Comando aveva ricevuto una segnalazione a suo carico da parte di più Ordini appartenenti alla medesima Regione, nella quale venivano divulgate diverse informazioni di carattere personale concernenti:

  • la circostanza che il reclamante e il coniuge avessero trasmesso istanze di accesso civico generalizzato e segnalazioni ad un Ordine avente sede nella Regione
  • talune qualità personali del coniuge, quali la professione e numero di iscrizione all’albo
  • la valutazione espressa dagli Ordini circa l’inopportunità delle richieste di accesso, la mancanza di motivazione delle stesse, il nocumento arrecato all’Ordine sia sotto il profilo organizzativo che economico.

La segnalazione degli Ordini ricevuta dal Comando aveva lo scopo di rappresentare che le richieste di accesso civico avanzate dal reclamante costituivano un ostacolo all’attività ordinistica e non trovavano alcuna giustificazione, se non la cura degli interessi personali del reclamante e coniuge.

Il reclamante, a fronte dell’accaduto, riteneva pertanto che:

  • la comunicazione dei predetti dati personali da parte degli Ordini al Comando non fosse supportata da alcuna base giuridica
  • lo scambio di dati tra più Ordini appartenenti alla stessa Regione altrettanto non fosse supportata da alcuna base giuridica
  • gli Ordini segnalanti avessero trattato il dato relativo alla propria professione (militare) e al proprio datore di lavoro (Comando dei carabinieri) in maniera illecita, posto che non era mai stato loro reso noto.

Il reclamante, inoltre, segnalava che l’Ordine destinatario della richiesta di accesso non gli avesse mai rilasciato alcuna informativa sul trattamento dei dati, né gli avesse indicato le modalità per l’esercizio dei diritti ai sensi degli artt. 15-22 del GDPR né che avesse fornito riscontro ad un’istanza di accesso ai dati personali.

Addebiti mossi dal Garante
L’Autorità, relativamente al reclamo ricevuto, ha prima richiesto informazioni all’Ordine che aveva ricevuto le richieste di accesso e poi ha avviato il procedimento sanzionatorio. Nello specifico, il Garante ha avviato il procedimento contro l’Ordine per avere questi:

  • trattato i dati personali relativi alla professione e al datore di lavoro del reclamante in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica  (violazione degli artt. 5, par. 1, lett. a), e 6 del GDPR, nonché 2-ter del Codice Privacy);
  • comunicato i dati personali del reclamante e del coniuge agli altri Ordini in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica (violazione degli artt. 5, par. 1, lett. a), e 6 del GDPR, nonché 2-ter del Codice Privacy);
  • comunicato al Comando Legione i dati personali del reclamante e del coniuge (i.e. mediante l’invio della Segnalazione congiunta dei Presidenti degli Ordini) in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, (violazione degli artt. 5, par. 1, lett. a), e 6 del GDPR, nonché 2-ter del Codice Privacy)
  • omesso di stipulare un accordo di contitolarità del trattamento con gli altri Ordini, in violazione dell’art. 26, parr. 1 e 2, del GDPR
  • omesso di fornire al reclamante e coniuge un’informativa sul trattamento dei dati personali, in maniera non conforme al principio di “liceità, correttezza e trasparenza” (violazione degli artt. 5, par. 1, lett. a); dell’art. art. 13 in relazione ai dati acquisiti direttamente degli interessati e art. 14 in relazione ai dati non acquisiti direttamente dagli interessati del GDPR);
  • omesso di informare il reclamante, senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza alla propria richiesta di accesso ai dati personali e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (violazione dell’art. 12, par. 4, del GDPR)

Difese dell’Ordine
L’Ordine si difendeva dagli addebiti dichiarando:

  • la non gravità della violazione, in quanto il trattamento riguardava dati pubblici o comunque tali che la loro elaborazione o comunicazione al datore di lavoro del reclamante non potessero arrecare, in sé, pregiudizio
  • la circostanza che i dati dello stato civile del reclamante fossero già noti al Comando, stante l’art. 748, c. 5, del DPR 90/2010
  • la circostanza che i dati non rientrano nella categoria dei dati particolari
  • il difficile periodo storico in cui i fatti avvenivano, caratterizzato dall’emergenza pandemica e dalla presenza di molteplici ulteriori attività in capo agli ordini sanitari
  • l’intenzione sottesa alla segnalazione al Comando da parte di tutti gli Ordini di arginare le numerose istanze presentate dal reclamante.

Esito dell’istruttoria e sanzioni
Il Garante, nella valutazione della questione, ha chiarito che l’Ordine ha svolto un trattamento dei dati personali del reclamante in maniera difforme dai principi di liceità, correttezza e trasparenza, in assenza di base giuridica e in violazione degli artt. 5, par. 1, lett. a), e 6 del GDPR, nonché 2-ter del Codice Privacy.

In particolare, l’Autorità:

  • rispetto al trattamento dei dati personali relativi alla professione e al datore di lavoro del reclamante che peraltro l’Ordine dichiara di aver ricercato in rete, segnala che le operazioni di ricerca online e consultazione delle informazioni relative alla professione e al datore di lavoro del reclamante costituiscono un trattamento illecito di dati personali in quanto non si considerano necessarie per i procedimenti amministrativi conseguenti alle istanze di accesso civico presentate dal reclamante all’Ordine;
  • rispetto alla comunicazione dei dati personali fatta dall’Ordine agli altri Ordini e concernenti le richieste di accesso ricevute dal reclamante, segnala che la stessa non fosse necessaria e che non può essere accolta la tesi difensiva secondo cui i dati oggetto di accesso sono pubblici, poiché il Registro degli accessi contiene informazioni anonime;
  • rispetto alla comunicazione al Comando Legione dei dati personali del reclamante e del coniuge e della dannosità delle istanze di accesso ricevute, segnala in primis la non necessità di tale comunicazione e pertanto il trattamento illecito dei dati personali, in quanto non assistito da base giuridica; a riguardo la tesi dell’Ordine, secondo cui la segnalazione al Comando sarebbe stata fatta per tutelare il buon andamento dell’azione amministrativa dell’Ordine stesso, in nessun modo può costituire idonea base giuridica, essendo questa esclusivamente prevista dalla legge;
  • relativamente all’omessa stipula di un accordo di contitolarità del trattamento dei dati tra l’Ordine e gli altri Ordini, segnala una violazione dell’art. 26 del GDPR  poiché nel caso di specie gli stessi hanno effettivamente agito quali contitolari avendo determinato congiuntamente le finalità e i mezzi del trattamento dei dati del reclamante e del coniuge e per far questo avrebbero dovuto, prima di dare avvio al trattamento, stipulare un accordo interno per disciplinare in maniera trasparente le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento stesso;
  • relativamente alla omessa informativa sul trattamento dei dati personali da parte dell’Ordine al reclamante e propria coniuge, segnala altra violazione dei principi di correttezza e trasparenza; difatti, l’informativa pubblicata sul sito web istituzionale è risultata inconferente rispetto al trattamento dati oggetto di reclamo in quanto concernente il trattamento dei dati personali degli utenti del sito;
  • relativamente all’omesso riscontro alla richiesta dell’interessato del diritto di accesso ai dati personali, segnala che il comportamento tenuto dall’Ordine costituisce un inadempimento poiché pur fornendo parziale riscontro in prima battuta, tuttavia non ha informato l’interessato dei motivi dell’inottemperanza alle ulteriori richieste specifiche di accesso e della possibilità di proporre reclamo ad un’autorità di controllo e di proporre ricorso giurisdizionale.

Alla luce della ricostruzione dei datti svolta dall’Autorità, il Garante ha riconosciuto l’illiceità del trattamento rinvenibile in diverse attività e comportamenti tenuti dall’Ordine e ha attribuito alla violazione commessa un livello di gravità medio. Il livello medio deriva:

  • dalla particolare gravità connessa all’illecita comunicazione dei dati del reclamante al Comando; la segnalazione svolta dall’Ordine potrebbe infatti vere possibili ripercussioni nell’ambito lavorativo dell’interessato
  • dalla circostanza che l’Ordine, con l’invio della segnalazione al Comando, ha esorbitato le proprie competenze istituzionali.

Nondimeno, in considerazione del buon livello di cooperazione offerto dall’Ordine all’Autorità nel corso dell’istruttoria, dell’insussistenza di precedenti violazioni pertinenti, della circostanza che il trattamento non ha riguardato dati appartenenti a categorie particolari e del ridotto dimensionamento dell’Ordine anche sotto il profilo economico, il Garante ha comminato all’Ordine la sanzione pecuniaria di € 4.000,00 e ha disposto la pubblicazione del provvedimento sul sito web del Garante ai sensi dell’art. 166, co. 7 del Codice Privacy.

Allegati

Provvedimento Garante Privacy n. 10064103 del 12 settembre 2024

Back To Top