[doc. web n. 10199088]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 629 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo pervenuto.

È pervenuto a questa Autorità un reclamo relativo ad un presunto trattamento illecito dei dati personali della sig.ra XX, dirigente scolastica presso XX, da parte di XX.

In particolare, la signora XX ha rappresentato che un dipendente dell’Istituto scolastico addetto al controllo della casella PEC istituzionale XX, le riferiva che era pervenuta alla suddetta casella di posta certificata una email di XX che la diffidava al pagamento di somme di denaro, nella quale veniva accusata di essersi sottratta al pagamento degli oneri fiscali di successione, enunciando anche situazioni personali dei rapporti tra gli eredi. Orbene, rappresenta la reclamante, l’indirizzo PEC istituzionale, pur essendo connesso alla sua funzione personale è asservito all’Istituto ed è accessibile al personale di segreteria ed ai sostituti della dirigente. Pertanto, la scelta della trasmissione di una diffida di natura strettamente personale ad un indirizzo istituzionale ha determinato la ostensione ingiustificata a terzi di dati personali della reclamante.

2. L’attività istruttoria preliminare.

Questa Autorità ha chiesto a XX di fornire le seguenti informazioni:

• il motivo per il quale ha inviato l’atto di diffida rivolto alla reclamante all’indirizzo PEC dell’Istituto;

• la disponibilità di altri recapiti della reclamante;

• ogni altra deduzione ritenuta utile ai fini della valutazione, da parte di questa Autorità, della fondatezza o meno del reclamo.

XX ha fornito il riscontro richiesto, dichiarando quanto segue:

“La sig.ra XX ha proposto reclamo innanzi al Vostro Organismo al fine di adottare nei confronti dello scrivente Avvocato (a suo dire titolare del trattamento) ogni opportuno provvedimento e, in particolare: “- rivolgere a questi o al responsabile del trattamento avvertimenti o ammonimenti sul fatto che detti trattamenti possono verosimilmente violare, ovvero abbiano violato, le disposizioni vigenti in materia; - ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento, ove previsto”. (doc. 1). Il Garante della Privacy ha lo scopo di assicurare e tutelare il trattamento dei dati personali e di garantire il rispetto della dignità della persona, rivolgendosi ai titolari o ai responsabili dei trattamenti, ai quali vengono indicate le misure da adottare per l’assolvimento di tale compito. Ebbene, nel caso che ci occupa, tuttavia corre l’obbligo di chiarire sin da adesso che non solo lo scrivente non è titolare, né responsabile della raccolta dei dati personali della sig.ra XX, ma cosa ancor più rilevante non ha violato, né utilizzato alcun dato personale della reclamante. Il caso di specie ha infatti ad oggetto l’invio di una missiva a mezzo pec all’indirizzo personale scolastico di cui la sig.ra XX è titolare, e alla stessa unicamente indirizzata (difatti così recitava: Alla C.A. della sig.ra XX)(doc. 2). XX ha agito nel rispetto dei propri adempimenti professionali trasmettendo alla controparte una mera diffida in allegato alla pec personale a Lei assegnata, come peraltro dalla stessa dichiarato nel corpo del suo reclamo. Peraltro, l’indirizzo pec oggetto della presunta violazione risulta indicato nel curriculum vitae, pubblicato nel sito istituzionale dell’Istituto scolastico della reclamante nonché nei vari siti di ricerca, ciò rende evidente e lapalissiano che non vi è stato alcun trattamento illecito di dati, trattandosi di un indirizzo pec pubblicato e indicato proprio dalla stessa (doc. 3). Deve altresì evidenziarsi che il rapporto fra Avvocato e cliente è di natura personale, pertanto sarà titolare del trattamento dei dati personali il singolo professionista a cui il cliente ha conferito mandato. La fattispecie in esame tuttavia non rientra nell’alveo di questo caso, non essendo XX il difensore della sig.ra XX e non avendo la stessa conferito alcun mandato, in ragione della sua posizione di controparte. Ne consegue che il reclamo proposto innanzi al Vostro Organismo risulta inammissibile e/o improcedibile non essendovi i presupposti per l’adozione di alcun provvedimento sanzionatorio, in assenza della qualità in capo allo scrivente di titolare del trattamento e/o responsabile dei dati. Per mero tuziorismo difensivo e per meglio chiarire la vicenda che ci occupa, rilevando il comportamento vessatorio e persecutorio della sig.ra XX, si rappresenta che la stessa ha presentato il medesimo esposto/reclamo innanzi al Consiglio dell’ordine degli Avvocati di Siracusa, chiedendo anche in quella sede l’adozione di provvedimenti sanzionatori (doc 4).

Il XX, del 19/01/2024 si è già espresso disponendo l’archiviazione dell’esposto per manifesta infondatezza della richiesta, specificando che la nota non contiene particolari illustrazioni di vicende familiari o dati sensibili o questioni personali, sottolineando che l’indirizzo pec dovrebbe essere dalla stessa gestito essendone la titolare (doc. 5). Va infatti specificato, solo ad abduntiam, che il corpo della comunicazione recava l’intestazione “Alla C.A. della sig.ra XX”; l’atto di destinazione era in allegato al messaggio e non direttamente visibile a terzi, qualora avessero avuto accesso alla pec. La lamentata violazione dei dati personali rappresentata dalla reclamante non sussiste, non è provata e non ha arrecato alcun danno. Ai fini dell’applicazione di un provvedimento sanzionatorio, anche disciplinare, nei confronti di XX si deve tenere conto: della gravità del fatto, del grado della colpa, della eventuale sussistenza del dolo e della sua intensità, del comportamento dell'incolpato, precedente e successivo al fatto, avuto riguardo alle circostanze, oggettive e soggettive, nel cui contesto è avvenuta la violazione, del pregiudizio eventualmente subito dalla parte assistita e dal cliente, della compromissione dell'immagine della professione forense, della vita professionale dell'incolpato, dei suoi precedenti disciplinari. In tema di trattamento dei dati personali, la l. 21 dicembre 1996 n. 675 non si applica in via generalizzata ad ogni situazione soggettiva comunque riconducibile al novero dei diritti della persona, ma soltanto a quelle attinenti al fenomeno da essa normativamente delineato, precludendo l'accesso soltanto ai documenti relativi ai dati sensibili della persona, dovendosi ritenere che l'interesse alla riservatezza dei dati personali receda qualora il relativo trattamento sia esercitato per la difesa di un interesse giuridicamente rilevante e nei limiti in cui sia necessario per la tutela. Ne consegue che, ove vi sia stata una divulgazione di dati personali, non si realizza necessariamente una violazione della citata legge, dovendosi comunque effettuare una comparazione, affidata al giudice di merito, tra gli interessi coinvolti (Cassazione civile sez. lav., 30/06/2009, n. 15327). Ed ancora ed in via analogica: “La produzione in giudizio di documenti contenenti dati personali è sempre consentita ove necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare e quali che siano le modalità con cui è stata acquisita la loro conoscenza. La facoltà di difendersi in giudizio utilizzando gli altrui dati personali va tuttavia esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza previsti dall'art. 9, lettere a) e d) della legge n. 675 del 1996, sicché la legittimità della produzione va valutata in base al bilanciamento tra il contenuto del dato utilizzato, cui va correlato il grado di riservatezza, e le esigenze di difesa” (Cassazione civile sez. III, 11/02/2009, n.3358). Per tutte le ragioni esposte, non sussistendo i presupposti per la sanzione della condotta tenuta dallo scrivente, come meglio sopra generalizzato, SI CHIEDE l’archiviazione del procedimento per mancato accertamento della violazione lamentata nel reclamo o oggetto di segnalazione.”.

Occorre innanzitutto premettere che i ripetuti richiami, contenuti nella nota di riscontro di XX, alla legge n. 675 del 1996, risultano obsoleti, in quanto tale legge è stata abrogata nel 2003 (cfr. d. lgs. 30 giugno 2003, n. 196 recante il Codice in materia di protezione dei dati personali) ed il quadro normativo attuale di riferimento è rappresentato dal Regolamento (UE) 2016/679 e dal Codice sopra citati.  

Dagli atti della istruttoria preliminare e dalle dichiarazioni di entrambe le parti è risultato accertato che XX ha inviato alla reclamante una “diffida XX”, come allegato ad una pec inviata all’indirizzo email XX, nel cui oggetto era testualmente indicato “Diffida ad adempiere e messa in mora”.

E’ stato, altresì, accertato che la diffida riguardava questioni personali della reclamante, attinenti alla ripartizione degli oneri tributari connessi ad una successione ereditaria; tuttavia, la stessa non è stata inviata ad un recapito di posta elettronica riferibile alla persona della reclamante, bensì ad un indirizzo di posta elettronica istituzionale XX e, come tale, accessibile non solo al dirigente scolastico dottoressa XX, ma anche al personale di segreteria ed ai sostituti della dirigente.

XX ha sostenuto di non potere essere considerato titolare del trattamento dei dati personali della reclamante negando persino che nella fattispecie fosse stato utilizzato un dato personale della medesima.

Tali assunti non sono parsi corretti all’Ufficio, in quanto, ai sensi dell’articolo 4, par. 1, n. 1 del Regolamento, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”.

Per altro verso, l’articolo 4, par. 1, n. 7 del medesimo Regolamento definisce titolare del trattamento “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.”.

Orbene, non v’era dubbio, dunque, che l’informazione secondo cui la signora XX risultava destinataria di una diffida ad adempiere e messa in mora – recata espressamente nell’oggetto della email - costituisse un dato personale della medesima.

Analogamente, XX, alla luce delle definizioni legali sopra indicate, risultava senz’altro titolare del trattamento dei dati personali della reclamante, ossia colui che ha determinato le finalità ed i mezzi del trattamento (id est, la comunicazione della diffida) dei dati personali della signora XX, avente a sua volta la posizione di “interessato” ossia la persona alla quale i dati personali oggetto di trattamento di riferiscono (cfr. ancora l’art. 4, par. 1, n. 1 del Regolamento).

In altre parole, è titolare del trattamento chi tratta i dati di un soggetto per finalità e con modalità da lui determinate, indipendentemente dall’esistenza di rapporti contrattuali o di altro tipo (nella specie: mandato difensivo) esistenti tra loro.

Ciò premesso, l’utilizzo della pec istituzionale dell’Istituto scolastico per l’invio di comunicazioni personali alla signora XX che nulla hanno a che fare con la professione di dirigente scolastico della medesima o con l’Istituto stesso, non appariva conforme alla normativa in materia di dati personali.

La circostanza evidenziata da XX che l’indirizzo pec oggetto della presunta violazione risultava indicato nel curriculum vitae della reclamante, pubblicato nel sito istituzionale dell’Istituto scolastico, nonché nei vari siti di ricerca, non è sembrata rilevante, in quanto non idonea a integrare i requisiti di elezione del domicilio digitale (cfr. artt. 3-bis e 6-quater Codice amministrazione digitale - CAD; Linee Guida AgiD dell’Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese dell’ 8 agosto 2023).

Infine, i datati precedenti giurisprudenziali citati da XX – riferiti ad un quadro normativo, si ripete, non più vigente da tempo – relativi alla irrilevanza del consenso dell’interessato per l’utilizzo di dati personali necessari per la difesa in giudizio, apparivano inconferenti, in quanto tale disposizione, anche nell’attuale contesto normativo, non consente la comunicazione di tali dati a terzi del tutto estranei alla tutela del diritto che si intende tutelare.

Di contro, XX non ha risposto alle richieste del Garante in ordine all’illustrazione del motivo per il quale l’atto di diffida è stato inviato alla reclamante all’indirizzo PEC dell’Istituto, né ha dimostrato di avere ricercato diligentemente altri recapiti personali della reclamante.

In base a quanto sopra rappresentato, dalla valutazione dell’Ufficio all’esito dell’istruttoria preliminare discendeva che i dati personali del reclamante erano stati comunicati con modalità tali da renderli disponibili ad uno o più soggetti determinati diversi dall’interessato in presunta assenza di una idonea base giuridica oltre che in violazione del principio di liceità del trattamento (artt. 5, par. 1, lett. a) e 6 del Regolamento).

3. La notifica delle violazioni e le memorie difensive.

Sulla base delle risultanze dell’istruttoria preliminare e della loro valutazione nei termini sopra descritti, l’Ufficio ha notificato a XX, in qualità di titolare del trattamento e alla Sig.ra XX, nella qualità di interessata reclamante, l’avvio del procedimento per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del Regolamento,  ai sensi degli articoli 77 e segg. del Regolamento, dell’articolo 166 del Codice e degli articoli 12 e segg. del regolamento 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonché all’adozione dei provvedimenti correttivi e sanzionatori (pubblicato sulla Gazzetta Ufficiale n. 106 dell' 8 maggio 2019 e reperibile nel sito web dell’Autorità (https://www.garanteprivacy.it/web/guest/home), indicando, oltre agli avvisi di rito sul diritto di difesa:

a) quale oggetto del procedimento, il trattamento dei dati personali della signora XX da parte di XX, consistente nella comunicazione all’indirizzo pec dell’Istituto scolastico presso cui la reclamante lavora, di dati personali della reclamante, in presunta violazione dei principi e delle regole applicabili al trattamento dei dati personali rispetto al caso di specie;

b) quali disposizioni presumibilmente violate: gli articoli 5, par. 1, lett. a) e c), e 6 del Regolamento, per aver il titolare effettuato il trattamento sopra descritto in assenza delle condizioni di liceità previste da dette disposizioni;

c) quali disposizioni sanzionatorie relative alle predette presunte violazioni, quelle previste dall’articolo 83, paragrafo 5, lett. a), del Regolamento, a norma del quale le violazioni delle disposizioni relative ai principi di base del trattamento sono soggette alle sanzioni amministrative pecuniarie fino a venti milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

XX ha trasmesso all’Ufficio del Garante memoria difensiva, rappresentando quanto segue:

”Premesso che La sig.ra XX ha proposto reclamo innanzi al Vostro Organismo al fine di adottare nei confronti dello scrivente Avvocato (a suo dire titolare del trattamento) ogni opportuno provvedimento e, in particolare: “- rivolgere a questi o al responsabile del trattamento avvertimenti o ammonimenti sul fatto che detti trattamenti possono verosimilmente violare, ovvero abbiano violato, le disposizioni vigenti in materia; - ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento, ove previsto”.

Il GPDP, dopo il deposito delle memorie difensive del sottoscritto, notificava in data 18/3/2025 l’avvio di procedimento consentendo memorie difensive nei 30 giorni.

Il caso di specie ha ad oggetto l’invio di una missiva a mezzo pec all’indirizzo personale scolastico di cui la sig.ra XX è titolare e/o Custode essendo la dirigente scolastica, e alla stessa unicamente indirizzata (difatti così recitava: Alla C.A. della sig.ra XX).

Il Garante dei dati personali si duole dell’invio della missiva alla pec istituzionale della sig.ra XX, ritenendo la stessa una lesione della privacy.

Occorre però rilevare due decisive circostanze anche ai fini della commisurazione dell’eventuale provvedimento sanzionatorio che il Garante della Privacy vorrà adottare nei confronti dello scrivente:

- Innanzitutto, è bene precisare che l’indirizzo pec oggetto della presunta violazione risulta indicato nel curriculum vitae della istante sig.ra XX, pubblicato nel sito istituzionale dell’Istituto scolastico della reclamante, nonché nei vari siti di ricerca. La circostanza legittima, dunque, inducendolo anche in errore, l’utilizzo di tale indirizzo ai fini di comunicazioni alla stessa indirizzate.

In secondo luogo, è bene precisare altresì che la comunicazione non era leggibile sul testo della pec, ma era contenuta all’interno di un file alla stessa allegato e dunque non visibile a tutti se non appositamente aperto (doc. 2), come peraltro dalla stessa dichiarato nel corpo del suo reclamo, ove si legge testualmente “…è stata dotata di indirizzo pec istituzionale XX, che pur essendo connessa alla funzione personale…”. Tale circostanza non può considerarsi di poco conto se si tiene presente che era specificamente indicato che si trattava di un file indirizzato alla esclusiva attenzione della sig.ra XX.

- Altra circostanza, non di meno rilievo, è il contenuto della missiva che non riporta alcuna informazione lesiva della privacy, laddove non riporta illustrazioni di vicende familiari o dati sensibili o questioni personali. Quest’ultima circostanza è infatti confermata dal provvedimento di archiviazione adottato dal XX, il quale in data 19/01/2024, a seguito dell’esposto dell’istante, si è espresso disponendo l’archiviazione per manifesta infondatezza della richiesta, specificando che la nota non contiene particolari illustrazioni di vicende familiari o dati sensibili o questioni personali, sottolineando che l’indirizzo pec dovrebbe essere dalla stessa gestito essendone la titolare.

La lamentata violazione dei dati personali rappresentata dalla reclamante non solo dunque non sussiste, ma non è neanche provata e non ha arrecato alcun danno, infatti le lagnanze di controparte sono meramente labiali. Si aggiunga che in passato il tema era dibattuto nella giurisprudenza di merito, che ha oscillato tra un orientamento che nega la possibilità di notifiche personali alla PEC professionale (Trib. Roma ord. 26/1/2019, Trib. Asti 18/4/2021 n. 411, Trib. Bologna ord. 7/7/2021, Garante Privacy parere 22/7/2021, Trib. Savona 29/6/2023 n. 468) ed un altro che invece le consente in assenza di espressa previsione contraria (C. App. Torino 27/1/2016 n. 128, C. App. Milano 18/10/2022 n. 3302, C. App. Bari 10/9/2024 n. 1125).

In merito La Suprema Corte in passato si era limitata incidenter tantum a ritenere valida la notifica alla PEC di un avvocato anche di atti inerenti al suo incarico di curatore speciale ad processum ex art. 78 c.p.c., pur non riferibili alla sua costituzione in giudizio quale procuratore ma comunque correlate all'attività professionale svolta senza lesione quindi della sua riservatezza personale (Cass. 2/4/2024 n. 8685) e a ritenere il ricorso per l'estensione del fallimento al socio occulto validamente notificato presso il suo indirizzo PEC, pur attivato in relazione all'attività professionale di medico estranea all'impresa fallita (Cass. 6/5/2024 n. 12134, citata nel provvedimento in commento).

Con l’ordinanza ordinanza n. 1615 pubblicata il 22/1/2025, la Cassazione è intervenuta su due questioni di vivo interesse, stabilendo da un lato che è valida la notifica alla PEC di un’attività professionale anche per atti ad essa estranei e dall’altro che l’onere della prova contraria sull’inclusione di un indirizzo PEC in uno dei pubblici registri grava sul destinatario. Occorre peraltro rilevare che il caso qui in commento (come i precedenti) verte su una notifica effettuata in data (nella specie, 10/2/2022) anteriore all’avvio dell’INAD, consultabile dal 6/7/2023, ma la conclusione non dovrebbe mutare per notifiche successive, con la precisazione che, per rispettare le esigenze di riservatezza segnalate dal Garante Privacy, il notificante di atti personali da tale data ha l’onere di verificare in INAD la presenza di PEC personale del professionista, utilizzando quella nel caso in cui quest’ultimo si sia avvalso della facoltà ex art. 6-quater d.lgs. 82/2005 di ivi indicarla e, in caso contrario, il domicilio digitale professionale presente negli altri pubblici elenchi ex art. 3-ter L. 53/1994.  Si aggiunga che il sottoscritto Avvocato alla data del 23.08.2023 ha verificato l’esistenza di ulteriori Pec in capo alla sig.ra XX, con esito negativo.  La stessa sig.ra XX non indica quale indirizzo di posta certificata alternativo alla sua pec dedicata alla sua veste professionale avrebbe potuto utilizzare lo scrivente.  

Ai fini dell’applicazione di un provvedimento sanzionatorio, anche disciplinare, nei confronti di XX si deve tenere conto: della gravità del fatto, del grado della colpa, del comportamento dell'incolpato, precedente e successivo al fatto, avuto riguardo alle circostanze, oggettive e soggettive, nel cui contesto è avvenuta la violazione, del pregiudizio eventualmente subito dalla parte assistita e dal cliente, della compromissione dell'immagine della professione forense, della vita professionale dell'incolpato, dei suoi precedenti disciplinari. Si rappresenta, come richiesto, che lo scrivente ha utilizzato l’unica pec esistente in capo alla dott.ssa XX, da lei stessa pubblicizzata nel suo curriculum vitae e nei vari siti internet e che lei stessa definisce connessa alla funzione personale e senza di fatto comunicare alternative pec allo stato esistenti. Chiaro ed evidente che lo stesso si è trovato in mezzo a dissidi familiari tra la sig.ra XX e XX, tra cui pendono diversi giudizi, inconsapevole di aver accettato un incarico ove sussiste astio tra le parti, tale da dover difendersi da un esposto al consiglio dell’ordine degli avvocati (archiviato per infondatezza) e del reclamo innanzi l’intestato Ente, fatti della sig.ra XX, per il medesimo fatto. Considerato che

- Il dirigente scolastico è il rappresentante legale dell’istituto, pertanto l’unico ad avere accesso ai canali di corrispondenza essendone il custode, salvo delega ai suoi sottoposti di cui non v’è prova agli atti;

- Contrariamente a quanto asserito dalla dott.ssa XX la comunicazione inviata non conteneva alcun riferimento alle vicissitudini personali e familiari, ma si trattava di una mera diffida alla refusione di spese sostenute da XX; non vi era pertanto alcun riferimento a dati processuali e/o giudiziari, come denunciato falsamente in reclamo dalla sig.ra XX, facilmente riscontrabile in missiva.

- Il corpo della Pec recava l’intestazione “Alla C.A. della sig.ra XX”; l’atto di destinazione era allegato al messaggio unitamente alla documentazione allegata concernente il titolo sotteso alla richiesta del rimborso. Sul punto si osserva che, quantunque il messaggio sia stato letto dai collaboratori, essi non avrebbero dovuto aprire gli allegati, bensì informare la destinataria, per come da intestazione.

- La dott.ssa XX non ha provato di essere stata informata da terzi sul contenuto della comunicazione, né ha prodotto deleghe fatte a terzi dell’uso della pec ed, ancora, non ha fornito adeguato riscontro del danno paventato ed altresì la stessa non era provvista di altro indirizzo pec di riferimento come da curriculum vitae.

- Sul sito del Ministero dell’Istruzione si legge che lo stesso “mette a disposizione del personale una casella di posta elettronica istituzionale, sempre dalla stessa confermato in reclamo.

Per tutte le ragioni esposte, non sussistendo i presupposti per la sanzione della condotta tenuta dallo scrivente, come meglio sopra generalizzato, SI CHIEDE  L’archiviazione del procedimento per mancato accertamento della violazione lamentata nel reclamo oggetto di segnalazione, infatti a difettare è il requisito dell’aver comunicato a terzi dati personali.

In subordine, qualora l'autorità di controllo ravvisi responsabilità nell’operato del sottoscritto, tenendo conto di tutte le circostanze del caso concreto (episodio isolato e privo di conseguenze per la parte essendo titolare della Pec di destinazione della missiva, esclusione di dati sensibili e/o di informazioni di procedure giudiziali, come dalle stessa falsamente dichiarato dalla reclamante, insussistenza di precedenti violazioni pertinenti commesse dal titolare del trattamento), voglia qualificare la condotta come “violazione minore”, ritenendo sufficiente l'ammonimento del titolare del trattamento, ai sensi dell’art. 58.2, lett. b), Gdpr, non ricorrendo i presupposti per l’adozione di ulteriori misure correttive.”.

4. L’esito dell’istruttoria.

A conclusione dell’attività istruttoria risulta accertato che XX ha effettuato un trattamento di dati personali della reclamante consistente nella comunicazione alla PEC dell’Istituto scolastico dell’informazione che la medesima era destinataria di una “Diffida ad adempiere e messa in mora”, presente nell’oggetto della email inviata e, quindi, di immediata visualizzazione.

Il trattamento è consistito nella comunicazione dei predetti dati personali tramite la PEC dell’istituto scolastico presso cui la reclamante lavora, benché questi non avessero alcuna attinenza con l’Istituto stesso o con l’attività lavorativa svolta dalla reclamante presso il medesimo. In tal modo, è stata consentita l’ostensione di tali dati personali a terzi che non ne erano legittimi destinatari, in specie del dipendente dell’istituto addetto al controllo della casella PEC istituzionale.

Il trattamento è stato effettuato da XX in qualità di titolare del trattamento, avendo determinato le finalità e i mezzi del trattamento (art. 4, par. 1, n. 7 del Regolamento).

Risulta altresì accertata l’infondatezza degli argomenti dedotti da XX a giustificazione del trattamento dei dati personali della reclamante sia con la nota di riscontro alla richiesta di informazioni del Garante in sede di istruttoria preliminare, che con il successivo atto difensivo a seguito della notifica di apertura del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui al Regolamento.

In particolare, ferme restando le valutazioni sopra riportate con riferimento agli argomenti difensivi già espressi da XX nella nota di riscontro al Garante, per le quali si rinvia amplius al punto 2 che precede, si ritiene che anche le ulteriori considerazioni da ultimo espresse dal legale nella nota difensiva in ordine ad alcune sentenze in tema di notifiche di atti giudiziari tramite PEC risultino inconferenti.

Ed invero, i precedenti  giurisprudenziali citati dallo XX attengono all’efficacia di notifiche di atti giudiziari dirette ad un professionista il cui indirizzo digitale era presente in pubblici registri, mentre la reclamante non è un professionista e, come tale, non è destinataria di alcun obbligo legale a dotarsi di domicilio digitale che, in effetti, non è presente in elenchi pubblici; del resto, consultando l’IPA (Indice dei domicili digitali della Pubblica Amministrazione) gestito dall’AGID (Agenzia per l'Italia digitale), l’indirizzo PEC XX risulta facente capo al XX e non già alla signora XX.

Pertanto, il trattamento dei dati personali della reclamante effettuato da XX risulta effettuato in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento, per non avere il titolare trattato i dati del reclamante in modo lecito, corretto e trasparente e per averli trattati in assenza di un’adeguata base giuridica.

6. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni del titolare del trattamento e la documentazione fornite nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’articolo 11 del regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da XX risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento, per non avere il titolare trattato i dati del reclamante in modo lecito, corretto e trasparente (art. 5, cit.) e per aver effettuato il trattamento sopra descritto in assenza delle condizioni di liceità previste dal predetto articolo 6.

Sulla base dei criteri indicati dall’articolo 83 del Regolamento, considerando che la condotta ha esaurito i suoi effetti, che il numero di interessati e dei terzi coinvolti è limitato e che non risultano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento, si ritiene che nel caso di specie non ricorrano i presupposti per infliggere una sanzione amministrativa pecuniaria di cui all’articolo 58, par. 2, lett. i) del Regolamento.

Essendo comunque stata accertata l’illiceità del trattamento di dati personali nei termini di cui in motivazione, si ritiene di dover ammonire, ai sensi dell’articolo 58, par. 2, lett. b) del Regolamento, XX, per aver violato gli articoli 5, par. 1, lett. a) e 6 del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’articolo 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

DICHIARA

l'illiceità del trattamento dei dati personali della signora XX effettuato dall’avvocato XX per violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento, ai sensi di cui in motivazione;

AMMONISCE

XX per avere effettuato un trattamento di dati personali in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento;

DISPONE

a) ai sensi dell’articolo 154-bis, comma 3, del Codice e dell’articolo 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

b) ai sensi dell’articolo 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’articolo 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’articolo 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’articolo 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo articolo 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza