Le informazioni relative agli incarichi assunti da un legale per conto di una PA costituiscono dati personali: lo ha sancito il Garante per la protezione dei dati personali in un recente provvedimento.
Per approfondimenti si consiglia: Compendio breve sulla privacy
1. I fatti
Un avvocato inviava un reclamo al Garante per la protezione dei dati personali, in cui sosteneva di aver formulato una richiesta di esercizio dei propri diritti ai sensi del regolamento europeo per la protezione dei dati personali, nei confronti del Comitato Vittime della Pubblica Amministrazione, alla quale non aveva avuto alcun riscontro da parte del Comitato.
In particolare, l’avvocato affermava di aver formulato l’istanza di esercizio dei diritti in quanto il Comitato aveva inviato una lettera alla Azienda universitaria ospedaliera per cui l’avvocato aveva ricoperto diversi incarichi (ed attualmente era dirigente avvocato dell’azienda), chiedendo di conoscere le specifiche competenze di detto avvocato e gli incarichi che lo stesso aveva ricevuto a partire dal gennaio 2017. Alla suddetta lettera, il Comitato allegava un elenco dettagliato degli incarichi di difesa giudiziale che il predetto avvocato aveva ricevuto, in via esclusiva o congiunta con altri legali, da parte dell’azienda sanitaria a partire dal 2010 e fino al 2016.
Avendo preso conoscenza di tale lettera inviata dal Comitato, l’avvocato, tramite l’istanza di esercizio dei diritti, chiedeva al Comitato medesimo di ottenere l’accesso a tutti i dati personali che lo riguardavano eventualmente trattati dal comitato, chiedendo copia di detti dati e di conoscere le finalità e la base giuridica del trattamento nonché i destinatari cui i dati erano stati comunicati, l’origine degli stessi (cioè come erano stati acquisiti) e il periodo di conservazione previsto.
L’istanza, tuttavia, non riceveva alcun riscontro da parte del Comitato.
Preso atto del reclamo, il Garante invitava il Comitato a fornire le proprie osservazioni e a dichiarare se intendeva aderire alla richiesta del reclamante.
Il Comitato rifiutava di aderire alla richiesta del reclamante, in quanto sosteneva che la richiesta di esercizio dei diritti era stata inviata ad un indirizzo PEC riconducibile al Comitato, ma non corrispondente alla email pubblica di quest’ultimo.
Nel merito, il Comitato sosteneva che l’elenco degli incarichi che il legale aveva ricevuto dall’azienda ospedaliera universitaria non potevano essere ritenuti dei “dati personali”, in quanto si sostanziavano in numero e tipologie di incarichi di difesa legale in giudizio che erano stati affidati al legale.
In secondo luogo, il Comitato precisava che detti dati non erano stati pubblicizzati e comunque erano da sempre pubblicati sull’albo pretorio aziendale della struttura sanitaria ed che erano stati acquisiti lecitamente dal Comitato, in quanto contenuti in una nota della struttura sanitaria inviata al Comitato dalla segreteria regionale di un partito politico (che a sua volta aveva ricevuto detta nota da uno dei destinatari legittimi).
Potrebbero interessarti:
La finalità, stella polare della progettazione di ogni trattamento dei dati personali
Dati personali sull’incarico ad un avvocato: il Garante interviene
2. Le valutazioni del Garante
Il Garante ha ritenuto che nel corso del procedimento è emerso che il Comitato, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante, non ha fornito alcun riscontro nei termini di legge, nemmeno a seguito dell’invito a aderire formulato dallo stesso Garante.
Per quanto riguarda il diritto di esercizio dei diritti, il Garante ha ricordato che il Regolamento europeo per la protezione dei dati personali riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati e alle relative informazioni.
Inoltre, il titolare del trattamento deve fornire all’interessato l’accesso a tali dati senza ingiustificato ritardo e comunque al più tardi entro un mese dal ricevimento della richiesta.
Nel caso in cui il titolare non intenda accogliere la domanda dell’interessato, deve informare quest’ultimo di tale rifiuto e dei motivi di tale rifiuto nonché della possibilità di proporre un reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Anche tale risposta negativa deve essere comunicata al reclamante al più tardi entro un mese dal ricevimento della richiesta.
Nel caso di specie, il Comitato non ha fornito riscontro alle richieste del reclamante e non l’ha informato dei motivi dell’inottemperanza.
Per quanto riguarda le giustificazioni addotte dal Comitato al mancato riscontro, il Garante ha ritenuto non sufficiente a superare le violazioni della normativa in materia di privacy, il fatto che il reclamante ha utilizzato una PEC diversa da quella con cui il Comitato riceve le comunicazioni email.
Sul punto, infatti, il Garante ha ricordato che il diritto di accesso dell’interessato deve essere esercitato facilmente e che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare istanze di esercizio dei diritti, né sussistono particolari requisiti che l’interessato deve rispettare nella scelta del canale per portare a conoscenza del titolare la richiesta di esercizio dei diritti.
Nel caso di specie, è emerso che l’indirizzo PEC utilizzato dal reclamante è associato al Comitato e che quest’ultimo riceve regolarmente le comunicazioni in detto indirizzo (tant’è che il Garante ha notificato al Comitato la comunicazione dell’avvio del procedimento proprio in detto indirizzo PEC e il Comitato ha formulato le proprie difese, dimostrando così di averne preso conoscenza).
Per quanto riguarda le altre difese, il Garante ha prima ricordato che il dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)”, laddove è identificabile la persona fisica “che può essere identificata direttamente o indirettamente con particolare riferimento a un identificativo come il nome ecc.
Nel caso di specie, il Comitato ha usato le informazioni in questione per richiedere alla struttura sanitaria le specifiche competenze del reclamante nonché gli ulteriori incarichi legali a questo affidati dal 2017 in poi. È evidente, quindi, che si tratta di informazioni professionali riconducibili al reclamante: pertanto devono qualificarsi come dati personali.
La decisione del Garante
Il Garante ha ritenuto accertato che la condotta posta in essere dal Comitato, consistente nel mancato riscontro dell’istanza di esercizio dei diritti, sostanzia una violazione della normativa in materia di protezione dei dati personali. Tuttavia, il Garante ha ritenuto che tale violazione è da qualificarsi come “minore” e pertanto si è limitata ad ammonire il titolare del trattamento.
Per quanto riguarda il merito della richiesta di esercizio dei diritti, il Garante ha ingiunto al Comitato di soddisfare le richieste dell’interessato, provvedendo a comunicare all’interessato le informazioni già oggetto dell’istanza che aveva a suo tempo inviato il reclamante, entro 30 giorni dalla data di notifica del provvedimento.
Volume consigliato
In questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari.
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | Maggioli Editore 2021
Scrivi un commento
Accedi per poter inserire un commento