Sanzionato l’Ordine professionale che tramite email invia ad un appartenente la comunicazione di una segnalazione nei suoi confronti mettendo in cc anche il denunciante. Per l’approfondimento consigliamo anche il corso di formazione “AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Indice
1. I fatti: segnalazione all’ordine degli architetti
Una persona inviava un reclamo al Garante per la protezione dei dati personali lamentando un illecito trattamento dei suoi dati personali da parte di un consiglio dell’ordine degli architetti.
In particolare, il reclamante sosteneva di aver inviato una segnalazione a detto Ordine con cui comunicava che una professionista iscritta aveva utilizzato impropriamente il titolo di “architetto” (in quanto sarebbe stata, in realtà, iscritta come “pianificatrice”). A seguito della predetta segnalazione, l’Ordine l’aveva trasmessa tramite email al Consiglio di disciplina per le opportune valutazioni, mettendo in copia conoscenza nella email sia il denunciante che la segnalata. In tal modo, quindi, la segnalata aveva potuto apprendere i dati personali del denunciante: precisamente, nome, cognome, indirizzo email e indirizzo PEC.
L’ordine, invitato dal Garante a fornire le proprie difese in merito a quanto oggetto di reclamo, rappresentava che il suo operato era stato connotato da assoluta buona fede e che il reclamante non aveva subito alcun pregiudizio. In secondo luogo, faceva presente che la segnalata avrebbe potuto comunque prendere visione dei dati personali del reclamante, in quanto i soggetti denunciati – anche prima dell’inizio del procedimento disciplinare – possono prendere visione del relativo fascicolo mediante un accesso agli atti in quanto soggetti interessati.
Infine, l’Ordine sosteneva che tramite l’inserimento in copia conoscenza dell’indirizzo email del denunciante, non era stata comunque resa nota l’identità di quest’ultimo, in quanto lo stesso no nera comunque identificato né era identificabile stante l’assenza della copia del suo documento di identità. Ciò a maggior ragione visto che gli indirizzi email (ordinaria e PEC) del reclamante usati dall’Ordine non consentivano un immediato collegamento con il reclamante e che al nominativo di quest’ultimo corrispondono diversi soggetti.
Potrebbero interessarti anche
2. La valutazione del Garante
Preliminarmente, il Garante ha evidenziato che i soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito lo stesso.
Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza e minimizzazione dei dati, in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Nel caso di specie, secondo il Garante, è stato accertato che l’ordine attraverso il predetto invio della email ha portato a conoscenza della professionista il nome, il cognome e gli indirizzi di posta elettronica ordinaria e certificata del segnalante.
Tutte dette informazioni sono dei dati personali del segnalante, in quanto si tratta di informazioni relative ad una persona fisica identificata o identificabile.
Secondo il Garante, la mancanza del documento di identità e la presenza di più persone con lo stesso nominativo, anche se non aveva permesso all’ordine di identificare il segnalante, non escludono che la professionista segnalata, invece, potesse essere in grado di risalire all’identità del segnalante tramite il nome e il cognome che erano contenuti in chiaro nella email. Quest’ultima, infatti, avrebbe potuto identificarlo in quanto lo conosceva direttamente oppure utilizzando gli indirizzi email visibili nella comunicazione dell’Ordine (per esempio avrebbe potuto utilizzare il registro INIPEC per risalire, dall’indirizzo PEC, alla persona fisica cui la stessa era associata).
Posto che le predette informazioni sono qualificabili come dati personali, l’Ordine non ha dimostrato la sussistenza di una idonea base giuridica, cioè una norma di legge o di regolamento o atto amministrativo generale, che legittimasse il trattamento compiuto (cioè la comunicazione dei medesimi alla segnalata).
Inoltre detta comunicazione non poteva ritenersi necessaria, in quanto l’ordine avrebbe ben potuto inviare due distinte comunicazioni (una al segnalante e una alla segnalata) per informarli degli sviluppi della segnalazione, senza portare a conoscenza della segnalata i dati personali del segnalante.
Per quanto riguarda, infine, il fatto che la segnalata avrebbe potuto comunque accedere ai dati del segnalante utilizzando lo strumento dell’accesso agli atti, secondo il Garante tale argomento non è sufficiente a far venire meno la illiceità della condotta dell’Ordine, in quanto dall’istruttoria non è emerso che la professionista avesse effettivamente presentato all’Ordine una richiesta di accesso ai documenti del fascicolo.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la comunicazione alla segnalata dei dati del segnalante, posta in essere dall’Ordine degli architetti tramite l’invio di una email in copia conoscenza ad entrambi, ha comportato un trattamento non conforme ai principi di liceità, correttezza e trasparenza nonché in assenza di una base giuridica.
Conseguentemente, il Garante ha ritenuto di poter applicare al predetto Ordine una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione, il Garante, da un lato, ha ritenuto che la violazione commessa dal titolare del trattamento fosse di gravità media, in quanto la condotta ha esposto il reclamante ad un potenziale rischio di subire conseguenze pregiudizievoli nei rapporti con la professionista segnalata o altri soggetti, anche se ha riguardato un solo interessato ed è stata di natura colposa (essendo l’Ordine incorso in errore nell’inviare un’unica comunicazione ad entrambi i soggetti, anziché due distinte). Dall’altro lato, il Garante ha valutato che non risultano precedenti violazioni commesse a carico del titolare del trattamento e che questi ha prestato una buona collaborazione con il Garante, oltre al fatto che si tratta di un ente di piccole dimensioni e dotato di risorse organizzative estremamente limitate.
In conclusione, il Garante ha quindi quantificato la sanzione pecuniaria applicata al titolare del trattamento nell’importo di €. 1.500 (mille cinquecento).
Formazione in materia per professionisti
“AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Il percorso formativo è rivolto ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e organizzazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT.
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati.
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento