[doc. web n. 10065732]

Provvedimento del 12 settembre 2024

Registro dei provvedimenti
n. 547 del 12 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. XX, militare appartenente all’Arma dei Carabinieri, ha lamentato talune presunte violazioni della disciplina in materia di protezione dei dati personali da parte dell’Ordine delle Professioni Infermieristiche (OPI) di Gorizia (di seguito, l’“Ordine”).

In particolare, il reclamante ha rappresentato di aver appreso che, in data XX, presso il Comando Legione ove presta servizio (di seguito, il “Comando Legione”), è pervenuto un messaggio di posta elettronica certificata, recante in allegato una nota, con oggetto “Segnalazione condotte [nome e cognome del reclamante]”, sottoscritta dal Presidente dell’Ordine, dal Presidente dell’OPI di Pordenone (anche in veste di Presidente del Coordinamento degli OPI del Friuli Venezia Giulia – di seguito, il “Coordinamento”) e dai Presidenti degli OPI di Udine e Trieste. Con tale nota, il Comando Legione veniva messo a conoscenza della “serie di istanze di accesso civico generalizzato” e delle “molteplici segnalazioni”  che il reclamante e la propria moglie avevano rivolto ai predetti OPI, nonché di informazioni relative alla moglie del reclamante (professione; iscrizione all’Ordine) e alle valutazioni espresse da tali OPI in merito alla ritenuta inopportunità di tali istanze e segnalazioni, considerate “in gran parte immotivate e che anche dal punto di vista del cittadino comune, non hanno alcuna finalità o utilità”, avendo come “unica finalità […] quella di aver richiesto un grande impegno agli uffici amministrativi, al personale dipendente, alle cariche istituzionali degli Enti ed ai consulenti e professionisti che li assistono, distogliendo tempo prezioso e anche cospicue risorse economiche alle attività ordinarie degli Ordini”. Gli OPI hanno, pertanto, “ritenuto di sottoporre al [Comandante del Comando Legione] le condotte del [reclamante], [in servizio presso] l’Arma dei Carabinieri, che sempre e comunque rappresenta, ad evitare il determinarsi di un ostacolo all’attività istituzionale dei suddetti Ordini professionali per meri interessi personali […]”, chiedendo allo stesso “di voler prendere in considerazione quanto […] esposto, all’unico scopo di migliorare le relazioni fra Enti dello Stato, che dovrebbero collaborare reciprocamente per il bene del cittadino e delle istituzioni che rappresentano”.

Ad avviso del reclamante, la comunicazione dei predetti dati personali al Comando Legione, così come lo scambio di tali dati tra i diversi OPI facenti parte del Coordinamento, tra cui l’Ordine, sarebbe avvenuta in assenza di una base giuridica.

Inoltre, il reclamante ha lamentato la circostanza che l’Ordine e gli altri OPI componenti il Coordinamento avrebbero illecitamente trattato il dato personale relativo alla propria professione e al datore di lavoro, che non era mai stato reso noto dal reclamante agli stessi.

Il reclamante ha, altresì, lamentato di non aver ricevuto dall’Ordine, in occasione della presentazione delle predette istanze di accesso civico e segnalazioni, alcuna informativa relativa al trattamento dei propri dati personali, anche con riguardo alla possibilità di esercitare i diritti di cui agli artt. 15-22 del Regolamento.

Un ulteriore motivo reclamo attiene alla circostanza che l’Ordine non avrebbe fornito riscontro a un’istanza di esercizio del diritto di accesso ai dati personali, rivolta dal reclamante all’Ordine ai sensi degli artt. 12 e 15 del Regolamento, con particolare riguardo alle modalità “con [le] quali […] l’OPI fosse venuto a conoscenza dei dati relativi alla professione svolta”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), l’Ordine, con nota del XX, per il tramite del proprio avvocato, ha dichiarato, in particolare, che:

“[…] gli [OPI] sono enti pubblici non economici di piccolissime dimensioni: l’Ordine […] non ha personale dipendente e si avvale di una collaboratrice amministrativa volontaria. Non ci sono figure dirigenziali e gran parte delle incombenze sono svolte dal Presidente, dal Tesoriere e dal Segretario, che, oltre a svolgere la loro professione, prestano la loro attività a titolo gratuito”;

“[…] il reclamante ha inviato numerose istanze di accesso all’Ordine […]”;

“la gestione di tale quantità di istanze, impugnazioni, reclami, diffide e segnalazioni del [reclamante] si è storicamente sovrapposta non solo alla normale attività ordinistica (iscrizioni, cessazioni, variazioni, certificazioni, formazione professionale, procedimenti disciplinari ecc.), ma, soprattutto, alla gestione dell’enorme mole di lavoro conseguente alla crisi pandemica e ai procedimenti amministrativi di sospensione degli infermieri non vaccinati, ai sensi del DL 44/21 […] [che] hanno coinvolto decine e decine di iscritti”;

“[…] in questo contesto, la gestione delle pretese del [reclamante] – indipendentemente dalla legittimità delle medesime - metteva seriamente a rischio l’operatività ordinistica in Regione Friuli Venezia Giulia, compromettendo così l’esercizio di un pubblico potere. Erano concreti e gravi i rischi legali per i Presidenti, compresi reati quali omissione di atti d’ufficio”;

“su queste premesse, i [quattro] Presidenti degli Ordini regionali, istituzionalmente riuniti nel Coordinamento […], si sono trovati costretti dall’improrogabile necessità di dover trovare una soluzione “congiunta” per normalizzare i rapporti con il [reclamante], concordando di attivare ogni possibile strada per trovare una soluzione amichevole di compromesso e permettere così di concentrare forze lavorative ed economie dell’ente sulla cogente attività istituzionale ed ordinistica, almeno fino alla fine dell’emergenza pandemica”;

“tutto quanto sopra prefigura sia un legittimo interesse del Titolare a trattare i dati personali del [reclamante], al di fuori dell’esecuzione di compiti ordinistici propri di autorità pubbliche, nell’interesse pubblico di garantire il buon funzionamento dell’ente ai sensi dell’art. 97 della Costituzione”;

“si specifica infine che il coinvolgimento dei Coordinamenti Regionali deriva proprio dal fatto che essi sono organismi preposti alla gestione di “problematiche comuni” agli [OPI] di un determinato territorio (regione), in forza di Regolamento, adottato dalla Federazione Nazionale nel 2016, che ne prevede l’istituzione e ne disciplina l’operatività […], pubblicato sul sito istituzionale https://www.fnopi.it/amministrazione-trasparente/disposizionigenerali/atti-generali/”;

“in relazione agli ulteriori dati personali del reclamante ed, in particolare, all’appartenenza all’Arma dei Carabinieri, si evidenzia che nel rispetto dei principi di liceità, correttezza e trasparenza, i Presidenti nell’ottica sopra descritta, hanno cercato sul web informazioni sul reclamante con una semplice ricerca su [un motore di ricerca]”;

“l’appartenenza del reclamante all’Arma dei Carabinieri è un dato pubblico, risultante da documenti, anche ufficiali, reperibili e consultabili da chiunque in rete, con semplice ricerca su nominativo e senza inserire alcun altro dato identificativo, ivi compresi quelli anagrafici, forniti dal reclamante stesso”;

“[…] l’istanza indirizzata al [Comando Legione] aveva come unico scopo quello di rendere edotti i superiori della condotta del [reclamante], affinché si potesse congiuntamente intervenire sensibilizzandolo sulla inopportunità delle sue iniziative, evitando in tal modo passi formali nei confronti del medesimo”;

“[…] tanto anche alla luce del Codice di condotta dei dipendenti del Ministero della Difesa, dal quale dipende l’Arma dei Carabinieri […]”;

“al Comando non è stato comunicato alcun dato personale del quale lo stesso non fosse già a conoscenza”;

“altri procedimenti di accesso ex d. lgs. 33/2013 del [reclamante] ad altre PPAA, peraltro, sono oggetto di pubblicazione da parte degli enti destinatari e sono reperibili in rete, quali dati pubblici, con identificazione nominativa del richiedente”;

“l’informativa sul trattamento dei dati personali è pubblicata sul sito istituzionale dell’Ordine alla pagina seguente https://www.opigorizia.it/it/privacy-policy. Si precisa che l’informativa è stata modificata rispetto all’epoca dei fatti […]”;

“a tale informativa il reclamante ha potuto accedere, tanto nel caso in cui abbia reperito il recapito PEC dell’Ordine attraverso il sito istituzionale, quanto nel caso in cui lo abbia reperito sul sito dell’IPA, nel quale l’indirizzo del sito dell’OPI è debitamente riportato”;

“al reclamante è stato dato debito riscontro in relazione alla richiesta di informazioni sui suoi dati personali trattati dall’OPI, mediante comunicazione del XX”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver l’Ordine:

- trattato i dati personali relativi alla professione e al datore di lavoro del reclamante in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice;

- comunicato i dati personali del reclamante e della propria coniuge agli altri OPI in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice;

- comunicato al Comando Legione i dati personali del reclamante e della propria coniuge, contenuti nella nota congiunta dei Presidenti degli OPI (prot. n. XX del XX), in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice;

- omesso di stipulare un accordo di contitolarità del trattamento con gli altri OPI, in violazione dell’art. 26, parr. 1 e 2, del Regolamento;

- omesso di fornire al reclamante e alla propria coniuge un’informativa sul trattamento dei dati personali, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 13 (in relazione ai dati acquisiti direttamente degli interessati) e 14 (in relazione ai dati non acquisiti direttamente dagli interessati) del Regolamento;

- omesso di fornire riscontro all’istanza di esercizio del diritto di accesso formulata dal
reclamante, nonché di informare lo stesso, senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, in violazione degli artt. 12, parr. 3 e 4, e 15, par. 1, del Regolamento.  

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, l’Ordine, per il tramite del proprio avvocato, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’Ordine […] è un ente di piccolissime dimensioni, che, secondo quanto previsto dal D.Lgs.C.P.S. 233/46, art. 1, c. 3, lett. b), come modificato dalla Legge 3/2018, è finanziato esclusivamente con i contributi degli iscritti”;

“l’OPI ha provveduto a trasmettere al reclamante il riscontro di cui all’art. 15 del Regolamento, unitamente alla relativa informativa privacy”, con nota del XX, prodotta in atti;

“la gravità della violazione non appare elevata, poiché il trattamento riguarda dati pubblici o, comunque, non tali che la loro elaborazione o comunicazione al datore di lavoro del reclamante possano arrecare, in sé, pregiudizio”;

“l’art. 748, c. 5, del DPR 90/2010 (testo unico regolamentare dell’ordinamento militare)” prevede che “il militare deve, altresì, dare sollecita comunicazione al proprio comando o ente: a) di ogni cambiamento di stato civile e di famiglia” e, pertanto, “il destinatario della comunicazione era, pertanto, già informato dello stato civile dell’interessato”;

“i dati trattati non ricadono né nella categoria di quelli “particolari”, né attengono a precedenti penali”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), l’Ordine ha dichiarato, in particolare, che:

“la vicenda oggetto di reclamo si è verificata nel difficile contesto dell’epidemia da SARS-CoV-2, in cui l’Ordine, che è un ente pubblico non economico dotato di una ridotta struttura organizzativa e limitate risorse economiche, ha dovuto far fronte a numerosi e gravosi adempimenti previsti dalla normativa emergenziale, avendo dovuto assumere delicate decisioni, in tempi assai rapidi, in un quadro normativo caratterizzato da elevata complessità giuridica. In particolare, l’Ordine ha dovuto istruire numerosi procedimenti finalizzati all’accertamento del possesso del requisito vaccinale da parte dei professionisti iscritti ai sensi dell’art. 4 del d.l. 44/2021;

l’Ordine […] è il più piccolo degli Ordini provinciali della Regione e nel periodo emergenziale ha dovuto far fronte a un carico di lavoro eccessivo, potendo contare su un solo collaboratore che presta la propria attività su base volontaria. In tale difficilissimo contesto, la Presidente dell’Ordine ha dovuto personalmente occuparsi di numerosi adempimenti amministrativi, anche con attività di carattere straordinario, con inevitabili ripercussioni sui tempi di gestione di alcuni procedimenti, tra cui quelli relativi alle numerose istanze presentate dal reclamante”.

3. Esito dell’attività istruttoria.

3.1 Il trattamento dei dati personali relativi alla professione e al datore di lavoro del reclamante.

I soggetti pubblici, in conformità al principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), possono, di regola, trattare dati personali se il trattamento è necessario per adempiere un obbligo legale o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (v. artt. 6, par. 1, lett. c) ed e), e parr. 2 e 3 del Regolamento, nonché 2-ter del Codice).

Nel caso di specie, l’Ordine ha acquisito informazioni relative alla professione svolta dal reclamante interrogando un motore di ricerca e consultando documenti pubblicamente disponibili su Internet.

Tali operazioni di ricerca online, consultazione e registrazione delle informazioni relative alla professione e al datore di lavoro del reclamante costituiscono trattamenti di dati personali (v. art. 4, n. 1 e 2), del Regolamento), che, tuttavia, non possono considerarsi necessari ai fini dei procedimenti amministrativi relativi alle istanze di accesso civico e alle segnalazioni presentate dal reclamante all’Ordine, a nulla rilevando che tale informazioni fossero reperibili su Internet per effetto della loro pubblicazione da parte dello stesso interessato o di terzi per altre finalità, non connesse alle funzioni istituzionali dell’Ordine (cfr. provv.ti 24 novembre 2022, n. 385, doc. web n. 9839018; 10 marzo 2022, n. 82, doc. web n. 9761383; 13 gennaio 2022, n. 7, doc. web n. 9745807; 2 luglio 2020, n. 118, doc. web n. 9440025; 13 febbraio 2020, n. 35, doc. web n. 9285411).

L’Ordine ha, pertanto, trattato i dati personali relativi alla professione e al datore di lavoro del reclamante in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

3.2 La comunicazione dei dati personali agli altri OPI del Friuli-Venezia Giulia.

Dalla documentazione in atti e dalle dichiarazioni rese nel corso dell’istruttoria risulta, altresì, accertato che l’Ordine ha condiviso con gli altri OPI del Friuli-Venezia Giulia le informazioni relative alle istanze di accesso civico e alle segnalazioni presentate dal reclamante e dalla propria coniuge, ponendo in essere un trattamento di dati personali che non può ritenersi necessario ai fini dei procedimenti avviati in relazione alle predette istanze di accesso e segnalazioni.

Al riguardo, deve osservarsi, con considerazioni che valgono in relazione ai complessivi trattamenti dei dati personali oggetto di reclamo, che non può essere accolta la tesi difensiva dell’Ordine secondo la quale “i procedimenti di accesso ex d. lgs. 33/2013 […] sono oggetto di pubblicazione da parte degli enti destinatari e sono reperibili in rete, quali dati pubblici, con identificazione nominativa del richiedente”. Come, in infatti, chiarito dall’Autorità Nazionale Anticorruzione (ANAC) nelle proprie Linee guida adottate d’intesa con il Garante, il «registro [delle istanze di accesso, ove istituito,] contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti […]» (par. 9 della Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1; v. anche par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

L’Ordine ha, pertanto, comunicato i dati personali del reclamante e della propria coniuge ai predetti OPI in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

3.3 La comunicazione al Comando Legione dei dati personali del reclamante e della propria coniuge contenuti nella nota congiunta dei Presidenti degli OPI del Friuli Venezia Giulia.

Con nota prot. n. XX del XX, sottoscritta dal Presidente dell’Ordine, dal Presidente dell’OPI di Pordenone (anche in veste di Presidente del Coordinamento) e dai Presidenti degli OPI di Udine e Trieste, e indirizzata al Comando Legione, presso il quale il reclamante presta la propria attività lavorativa, l’Ordine ha comunicato al Comando Legione alcuni dati personali del reclamante, ovvero informazioni relative alle istanze di accesso documentale e alle segnalazioni presentate dal reclamante ai predetti OPI e ad altri soggetti pubblici, alle valutazioni degli OPI in merito all’opportunità di tali istanze e segnalazioni e alla complessiva condotta del reclamante, nonché informazioni relative al rapporto di coniugio in essere tra il reclamante e una professionista iscritta all’Ordine.

Con la nota in questione sono stati, altresì, comunicati al Comando Legione dati personali relativi alla coniuge del reclamante, con particolare riguardo alla circostanza che anche la stessa avesse presentato istanze di accesso e segnalazioni, nonché al rapporto di coniugio in essere con il reclamante.

Ciò premesso, deve osservarsi che la comunicazione al Comando Legione dei dati personali in questione non può considerarsi necessaria per adempiere a obblighi di legge o per eseguire un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (v. artt. 6, par. 1, lett. c) ed e), e parr. 2 e 3, del Regolamento, nonché 2-ter del Codice). 

Non può essere, invero, accolta la tesi dell’Ordine, secondo la quale tale trattamento di dati personali sarebbe risultato necessario per il perseguimento del legittimo interesse dell’Ordine a garantire il buon andamento della propria azione amministrativa (v. art. 97 Cost.). Ciò in quanto la base giuridica del legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento, “non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti” (art. 6, par. 1, ultimo periodo, del Regolamento). Al riguardo, la Corte di giustizia dell’Unione europea ha affermato che “dalla formulazione dell’articolo 6, paragrafo 1, secondo comma, del [Regolamento] emerge chiaramente che un trattamento di dati personali effettuato da un’autorità pubblica nell’ambito dell’esecuzione dei suoi compiti non può rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del [Regolamento]; come, infatti, “risulta dal considerando 47 del [Regolamento] […], quest’ultima disposizione non può applicarsi a siffatti trattamenti di dati, dal momento che la loro base giuridica dev’essere prevista dal legislatore”, con la conseguenza che “qualora il trattamento effettuato da un’autorità pubblica sia necessario per l’esecuzione di un compito di interesse pubblico, e rientri, di conseguenza, nei compiti menzionati all’articolo 6, paragrafo 1, secondo comma, di tale regolamento, l’applicazione dell’articolo 6, paragrafo 1, primo comma, lettera e), del [Regolamento] e quella dell’articolo 6, paragrafo 1, primo comma, lettera f), di quest’ultimo si escludono a vicenda” (sent. C-180/21, Inspektor v Inspektorata kam Visshia sadeben savet, dell’8 dicembre 2022, par. 85).

Né rileva che, come sostenuto dall’Ordine nelle proprie memorie difensive, l’ordinamento militare prevede che il militare debba informare il Comando di appartenenza del proprio stato civile, atteso che, nel caso di specie, l’Ordine, unitamente agli altri OPI, ha comunicato al Comando Legione informazioni ulteriori rispetto al solo stato civile, ovvero la professione della coniuge, l’iscrizione della stessa all’Ordine e la circostanza che la stessa avesse presentato delle istanze di accesso civico e delle segnalazioni. 

La comunicazione al Comando Legione dei dati personali del reclamante e della propria coniuge è, pertanto, avvenuta in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

3.4 L’omessa stipula di un accordo di contitolarità del trattamento. 

Ai sensi dell’art. 4, par. 1, n. 7), del Regolamento, il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, “essi sono contitolari del trattamento” e devono “determina[re] in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal […] regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati” (art. 26, par. 1, del Regolamento). L'accordo tra i contitolari “riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” e il “contenuto essenziale dell'accordo [deve essere] messo a disposizione dell'interessato” (art. 26, par. 2, del Regolamento).

Come chiarito dal Comitato europeo per la protezione dei dati, “il criterio generale per la sussistenza della contitolarità di trattamento è la partecipazione congiunta di due o più soggetti nella definizione delle finalità e dei mezzi di un’operazione di trattamento. La partecipazione congiunta può assumere la forma di una decisione comune, presa da due o più soggetti […]” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, par. 53).

Ciò premesso, si osserva che, come sopra illustrato, la nota prot. n. XX del XX è stata sottoscritta dal Presidente dell’Ordine, dal Presidente dell’OPI di Pordenone (anche in veste di Presidente del Coordinamento) e dai Presidenti degli OPI di Udine e Trieste.

Avendo gli OPI determinato congiuntamente le finalità e i mezzi del trattamento dei dati personali del reclamante e della propria coniuge, ai fini dell’invio della nota in questione al Comando Legione, gli stessi hanno agito, ancorché in assenza di una valida base giuridica, in qualità di contitolari del trattamento (v. art. 4, par. 1, n. 7), del Regolamento), avendo esercitato un’“influenza decisiva sull’attuazione e sulle modalità del trattamento, mediante una decisione comune o decisioni convergenti che si completano a vicenda e sono necessarie per il trattamento poiché hanno un impatto tangibile sulla determinazione delle finalità e dei mezzi” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., all. 1, che riprende i contenuti della sez. 3, relativa alla “definizione di contitolari del trattamento”).

Ciononostante, l’Ordine e gli altri OPI del Friuli Venezia Giulia non hanno stipulato un accordo interno, prima di dare avvio al trattamento, al fine di disciplinare in maniera trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento, avendo, pertanto, l’Ordine agito in violazione dell’art. 26, parr. 1 e 2, dello stesso.

3.5 L’omessa informativa sul trattamento dei dati personali.

Nel rispetto del predetto principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento; cfr. Gruppo di lavoro articolo 29, “Linee guida sulla trasparenza ai sensi del regolamento 2016/679”, WP260 rev.01, adottate l’11 aprile 2018 e fatte proprie dal Comitato europeo per la protezione dei dati con “Endorsement 1/2018” del 25 maggio 2018).

Nel caso di specie, l’Ordine ha, invece, omesso di informare il reclamante e la propria coniuge in merito ai trattamenti di dati personali sopra illustrati.

A tal riguardo, deve osservarsi che l’informativa sul trattamento dei dati personali pubblicata sul sito web istituzionale dell’Ordine (v. all. 8 alla nota del XX) si riferisce al trattamento dei dati personali degli utenti di tale sito web, essendo, pertanto, inconferente rispetto ai trattamenti di dati personali oggetto di reclamo. Né risulta che l’Ordine avesse pubblicato sul proprio sito web un’informativa di carattere generale in merito ai trattamenti di dati personali posti in essere nel contesto dello svolgimento dei propri compiti istituzionali e della propria attività amministrativa, a cui il reclamante avrebbe potuto far riferimento

L’Ordine ha conseguentemente agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 13 (in relazione ai dati acquisiti direttamente degli interessati) e 14 (in relazione ai dati non acquisiti direttamente dagli interessati) del Regolamento.

3.6 Il riscontro alla richiesta dell’interessato di esercizio del diritto di accesso ai dati personali.

L’art. 12 del Regolamento prevede che il titolare del trattamento debba fornire all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del Regolamento senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (par. 3).

Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve informare lo stesso senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (par. 4).

Dal reclamo e dalla documentazione ad esso allegata emerge che, in data XX, l’interessato ha rivolto all’Ordine, ai sensi degli artt. 12 e 15 del Regolamento, un’istanza di accesso ai propri dati personali e alle informazioni di cui all’art. 15, par. 1, del Regolamento.

L’Ordine ha a tal proposito sostenuto di aver replicato alla predetta istanza “mediante comunicazione del XX”, allegando (v. all. 10 alla nota del XX) copia di una nota del XX, con prot. n. XX (ragionevolmente da intendersi come “XX”) con oggetto “accesso ai documenti amministrativi”, con la quale l’Ordine, facendo seguito alla “nota n. XX del XX da parte della Commissione per l’accesso dei documenti amministrativi” ha fornito all’interessato “tutta la documentazione che riguarda la Sua persona”.

Ciò premesso, si osserva che la nota in questione riguarda non già la richiesta di accesso ai dati personali, presentata dal reclamante in data XX, bensì una richiesta di accesso a documenti amministrativi, presentata dal medesimo reclamante ai sensi della l. 241/1990.

L’Ordine non ha, altresì, fornito all’interessato le informazioni previste alle lettere da a) a h) dell’art. 15, par. 1, del Regolamento. Peraltro, nell’istanza di accesso in questione, l’interessato aveva espresso il proprio particolare interesse ad acquisire “le informazioni, se detenute, relative alla propria posizione lavorativa ed alla professione svolta, comunicando naturalmente, anche per tale tipologia di dato, l’origine dello stesso (ovvero il soggetto o la specifica fonte dalla quale esso è stato acquisito” (v. istanza di accesso allegata al reclamo; v. nota del reclamante del XX, cit., ove si afferma che nella predetta nota del XX “nulla si indica in merito alle comunicazioni intercorse tra l’OPI di Gorizia e gli altri OPI regionali”).

Non avendo fornito riscontro all’istanza dell’interessato di esercizio del diritto di accesso, l’Ordine ha, pertanto, agito in violazione degli artt. 12, par. 3, e 15, par. 1, del Regolamento.

Inoltre, atteso che l’Ordine non ha informato l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, l’Ordine ha, altresì, violato l’art. 12, par. 4, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ordine, avendo lo stesso agito in violazione degli artt. 5, par. 1, lett. a), 6, 12, parr. 3 e 4, 13, 14, 15, par. 1, e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, peraltro molteplici, relative agli artt. 5, par. 1, lett. a), 6, 12, parr. 3 e 4, 13, 14 e 15, par. 1, del Regolamento, nonché 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Ordine ha dichiarato di aver fornito all’interessato il riscontro all’istanza di esercizio del diritto di accesso ai dati personali di cui all’art. 15 del Regolamento, ancorché successivamente alla notifica da parte dell’Autorità della contestazione di violazione amministrativa, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione delle disposizioni citate è soggetta all’applicazione di una sanzione amministrativa pecuniaria ai sensi del combinato disposto di cui agli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento.

La sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la violazione che attiene all’illecita comunicazione dei dati personali del reclamante al Comando Legione, presso il quale il reclamante presta la propria attività lavorativa, si connota di particolare gravità, considerate le possibili ripercussioni per l’interessato nell’ambito lavorativo (cfr. art. 83, par. 2, lett. a), del Regolamento);

ancorché allo scopo di preservare l’efficacia e l’effettività dell’azione amministrativa, ritenute compromesse dalle ripetute istanze di accesso civico e dalle segnalazioni presentate dal reclamante e dalla propria moglie, peraltro in un periodo in cui l’Ordine era particolarmente gravato dagli adempimenti connessi all’accertamento del requisito vaccinale in capo agli esercenti le professioni sanitarie (non più previsto a seguito dell’emanazione del d.l. 31 ottobre 2022, n. 162 e a partire dal 1° novembre 2022), l’Ordine ha esorbitato dalle proprie competenze istituzionali (cfr. art. 83, par. 2, lett. b), del Regolamento);

il trattamento non ha comunque riguardato dati appartenenti a categorie particolari di cui all’art. 9 del Regolamento o dati relativi a reati di cui all’art. 10 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

l’Ordine ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Ordine (art. 83, par. 2, lett. e), del Regolamento). 

In ragione dei suddetti elementi, valutati nel loro complesso, nonché tenuto conto che l’Ordine è un soggetto pubblico di piccole dimensioni, dotato di limitate risorse finanziarie e organizzative, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a), 6, 12, parr. 3 e 4, 13, 14, 15, par. 1, e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

Tenuto conto che, come sopra evidenziato, l’Ordine, ha comunicato i dati personali in questione al datore di lavoro del reclamante, con potenziali ripercussioni per lo stesso nell’ambito lavorativo, e che, pertanto, il trattamento ha interessato in tale contesto un soggetto vulnerabile (cfr. cons. 75 e art. 88 del Regolamento e “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017), si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Ordine delle Professioni Infermieristiche di Gorizia, per violazione degli artt. 5, par. 1, lett. a), 6, 12, parr. 3 e 4, 13, 14, 15, par. 1, e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

all’Ordine delle Professioni Infermieristiche di Gorizia, in persona del legale rappresentante pro-tempore, con sede legale in Via XXIV Maggio, 1 - 34170 Gorizia (GO), C.F. 80006770319, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ordine, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei