[doc. web n. 10167804]

Provvedimento del 21 maggio 2025

Registro dei provvedimenti
n. 310 del 21 maggio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

È pervenuto a questa Autorità un reclamo della signora XX nei confronti dell’Avvocato XX relativo ad un presunto trattamento illecito dei dati personali della signora, la quale riferiva, tra l’altro, che il predetto legale, nel notificare un decreto ingiuntivo alla XX, avrebbe provveduto a comunicare tale atto anche ad altri dipendenti del XX della suddetta Regione, estranei al relativo procedimento. La reclamante ha chiesto a questa Autorità, esaminato il reclamo e ritenutane la fondatezza, di assumere nei confronti dell’Avv. XX e per esso XX società di recupero crediti “…. ogni opportuno provvedimento e, in particolare: a) rivolgere alla XX ogni tipo di ammonimento tra cui il risarcimento dei danni morali apportati con la violazione delle norme vigenti; b) di confermare la violazione delle disposizioni vigenti in materia di protezione dati personali; c) applicare i dovuti provvedimenti del caso tenendo conto del grave nocumento di carattere morale e psicologico arrecato alla scrivente.”.

2. L’attività istruttoria.

Questa Autorità in data 30.09.2024 ha chiesto all’avv. XX di fornire le seguenti informazioni:

- ogni elemento utile in merito al trattamento effettuato, con particolare riferimento ai criteri di individuazione dei destinatari della mail a cui è stata inviata la notifica dell’atto ingiuntivo;

- ogni altra deduzione ritenuta rilevante ai fini della valutazione da parte di questa Autorità, della fondatezza o meno del reclamo;

Con nota trasmessa in data 7 ottobre 2024 l’Avv. XX ha fornito il riscontro richiesto rappresentando, tra l’altro, che:

“..(i) In data 28/10/2022 veniva regolarmente notificato a mezzo UNEP [Ufficio Notificazioni, Esecuzioni e Protesti] di XX il XX direttamente a mani della sig.ra XX all’indirizzo di residenza della reclamante…”…

(iii) In data 12/05/2023 il terzo pignorato “XX” in merito all’atto di pignoramento ricevuto, dichiarava nella XX il trattamento economico della sig.ra XX come da informazioni ricevute dall’“XX”. La dichiarazione del terzo ex art. 547 c.p.c. veniva inviata ai seguenti destinatari: - Tribunale Civile di XX Giudice Unico dell’Esecuzione e p.c. XX e Sig. XX”. La dichiarazione del terzo veniva firmata da: XX - XX”, XX- XX, XX - XX, XX - XX”…..;

(v) “In data 15/12/2023 lo scrivente avv. XX, quindi inviava alla XX l’ordinanza di assegnazione emessa all’esito della XX unitamente all’atto di invito al pagamento delle somme assegnate in coda a precedente pignoramento (notificata a mezzo PEC ai sensi di legge ovvero in adempimento del disposto di cui all’art. 553 c.p.c.) al fine di comunicare il provvedimento al terzo pignorato non costituito in giudizio e chiedere il pagamento bonario delle somme assegnate, il tutto con i relativi conteggi. L’invio di detti documenti avveniva tramite PEC con la funzionalità “RISPONDI” al terzo pignorato nonché ai destinatari riportati da quest’ultimo nella PEC con cui aveva reso la dichiarazione del terzo di cui al punto iii).  

In merito, si ritiene, opportuno rimarcare che le persone XX, XX e XX, erano state inserite come destinatari in cc proprio dal mittente XX (come sopra rappresentato). Il risultato è stato, pertanto che, adottando la funzionalità “rispondi” in automatico il sistema inseriva tutti i destinatari indicati dal terzo pignorato nella PEC con cui aveva proceduto alla trasmissione della dichiarazione del terzo; va da sé, dunque, che tali persone erano già perfettamente a conoscenza del procedimento interno e della procedura esecutiva incardinata avverso la reclamante….”.

A seguito delle suddette note trasmesse dall’Avv. XX, in data 8 ottobre 2024, la Sig.ra XX ha integrato il suo reclamo con talune precisazioni riguardanti, tra l’altro, le procedure adottate dai dipartimenti interessati della XX per la gestione della notifica di cui all’oggetto del reclamo.

3. L’avvio del procedimento e le memorie difensive.

L’Autorità, esaminato il contenuto della nota di riscontro pervenuta, ha ritenuto le giustificazioni addotte dall’avvocato XX  non idonee a giustificarne  la condotta alla stregua delle norme in materia di dati personali in quanto, in via principale, nell’utilizzare la funzionalità “rispondi” rispetto alla PEC inviata dal soggetto terzo pignorato, come tra l’altro specificato nella nota di riscontro alla richiesta di informazioni di questa Autorità, oltre all’utilizzo della PEC XX, presente nel registro “Indice PA”, venivano ad includersi nella comunicazione altri soggetti non coinvolti necessariamente nella vicenda, configurandosi quindi una comunicazione di dati personali illegittima in quanto non sorretta da specifica norma di riferimento.

Ciò premesso, con nota del 05.12.2024 veniva notificato all’avvocato XX e per conoscenza, alla reclamante la comunicazione di avvio del procedimento ai sensi dell’articolo 166, comma 5, del Codice per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del Regolamento ritenendo presumibilmente violate le disposizioni di cui agli articoli 5, par. 1, lett. a), del Regolamento, per non avere il titolare trattato i dati del reclamante in modo lecito e corretto e agli articoli 6 e 10 del Regolamento, nonché 2-octies del Codice, per aver il titolare effettuato il trattamento sopra descritto in assenza delle condizioni di liceità previste da dette disposizioni.

Con nota del 3 gennaio 2025 giunta a questa Autorità da parte dell’avv. XX quale difensore dell’Avv. XX, circa la disciplina in materia di notificazioni a mezzo PEC veniva rappresentato che: “….[la] difficoltà di ricostruzione della normativa di riferimento e opposizione tra diversi orientamenti giurisprudenziali, ha portato alla successiva riforma dell’art. 28 D.L. 76/2020, con il quale si è considerato Indice PA utilizzabile ai fini di notifica a mezzo PEC ex art. 3 bis L. 53/1994, a condizione che nel registro PP.AA., situato nel portale dei servizi telematici del Ministero della Giustizia, non risulti presente l’indirizzo PEC della pubblica amministrazione destinataria” e che “l’indirizzo XX” non è presente nel registro PP.AA., ma esclusivamente su Indice PA”.  

Circa il merito della contestazione relativa all’illegittima comunicazione di dati a terzi mediante l’utilizzo della funzionalità “rispondi” che ha coinvolto altri soggetti non interessati dalla vicenda, l’Avv. XX ha rappresentato che: “L’ordinanza di assegnazione inviata dall’avv. XX non contiene nessun dato personale ulteriore rispetto a quelli già precedentemente inviati dalla XX ai destinatari del messaggio di posta elettronica usato per la risposta”… e che in ogni caso tali comunicazioni non riguardavano dati personali di cui all’articolo 10 del Regolamento e all’articolo 2-octies del Codice.

In data 29 gennaio 2025 si è tenuta la richiesta audizione del titolare del trattamento, avv. XX, rappresentato dall’Avv. XX. Nel corso dell’audizione è stato confermato quanto riportato nella memoria difensiva relativamente alla questione della disciplina delle notifiche. È stato inoltre precisato che i destinatari delle mail appartenenti alla XX erano gli stessi che hanno curato la procedura esecutiva per conto dell’Ente, per cui, il titolare del trattamento ha inviato la mail ai soggetti che, secondo la stessa Regione, potevano conoscere l’atto; inoltre che nella mail inviata alla Regione non erano presenti dati giudiziari riferibili a condanne penali e reati ai sensi dell’art. 10 del Regolamento (UE) 679/2016. L’Avv. XX ha inoltre chiesto che laddove il Garante decidesse di procedere comminando una sanzione, di non procedere all’irrogazione della pena accessoria della pubblicazione del provvedimento sul sito del Garante poiché ciò nuocerebbe alla reputazione professionale del titolare del trattamento.

L’avv. XX ha inteso inoltre rappresentare che la reclamante riteneva che la violazione sarebbe stata commessa in primis dalla stessa XX, inviando la suddetta comunicazione ai predetti funzionari dell’Ente e che tuttavia tali funzionari erano perfettamente a conoscenza delle informazioni sull’esecutata quindi non sarebbero occorse violazioni né da parte dell’Ente né, conseguentemente, da parte del titolare del trattamento.

4. L’esito dell’istruttoria.

L’Autorità, esperita l’audizione ed esaminato il contenuto della nota di riscontro svolge le seguenti considerazioni.

Dalla documentazione acquisita agli atti risulta confermata l’illiceità del trattamento di dati personali in argomento in quanto questi sono stati comunicati anche a soggetti che non avevano titolo a conoscerli, con violazione del principio di liceità del trattamento, di cui all’articolo 5, paragrafo 1, lettera a), del Regolamento, data l’assenza di una idonea base giuridica ai sensi dell’articolo 6 del Regolamento, a fondamento di tali ultronee comunicazioni.

L’utilizzo della funzione “rispondi” per trasmettere la documentazione in argomento rivela, inoltre, una scarsa diligenza, da parte del professionista, nel selezionare con il dovuto scrupolo i destinatari legittimi delle predette comunicazioni, ciò in violazione dell’obbligo di correttezza del trattamento dei dati nei confronti dell'interessato, di cui all’articolo 5, paragrafo 1, lettera a), del Regolamento.

5. Conclusioni: dichiarazione di illiceità del trattamento; applicazione delle misure di cui all’articolo 58, paragrafo 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria risultino inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’articolo 11 del regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dall’avvocato dell’Avvocato XX risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento.

L’articolo 83, par. 5, del Regolamento, prevede che la violazione degli articoli 5 e 6 del medesimo Regolamento è punita con sanzione amministrativa pecuniaria di importo fino a venti milioni di Euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Il paragrafo 2 dell’articolo 83 del Regolamento dispone inoltre che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso, si tiene debito conto dei criteri stabiliti dalla disposizione stessa.

Sulla base dei predetti criteri, considerando che: la condotta ha esaurito i suoi effetti; la comunicazione dei dati personali del reclamante ha avuto un numero di destinatari limitati; il trattamento illecito dei dati del reclamante è avvenuto nel corso di un’attività volta ad esercitare un diritto riconosciuto dall’ordinamento; la riforma della disciplina relativa alla notifica via pec da parte degli avvocati ha creato non poche difficoltà interpretative; non risultano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento; non risultano sussistere eventuali fattori aggravanti, quali benefici finanziari conseguiti o perdite evitate, direttamente o indirettamente, quale conseguenza della violazione; si ritiene che nel caso di specie non ricorrano i presupposti per infliggere una sanzione amministrativa pecuniaria di cui all’articolo 58, par. 2, lett. i) del Regolamento.

Essendo comunque stata accertata l’illiceità del trattamento dei dati personali del reclamante, nei termini di cui in motivazione, valutate nel loro complesso le risultanze istruttorie del procedimento, si ritiene di dover irrogare al titolare del trattamento l’ammonimento di cui all’articolo 58, par. 2, lett. b), del Regolamento, per aver violato gli articoli 5, comma 1, lett. a), e 6 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE 

DICHIARA

l’illiceità del trattamento dei dati personali dell’interessato effettuato dall’avvocato XX, per violazione delle disposizioni di cui agli articoli 5, comma 1, lett. a), e 6 del Regolamento.

AMMONISCE

ai sensi dell’articolo 58, par. 2, lett. b), del Regolamento, l’avvocato XX, per aver violato le disposizioni di cui agli articoli 5, comma 1, lett. a) e 6 del Regolamento.

DISPONE

ai sensi dell’articolo 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’articolo 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’articolo 57, par. 1, lett. u), del Regolamento.

Ai sensi degli articoli 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo articolo 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Catanzaro, 21 maggio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE REGGENTE
Filippi