I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-04-17 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96678' · pdf

Email lavoratore - Ordinanza ingiunzione nei confronti di Associazione Nazionale Magistrati 11 gennaio 2023 [9868111]

abstract:



documento annotato il 17.04.2023

Fonte: GPDP
Link: https://gpdp.it/web/guest/home/docweb/-/docweb-dis




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Ordinanza ingiunzione nei confronti di A
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. Il reclamo.
  • 2. Il riscontro dell’ANM.
  • 3. La normativa in materia di protezione
  • 4. Valutazioni dell’Ufficio.
  • 5. Conclusioni
  • TUTTO CIÒ PREMESSO, IL GARANTE
  • ORDINA
  • INGIUNGE
  • DISPONE



testo:

E

estimated reading time: 16 min

[doc. web n. 9868111]

Ordinanza ingiunzione nei confronti di Associazione Nazionale Magistrati - 11 gennaio 2023

Registro dei provvedimentin. 20 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal dott. XX nei confronti dell’Associazione Nazionale Magistrati;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Il dott. XX, magistrato in servizio presso la Procura della Repubblica presso il Tribunale di XX, ha contestato un illecito Trattamento dei propri Dati personali da parte dell’Associazione Nazionale Magistrati (di seguito, “ANM” o “Associazione”), cui l’interessato è iscritto.

Lamenta l’istante di aver ricevuto dal Responsabile dell’Ufficio Segreteria del Procuratore, in data 19 marzo 2021, “una busta contenente una nota riservata […] [concernente] la notizia dell’apertura di un procedimento disciplinare interno all’ANM aperto nei propri confronti”.

A seguito di tale consegna, l’istante apprendeva che la suddetta nota riservata, unitamente al relativo messaggio di accompagnamento, erano stati trasmessi via e-mail dall’ANM, in data 18 marzo 2021, non già al proprio indirizzo di posta elettronica personale (XX), peraltro nella piena disponibilità dell’Associazione e “ben conosciuto dal mittente”, bensì all’indirizzo di posta elettronica certificata dell’Ufficio Protocollo della Procura della Repubblica presso cui l’interessato presta servizio (XX).

La trasmissione del suddetto messaggio e della nota ivi allegata a un indirizzo e-mail non personale, nonché la successiva stampa e consegna brevi manu di quest’ultima all’interessato da parte degli uffici della Procura avrebbero determinato, a detta dell’istante, un’indebita divulgazione dei propri Dati personali a soggetti terzi (dapprima, gli addetti all’Ufficio del Protocollo; successivamente, il Procuratore e il personale del relativo Ufficio di Segreteria) non legittimati ad averne cognizione.

Peraltro, l’oggetto stesso della missiva (“Comunicazione Collegio dei Probiviri Anm”), in uno con la denominazione del file ad essa allegato (“avviso dott. XX”), sarebbero state per sé sole sufficienti, indipendentemente dall’apertura e lettura di quest’ultimo, a disvelare il contenuto – o quantomeno il tenore – della comunicazione.

Ritenendo tale divulgazione in violazione della disciplina in materia di protezione dei dati personali, l’istante ha chiesto l’intervento dell’Autorità per l’adozione dei correlati provvedimenti del caso.

A riprova delle dichiarazioni rese, il reclamante ha prodotto:

− copia della e-mail inviata dall’ANM alla Procura della Repubblica in data 18 marzo 2021, recante il seguente testo: “Alla cortese attenzione del Dott. XX - Inoltriamo, allegata alla presente, comunicazione riservata alla Sua persona da parte del Collegio dei Probiviri. Cordiali saluti”;

− copia dell’avviso ivi allegato, contenente l’informativa relativa al procedimento disciplinare avviato dall’Associazione nei suoi confronti;

− copia di una nota, datata 24 marzo 2021, con cui il Responsabile della Segreteria del Procuratore, preso atto del contenuto della e-mail, dava conto all’interessato delle istruzioni ricevute dallo stesso Procuratore in merito alla consegna “nelle Sue mani” della predetta comunicazione.

2. Il riscontro dell’ANM.

Con nota del 13 luglio 2022, l’ANM ha fatto pervenire le proprie osservazioni in merito alla vicenda, confermando che, in applicazione di un’apposita disposizione del Regolamento procedurale sull’attività disciplinare del Collegio dei Probiviri (art. 6, a mente del quale il Collegio “dà avviso al magistrato interessato mediante comunicazione riservata a cura della segreteria, presso l’Ufficio in cui egli presta servizio o presso il luogo in cui anche temporaneamente si trova”), la segreteria dell’Associazione ha provveduto a trasmettere, all’indirizzo di posta elettronica certificata della Procura della Repubblica presso cui opera l’istante, una comunicazione contenente in allegato l’avviso di apertura di un procedimento disciplinare nei suoi confronti, corredandola però con la “specifica indicazione della natura riservata e personale della comunicazione medesima”.

Tale accorgimento, nella prospettiva indicata dall’Associazione, avrebbe dovuto garantire confidenzialità e riservatezza ai Dati personali dell’interessato, assicurando la consegna del messaggio e del relativo avviso allegato direttamente e unicamente a quest’ultimo.

Sennonché, la medesima Associazione ha dichiarato di aver comunque modificato, successivamente, la propria prassi operativa, specificando che nel “prosieguo delle attività del Collegio dei probiviri e con riferimento ad altri magistrati incolpati si è poi preferito affidare la comunicazione della contestazione degli addebiti ad altre forme di comunicazione, utilizzando l’indirizzo di posta elettronica personale del magistrato di volta in volta interessato”.

A maggior chiarimento dell’accaduto, il Collegio dei Probiviri ha fatto pervenire le proprie ulteriori osservazioni (nota del 18 luglio 2022), specificando che:

− l’utilizzo dell’indirizzo XX, pur nella disponibilità dell’Associazione, non garantiva sicurezza in merito alla riservatezza della comunicazione, stante la dichiarata prassi secondo cui molti magistrati metterebbero a disposizione dei propri collaboratori gli indirizzi email istituzionali “per le esigenze funzionali dell’ufficio”;

− non era noto all’Associazione l’indirizzo di posta elettronica privato e personale dell’interessato;

− l’indirizzo p.e.c. utilizzato era riconducibile all’Ufficio “ove giungono tutte le comunicazioni riservate o segrete a esso destinate” e il cui personale è tenuto al segreto ai sensi dell’art. 49 del d.lgs. n. 82/2005 (Codice dell’amministrazione digitale);

− era compito degli stessi addetti al protocollo “smistare” la corrispondenza al diretto interessato, senza procedere all’apertura del messaggio;

− non è dato sapere se vi sia stata materiale apprensione del contenuto della comunicazione da parte dell’addetto alla corrispondenza.

Rispetto al caso di specie, non sarebbero stati pertanto ravvisabili, a detta del Collegio dei Probiviri, profili di inosservanza della disciplina in materia di protezione dei dati personali, vieppiù in ragione del fatto che le condotte del magistrato sarebbero state già note a seguito di una sua pregressa intervista riportata nel volume “XX”.

Valutate le complessive risultanze in atti, l’Ufficio ha provveduto a notificare all’Associazione, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento correttivo e sanzionatorio in relazione alla violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento (nota del 2 novembre 2022).

L’Associazione ha fatto pervenire le proprie memorie, in data 10 dicembre 2022, nelle quali ha ribadito, in particolare, che:

− il Collegio dei Probiviri “aveva, in un primo momento, ritenuto che l’utilizzo dell’indirizzo di posta elettronica certificata dell’Ufficio giudiziario di appartenenza dell’interessato, con la specificazione della natura riservata della comunicazione, rispondesse alla duplice esigenza di assicurare la ricezione dell’atto da parte del destinatario, da un lato, e la confidenzialità delle informazioni ivi contenute, dall’altro, considerata, in particolare, la posizione di garanzia che assume, all’interno degli uffici giudiziari, il personale amministrativo addetto alla ricezione della posta, vincolato al segreto ai sensi dell’art. 49 del Codice dell’Amministrazione Digitale”;

− “già dal mese di marzo 2021, il Collegio dei Probiviri ha […] dato indicazioni al personale addetto alla Segreteria Generale dell’ANM di trasmettere le comunicazioni relative ai procedimenti disciplinari endoassociativi unicamente tramite raccomandata A/R ed agli indirizzi di posta elettronica istituzionale degli interessati, ritenendo che tale modalità di comunicazione potesse garantire maggiormente la riservatezza delle informazioni ivi contenute”;

− l’Associazione “si duole […] della lamentata indebita diffusione di informazioni riservate del Dott. XX, nella ragionevole convinzione che si sia trattato di un fatto unico e isolato”.

3. La normativa in materia di protezione dei dati personali.

In base all’art. 24 del RGPD, “il Titolare del Trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il Trattamento è effettuato conformemente al presente regolamento”. “Tali misure dovrebbero tener conto, tra l’altro, del rischio per i diritti e le libertà delle persone fisiche” (considerando n. 74 del RGPD).In base all’art. 25 del RGPD, è poi previsto che il titolare, “sia al momento di determinare i mezzi del Trattamento sia all'atto del Trattamento stesso […] mette in atto misure tecniche e organizzative adeguate, […], volte ad attuare in modo efficace i principi di protezione dei dati, quali la min imizzazione, e a integrare nel Trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Ai sensi dell’art. 32 del RGPD, il Titolare del Trattamento è inoltre tenuto a “[…] mett[ere] in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”; “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal Trattamento che derivano in particolare […] dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a Dati personali trasmessi, conservati o comunque trattati”. 

Al fine di “mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il Titolare del Trattamento […] dovrebbe [quindi] valutare i rischi inerenti al Trattamento e attuare misure per limitare tali rischi […]. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei Dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal Trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a Dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale” (Considerando n. 83 del RGPD).

Il Trattamento dei dati personali, infine, deve avvenire nel rispetto dei princìpi applicabili al Trattamento (art. 5, par. 1, lett. a) -f) del RGPD), tra cui quello di “integrità e riservatezza”, a mente del quale i Dati personali sono “trattati in maniera tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Come noto, il Titolare del Trattamento è competente per il rispetto dei suddetti princìpi e deve essere in grado di comprovarne l’osservanza (art. 5, par. 2, del RGPD).

4. Valutazioni dell’Ufficio.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalle parti nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che l’ANM, nel notificare l’atto di avvio di un procedimento disciplinare nei confronti dell’odierno reclamante, ha utilizzato − in applicazione di un’apposita disposizione del Regolamento procedurale sull’attività disciplinare del Collegio dei Probiviri e nella convinzione che la dicitura “riservata” apposta alla comunicazione fosse sufficiente a soddisfare le esigenze di confidenzialità delle informazioni ivi contenute −, l’indirizzo di posta elettronica certificata dell’Ufficio Protocollo della Procura della Repubblica presso cui l’interessato presta servizio (XX), in luogo di quello personale a lui riconducibile, pur nella disponibilità dell’Associazione. 

Sebbene tale inoltro sia avvenuto in attuazione di una precisa disposizione interna all’Associazione e sia stato dettato dalla necessità di acquisire certezza in merito all’avvenuta consegna e ricezione dell’atto da parte dell’interessato, deve tuttavia rilevarsi che la condotta posta in essere dall’ANM, in ragione delle motivazioni di seguito riportate, non risulta conforme alla disciplina in materia di protezione dei dati personali.

Ed infatti, premessa l’estraneità degli Uffici della Procura al rapporto (e alle relative vicissitudini) intercorrente tra l’ANM e l’odierno istante, rilevato altresì che l’Associazione ha ritenuto di non poter utilizzare l’indirizzo e-mail “istituzionale” dell’interessato, ancorché nella propria disponibilità, per l’assenza di garanzie di riservatezza in merito ai destinatari del messaggio (salvo poi trasmettere, però, lo stesso messaggio a un indirizzo p.e.c. non personale, accessibile da una pluralità di persone), vale qui rilevare che la scelta dell’ANM di trasmettere la suddetta comunicazione a un indirizzo di posta elettronica diverso da quello indicato a suo tempo dall’istante ha determinato, nei fatti, la conoscenza di informazioni a lui riferite che avrebbero dovuto rimanere confidenziali.

Le argomentazioni addotte a difesa dall’ANM, volte a dimostrare la legittimità del proprio operato e l’infondatezza delle contestazioni mosse, non risultano invero idonee a superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento sopra richiamato.

La conoscenza dei Dati personali dell’interessato, da parte di soggetti non titolati ad averne cognizione, si sarebbe infatti potuta agevolmente evitare, nel caso in esame, semplicemente inviando la e-mail qui contestata all’indirizzo di posta elettronica individuale nella disponibilità dell’Associazione, tra l’altro verosimilmente acquisito – considerata la natura stessa del dato – proprio a scopo di contatto con l’istante.

Né, al riguardo, risulta di ostacolo la circostanza – pure addotta dall’ANM in corso di istruttoria – secondo cui l’impiego di tale indirizzo e-mail non sarebbe stato assistito da adeguate garanzie di riservatezza, posto che l’Associazione non è tenuta a conoscere e/o a valutare le modalità di utilizzo degli indirizzi di posta elettronica (quand’anche ipoteticamente condivisi con altri collaboratori) da parte dei propri iscritti.

Quanto alle esigenze di certezza circa l’effettiva ricezione e conoscenza dell’atto notificato da parte dell’istante, basti qui rilevare che sarebbe stato sufficiente, allo scopo, avvalersi di altri idonei strumenti offerti in proposito dall’ordinamento, quali la trasmissione di una raccomandata A/R all’indirizzo postale dell’istante (soluzione, del resto, prefigurata dalla stessa Associazione nella nota del 10 dicembre 2022). In ogni caso, sarebbe stato compito di quest’ultima contattare l’interessato al fine di farsi rilasciare eventuali recapiti alternativi presso cui trasmettere, in modo, certo, sicuro e riservato, la comunicazione qui considerata.

Alla luce delle considerazioni che precedono e della documentazione acquisita agli atti, risulta quindi che l’ANM ha trattato Dati personali dell’interessato in difformità da quanto stabilito dalla disciplina vigente in materia di protezione dei dati personali, avuto specifico riguardo alle disposizioni di cui agli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento.

5. Conclusioni

La violazione delle disposizioni sopra richiamate, oltre all’adozione dei provvedimenti correttivi di cui all’art. 58, par. 2, del Regolamento, può portare alla comminazione di sanzioni amministrative pecuniarie (art. 83, parr. 1 e 5, del Regolamento).

Rispetto al primo profilo, l’ANM ha dichiarato, nel corso del procedimento, e assumendosi ogni responsabilità al riguardo (art. 168 del Codice), di aver già provveduto volontariamente a rettificare la propria prassi operativa, privilegiando l’inoltro delle comunicazioni di avvio dei procedimenti disciplinari agli indirizzi personali (e-mail o postali) dei singoli magistrati di volta in volta interessati (note del 13 luglio 2022 e 10 dicembre 2022, cit.).

Alla luce di tali risultanze, si ritiene pertanto possibile soprassedere in merito all’adozione di un provvedimento ingiuntivo nei confronti dell’Associazione (art. 58, par. 2, lett. d), del Regolamento), avendo quest’ultima dichiarato di aver già adottato, ai fini dell’inoltro ai propri iscritti delle comunicazioni di avvio dei procedimenti disciplinari, una prassi conforme disciplina in materia di protezione dei dati personali.

Per quanto attiene all’irrogazione e quantificazione di eventuali sanzioni, posto che queste ultime devono essere in ogni singolo caso “effettive, proporzionate e dissuasive” (art. 83, par. 1, del Regolamento), occorre qui procedere a una valutazione che tenga in debito conto, singolarmente e nel loro complesso, di tutti gli elementi previsti dall’art. 83, par. 2, lett. a)-k), del Regolamento, rapportati al caso concreto.

In relazione alla fattispecie in esame, si ritiene che debbano essere evidenziati, in particolare, la natura e la gravità della violazione, il livello di danno subito dall’interessato (attese le indubbie ripercussioni, anche solo in termini di immagine, derivate all’istante dalla conoscenza non autorizzata di informazioni così strettamente confidenziali) nonché il grado di responsabilità del titolare, che era comunque in possesso di altro idoneo indirizzo e-mail riconducibile all’istante.

Sono stati considerati, inoltre, il carattere colposo della violazione (a nulla rilevando, infatti, il suo inverarsi in attuazione di una specifica disposizione interna  dell’Associazione – peraltro perfettibile − e nell’errata convinzione che le garanzie di riservatezza concretamente adottate fossero sufficienti, per sé sole, a tutelare l’interessato), nonché la delicatezza dei dati trattati, che sebbene di natura “comune”, risultano comunque idonei a rivelare informazioni del tutto peculiari e a determinare impatti negativi nella sfera individuale degli interessati, interferendo con il loro contesto relazionale e professionale.

Di contro, sono state tenute in debito conto le ulteriori, seguenti circostanze:

− l’assenza, allo stato, di precedenti specifici a carico dell’Associazione;

− il carattere episodico ed estemporaneo della violazione;

− l’esiguo numero di soggetti coinvolti;

− la successiva adozione spontanea di comportamenti conformi alla disciplina vigente;

− la condotta sostanzialmente collaborativa tenuta dall’Associazione nel corso del procedimento;

− l’assenza, allo stato, di ulteriori reclami o segnalazioni al Garante su questioni analoghe.

In ragione dei suddetti elementi, si ritiene dunque di poter determinare l’ammontare della sanzione pecuniaria a carico dell’Associazione Nazionale Magistrati nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento.

Tenuto conto che l’istruttoria ha avuto ad oggetto il Trattamento illecito di Dati personali nell’ambito di un procedimento disciplinare, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett.  f), del Regolamento, l’illiceità del Trattamento effettuato dall’Associazione Nazionale Magistrati per la violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Associazione Nazionale Magistrati, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la sanzione amministrativa di euro 5.000,00 (cinquemila) per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Associazione di pagare la somma di euro 5.000,00 (cinquemila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e 16 del Regolamento del Garante n. 1/2019, e rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2023

IL PRESIDENTEStanzione

IL RELATOREGhiglia

IL SEGRETARIO GENERALEMattei


Link: https://gpdp.it/web/guest/home/docweb/-/docweb-dis

Testo del 2023-04-17 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.







Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza