Provvedimento del 18 dicembre 2025 [10216406]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10216406]

Provvedimento del 18 dicembre 2025*
*Il giudizio di opposizione contro il provvedimento è pendente

Registro dei provvedimenti
n. 767 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale;

VISTO il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”), come novellato dal d.lgs. del 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La segnalazione ed il reclamo pervenuti.

È pervenuta a questa Autorità una segnalazione in merito alla presunta diffusione dei dati personali di un numero rilevante di soggetti che, con il patrocinio dell’avv. XX, avevano promosso un esposto all’Ordine Provinciale dei Medici Chirurghi e Odontoiatri di XX nei confronti del XX.

In particolare, nella segnalazione si è sostenuto che l’avv. XX avrebbe causato la diffusione dei nomi dei partecipanti all’esposto per mezzo di un link aperto del servizio cloud Google Drive, inserito nell’esposto stesso.

I medesimi fatti sono stati altresì oggetto di un reclamo del signor XX, aderente all’esposto contro il XX, diretto, per quanto rileva in questa sede, nei confronti dell’avv. XX. Il signor XX rappresenta di avere appreso dalla pagina del blog curato dal signor XX che, a seguito della presentazione dell’esposto all’Ordine, i suoi dati personali sarebbero stati diffusi e pertanto chiede a questa Autorità di adottare, nei confronti dell’avv. XX, ogni opportuno provvedimento e, in particolare:

“a) rivolgere a questi o al responsabile del trattamento avvertimenti o ammonimenti sul fatto che detti trattamenti possono verosimilmente violare, ovvero abbiano violato, le disposizioni vigenti in materia;

b) ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento, ove previsto;

c) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.”.

Poiché la segnalazione ed il reclamo sopra indicati riguardano il medesimo oggetto ed il medesimo titolare del trattamento, è stata disposta la riunione dei procedimenti, ai sensi dell’articolo 10 del regolamento 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonché all’adozione dei provvedimenti correttivi e sanzionatori (pubblicato sulla Gazzetta Ufficiale n. 106 dell’ 8 maggio 2019 e reperibile nel sito web dell’Autorità, al seguente indirizzo: https://www.garanteprivacy.it/web/guest/home).

2. L’attività istruttoria.

A fronte di quanto segnalato, questa Autorità ha chiesto, in sede di istruttoria preliminare, all’avv. XX di fornire dettagliate informazioni circa:

• le misure di sicurezza adottate per garantire la protezione dei dati personali trattati;

• le valutazioni effettuate circa i rischi per i diritti e le libertà degli interessati;

• l’osservanza degli obblighi di notifica e comunicazione di una violazione dei dati personali, ai sensi degli articoli 33 e 34 del Regolamento;

• ogni altra deduzione o documentazione ritenuta utile per la valutazione, da parte di questa Autorità, degli affari in questione.

L’avv. XX ha fornito il riscontro richiesto, rappresentando quanto segue:

“1 Premessa

La questione sulla quale mi si chiedono informazioni riguarda una violazione dei dati personali di clienti da me rappresentati in relazione alla quale è opportuno riferire quanto segue. Con esposto all’Ordine Provinciale dei Medici Chirurghi e Odontoiatri di XX invitavo quest’ultimo ente ad aprire un procedimento disciplinare nei confronti del XX (doc. 1). Al mio esposto erano allegate le procure dei clienti nonché la copia dei loro documenti di identità scaricabili da un link su Drive con accesso aperto solo al destinatario dell’esposto, cioè all’Ordine di XX. Il link Drive era collegato al mio account XX.

Da alcuni post pubblicati su Facebook e su X (Twitter) in data 1° luglio 2024 emergeva che l’Ordine Provinciale dei Medici di XX aveva messo a disposizione del XX l’atto di esposto completo con l’indicazione in chiaro dei nomi di tutti gli esponenti, dei loro codici fiscali e del link al file Drive. Secondo quanto esposto sulle reti sociali dal XX, egli avrebbe scaricato i dati e i documenti di identità di tutti gli esponenti unitamente alle copie delle procure a me conferite. Utilizzando questi dati il XX minacciava pubblicamente gli esponenti di querelarli nonché di vendere e divulgare i loro dati anche ad organizzazioni criminali talvolta indicando nome e cognome di alcuni di essi ed in alcuni casi pubblicando la copia del documento di identità di alcuni esponenti, sia pure grossolanamente oscurati.

Il trattamento dei dati degli esponenti da parte di un ordine professionale in relazione ad un procedimento disciplinare avviene nell’ambito della disciplina di cui all’art. 2 ter del d.lgs. 196/2003 e non ne è ammessa la cessione in favore di terzi, poiché l’ordine è un ente pubblico che può trattare i dati di cui venga a conoscenza solo per gli usi connessi all’adempimento dei compiti di pubblico interesse o all’esercizio dei pubblici poteri attribuiti all’ente stesso. Pertanto, la cessione dei dati che sembrerebbe essere avvenuta in favore del XX è illecita e costituisce violazione della riservatezza dei dati giacché l’Ordine non avrebbe avuto il diritto di divulgare a terzi i dati personali la cui conoscenza era, tuttavia, indispensabile all’Ordine professionale medesimo per provvedere all’istruttoria dell’esposto. Quand’anche si volesse individuare una ragione perché i dati dovessero essere messi a disposizione del destinatario dell’esposto disciplinare, ciò non consentirebbe comunque a quest’ultimo di divulgare i dati sulle reti sociali comunicando ad un pubblico indeterminato nomi e cognomi, indirizzi di residenza o copie dei documenti. Tanto più che il XX è medico chirurgo e professore ordinario di materie mediche. Ad ogni buon conto, la messa a disposizione del XX del link per l’accesso ai documenti appare una leggerezza molto grave, giacché il link era destinato al solo Ordine professionale per le sue finalità istituzionali.

La natura della violazione riguarda la comunicazione di nomi, cognomi, date e luoghi di nascita e di residenza e dei codici fiscali. Si tratta di 2950 persone.

Appena venivo a conoscenza della violazione dei dati ho provveduto dapprima a chiudere l’accesso alla cartella Drive passando la condivisione del file da “chiunque abbia il link” a “con restrizioni” e, immediatamente dopo, a cancellare tutti i dati allo scopo di evitare altri accessi non autorizzati. A questo punto, quando non era più possibile accedere ad alcun dato, ho pubblicato una copia dell’esposto, depurato di tutti i dati personali dei ricorrenti e senza il link attivo alla cartella Drive, sul mio sito internet XX per tranquillizzare i partecipanti all’esposto che erano preoccupati delle minacce del XX di querelarli per diffamazione a causa della loro partecipazione all’esposto. Un semplice accesso al mio sito, anche nelle versioni precedenti, accertabili con Wayback Machine, chiarisce che il sottoscritto non ha mai pubblicato il link ai dati personali ed alla cartella Drive dove questi erano conservati, a disposizione del solo ordine professionale.

Dalle notizie diffuse dallo stesso XX e da tale XX, sedicente giornalista e blogger, il link con l’accesso alla cartella Drive sarebbe stato messo a disposizione del XX già nel mese di marzo 2024, sicché tra tale data ed il 1° luglio 2024, allorché, avvedutomi della possibile violazione, provvedevo a chiudere il link e cancellare tutta la cartella, che ora è da me conservata solo su supporto fisico, vi è stato tempo affinché XX scaricasse tutti i dati e li condividesse ipoteticamente con terzi a partire dal XX e con rappresentanti della malavita come più volte spavaldamente dichiarato dal XX. È appena il caso di rilevare che, quand’anche XX avesse avuto il diritto di ottenere e scaricare le informazioni sui partecipanti all’esposto – come non è – egli non avrebbe avuto comunque il diritto di comunicare i dati comunicatigli dall’Ordine di XX a terzi nonché a criminali.

2. La segnalazione ex artt. 33 e 34 GDPR

In data 3 luglio 2024 provvedevo nel termine previsto dalla normativa a segnalare la violazione dei dati a codesta Autorità Garante con pec che allego alla presente (doc. 2). Ad oggi non ho avuto riscontro da codesta Autorità in merito alla segnalazione effettuata.

Parallelamente inviavo a tutti i miei assistiti una mail con la comunicazione della violazione dei dati di cui produco un esempio non essendo possibile produrre le quasi tremila e-mail inviate (doc. 3).

3. Le misure di sicurezza adottate per garantire la protezione dei dati personali trattati

Come esposto, i dati personali dei miei assistiti venivano comunicati solo ad un ente pubblico, l’Ordine dei medici chirurghi e degli odontoiatri di XX, tenuto per legge a trattare i dati personali di cui venga a conoscenza entro i ristretti limiti di cui all’art. 2 ter del d.lgs. 196/2003. Il caricamento dei dati su Google Drive garantisce elevati livelli di sicurezza dei dati, come illustrato da Google nella pagina dedicata a tale tematica (doc. 4). In effetti, non è avvenuta alcuna violazione dovuta ad una presunta insufficienza della piattaforma Google Drive, ma perché l’Ordine di XX ha comunicato al XX il link di accesso. Anche se si fosse utilizzato un diverso servizio di cloud hosting o se si fossero inviati i documenti in copia cartacea all’Ordine dei medici il problema si sarebbe verificato ugualmente a causa della comunicazione – illegittima e avvenuta senza il prescritto avviso ai controinteressati – diretta di tutte le informazioni al XX.

4. Le valutazioni effettuate circa i rischi per i diritti e le libertà degli interessati

L’invio di dati personali e di copie di documenti dei clienti nell’ambito di un procedimento amministrativo (esposto disciplinare ad un ordine professionale) non comporta normalmente rischi per i diritti e le libertà degli interessati. Questi autorizzano, come nel caso in esame, il professionista al trattamento dei propri dati personali nell’ambito dell’incarico conferito (redazione e deposito di un esposto disciplinare) e i dati degli esponenti sono comunicati ad un ente pubblico che è tenuto al rispetto scrupoloso della normativa in materia di protezione dei dati personali. Il che, giova sottolineare, costituisce prassi comune nei procedimenti amministrativi. Le amministrazioni pubbliche che ricevono, per ragioni connesse all’esercizio delle proprie attribuzioni, la comunicazione di dati personali, trattano questi dati nel rispetto delle disposizioni in materia di privacy. In particolare, in caso di richiesta di accesso a tali dati da parte di terzi, come nel caso in esame, il principale mezzo di tutela degli interessati è rappresentato dal procedimento previsto e disciplinato dall’art. 3 del DPR 184/2006. L’Ordine dei medici chirurghi e degli odontoiatri di XX, una volta ricevuta la richiesta di accesso agli atti da parte del XX avrebbe potuto facilmente identificare i controinteressati alla divulgazione dei propri dati personali nelle persone dei partecipanti all’esposto ed avrebbe potuto altrettanto facilmente comunicare agli stessi, per il tramite del sottoscritto difensore, la richiesta di accesso agli atti del XX consentendo di prendere posizione sulla richiesta stessa, se del caso presentando motivata opposizione.

Il mancato rispetto di questa semplice procedura, che costituisce prassi comune da parte di tutti gli enti pubblici, ha determinato in primo luogo la comunicazione dei dati al XX.

Ciò che appare, tuttavia, francamente sconcertante nella vicenda in questione – e che probabilmente non era prevedibile nemmeno per l’Ordine – è il comportamento successivo del XX. Anche se questi avesse avuto il diritto alla comunicazione dei dati personali dei partecipanti all’esposto, egli – che oltretutto è un medico ed un professore universitario – avrebbe dovuto mantenere la stessa riservatezza. Al contrario il XX in data 1° luglio 2024 ha iniziato a vantarsi di avere a disposizione i dati personali degli esponenti, ha preso a minacciarli di querele e di cedere i loro dati ad organizzazioni criminali. Per avvalorare la serietà delle minacce il XX ha anche divulgato i nomi di alcuni partecipanti all’esposto nonché le copie, parzialmente oscurate dei loro documenti di identità. Un comportamento, questo, che è stato segnalato alle competenti Procure della Repubblica, come illustrerò appresso. Chiunque, oltre il XX, abbia scaricato i dati dei partecipanti all’esposto, lo ha potuto fare perché ha ricevuto la comunicazione dei dati stessi dal medesimo XX. Ciò vale in particolare per il XX, cui si ritiene sia riconducibile la segnalazione allegata alla Vostra comunicazione cui si risponde che ha diffuso notizie evidentemente false, in particolare quella secondo cui vi sarebbe stato un link pubblico per l’accesso ai dati personali dei partecipanti all’esposto.

Non solo un simile link non è mai esistito, ma è falsa anche la tesi esposta dal XX secondo cui il link privato per l’accesso ai dati personali dei partecipanti all’esposto sarebbe stato da me pubblicato sul mio sito. In disparte l’assurdità di una simile condotta, è agevole rilevare che questa non si è mai verificata. Il testo dell’esposto è stato pubblicato sul mio sito depurato dei dati personali dei partecipanti all’esposto e senza alcun link attivo e utilizzabile per lo scarico dei dati. Quanto sopra, come si ribadisce, può essere facilmente constatato utilizzando Wayback Machine e scaricando le diverse versioni storiche della pagina del mio sito XX dedicata alla vicenda dell’esposto contro il XX.

5. Le denunce presentate dai partecipanti all’esposto contro il XX

Molti miei assistiti – circa 200 persone – presentavano presso le competenti Procure della Repubblica delle denunce per i reati commessi in loro danno dal XX. Si allega il modello di denuncia come doc. 5 unitamente alla raccolta dei post pubblicati dal XX e costituenti la prova dei reati commessi (doc.6).

6. L’istanza di accesso agli atti del procedimento disciplinare

Dagli atti dell’istruttoria preliminare è quindi risultato che l’avv. XX ha utilizzato, nell’esposto inviato all’Ordine, un link di condivisione dei dati personali dei suoi patrocinati senza adottare l’opzione restrittiva per l’accesso, per cui chiunque ne fosse stato a conoscenza avrebbe potuto avere accesso ai documenti condivisi. Ciò è ammesso dallo stesso avv. XX che, nella nota di riscontro al Garante, ha dichiarato: “Appena venivo a conoscenza della violazione dei dati ho provveduto dapprima a chiudere l’accesso alla cartella Drive passando la condivisione del file da ‘chiunque abbia il link’ a ‘con restrizioni’ […]”.

Non sussiste invece, allo stato, la prova che il medesimo link sia stato altresì pubblicato dall’avv. XX sul proprio sito internet, circostanza indicata nella segnalazione, ma negata dal titolare.

Orbene, l’utilizzo di un link aperto, da parte dell’avv. XX ha reso possibile l’acquisizione dei dati personali dei suoi assistiti da parte di chiunque fosse entrato in possesso del predetto link.

La mancata adozione, da parte dell’avv. XX, di cautele adeguate nel trattamento dei dati personali dei suoi assistiti, solo tardivamente assunte “passando la condivisione del file da ‘chiunque abbia il link’ a ‘con restrizioni’ ”, è apparsa quindi idonea a configurare la violazione dell’articolo 5, par. 1, lett. f), del Regolamento, ai sensi del quale i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” e dell’articolo 32 del Regolamento che pone in capo al titolare del trattamento l’obbligo di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio. Queste misure includono, tra le altre, la pseudonimizzazione e la cifratura dei dati personali, nonché la capacità di garantire riservatezza, integrità, disponibilità e resilienza del sistema.

3. L’avvio del procedimento e le memorie difensive.

Sulla base delle risultanze dell’istruttoria preliminare, l’Ufficio ha quindi notificato all’avv. XX, in qualità di titolare del trattamento, l’avvio del procedimento per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del Regolamento, ai sensi degli articoli 77 e segg. del Regolamento stesso, dell’articolo 166 del Codice e degli articoli 12 e segg. del già citato regolamento del Garante n. 1/2019, indicando:

a) come oggetto del procedimento, il trattamento dei dati personali dei soggetti da lui patrocinati in violazione dell’obbligo di assicurare l’integrità e la riservatezza dei dati trattati e di adottare adeguate misure di sicurezza, avendo questi condiviso i predetti dati attraverso un link “aperto”, ossia liberamente accessibile da parte di chiunque ne fosse entrato in possesso, come sopra precisato;

b) come disposizioni presumibilmente violate con il predetto trattamento, l’articolo 5, par. 1, lett. f), del Regolamento, ai sensi del quale i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” e l’articolo 32 del Regolamento, ai sensi del quale, “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.”;

c) quali disposizioni sanzionatorie relative alla predette presunte violazioni, l’articolo 83, paragrafo 4, del Regolamento, ai sensi del quale, la violazione delle disposizioni relative agli obblighi del titolare del trattamento, a norma (tra gli altri), degli articoli da 25 a 39 – compreso, quindi, l’articolo 32 del Regolamento - è soggetta a sanzione amministrativa pecuniaria fino a dieci milioni di Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; l’articolo 83, paragrafo 5, del Regolamento, ai sensi del quale la violazione dell’articolo 5 del medesimo è punita con sanzione amministrativa pecuniaria fino a venti milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

L’avv. XX ha presentato memoria difensiva, rappresentando quanto segue:

“1 Si ribadisce quanto già esposto e documentato in sede istruttoria. A tal fine appare opportuno ribadire quanto segue.

2. Premessa.

La questione riguarda una violazione dei dati personali di clienti da me rappresentati. Con esposto all’Ordine Provinciale dei Medici Chirurghi e Odontoiatri di XX invitavo quest’ultimo ente ad aprire un procedimento disciplinare nei confronti del XX (doc. 1). Al mio esposto erano allegate le procure dei clienti nonché la copia dei loro documenti di identità scaricabili da un link su Drive con accesso aperto solo al destinatario dell’esposto, cioè all’Ordine di XX. Il link Drive era collegato al mio account XX.

Da alcuni post pubblicati su Facebook e su X (Twitter) in data 1° luglio 2024 emergeva che l’Ordine Provinciale dei Medici di XX aveva messo a disposizione del XX l’atto di esposto completo con l’indicazione in chiaro dei nomi di tutti gli esponenti, dei loro codici fiscali e del link al file Drive. Secondo quanto esposto sulle reti sociali dal XX, egli avrebbe scaricato i dati e i documenti di identità di tutti gli esponenti unitamente alle copie delle procure a me conferite. Utilizzando questi dati, il XX minacciava pubblicamente gli esponenti di querelarli nonché di vendere e divulgare i loro dati anche ad organizzazioni criminali talvolta indicando nome e cognome di alcuni di essi ed in alcuni casi pubblicando la copia del documento di identità di alcuni esponenti, sia pure grossolanamente oscurati.

Il trattamento dei dati degli esponenti da parte di un ordine professionale in relazione ad un procedimento disciplinare avviene nell’ambito della disciplina di cui all’art. 2 ter del d.lgs. 196/2003 e non ne è ammessa la cessione in favore di terzi poiché l’ordine è un ente pubblico che può trattare i dati di cui venga a conoscenza solo per gli usi connessi all’adempimento dei compiti di pubblico interesse o all’esercizio dei pubblici poteri attribuiti all’ente stesso. Pertanto, la cessione dei dati che sembrerebbe essere avvenuta in favore del XX è illecita e costituisce violazione della riservatezza dei dati giacché l’Ordine non avrebbe avuto il diritto di divulgare a terzi i dati personali la cui conoscenza era, tuttavia, indispensabile all’Ordine professionale medesimo per provvedere all’istruttoria dell’esposto. Quand’anche si volesse individuare una ragione perché i dati dovessero essere messi a disposizione del destinatario dell’esposto disciplinare, ciò non consentirebbe comunque a quest’ultimo di divulgare i dati sulle reti sociali comunicando ad un pubblico indeterminato nomi e cognomi, indirizzi di residenza o copie dei documenti. Tanto più che il XX è medico chirurgo e professore ordinario di materie mediche. Ad ogni buon conto, la messa a disposizione del XX del link per l’accesso ai documenti appare una leggerezza molto grave giacché il link era destinato al solo Ordine professionale per le sue finalità istituzionali.

La natura della violazione riguarda la comunicazione di nomi, cognomi, date e luoghi di nascita e di residenza e dei codici fiscali. Si tratta di 2950 persone.

3. La segnalazione ex artt. 33 e 34 GDPR.

In data 3 luglio 2024 provvedevo nel termine previsto dalla normativa a segnalare la violazione dei dati a codesta Autorità Garante con pec che allego alla presente (doc. 2).

4. Le misure di sicurezza adottate per garantire la protezione dei dati personali trattati.

5 L’irrilevanza della ipotetica scelta dell’accesso “con restrizioni” rispetto alle violazioni commesse dall’Ordine dei Medici e dal XX.

In particolare, quanto esposto nella segnalazione di avvio del procedimento sanzionatorio, e cioè che se si fosse scelta fin dall’inizio la modalità di archiviazione “con restrizioni” questo avrebbe protetto di dati dei partecipanti all’esposto, non appare condivisibile. Infatti, in uno scenario simile l’Ordine dei medici, ricevuto l’esposto avrebbe effettuato un accesso alla cartella, l’accesso con la richiesta di download dei documenti sarebbe stato notificato al sottoscritto che avrebbe ovviamente concesso l’autorizzazione all’accesso all’ente cui era diretto l’esposto. A questo punto l’Ordine dei Medici avrebbe comunicato i documenti in questione al XX per come scaricati dal link. Se il sottoscritto avesse inviato l’esposto in forma cartacea con allegate le fotocopie dei documenti e delle procure dei partecipanti, come era senz’altro possibile ma poco pratico vista la mole dei documenti, il XX avrebbe acquisito le fotocopie della documentazione in forma analogica. La violazione dei dati dei partecipanti all’esposto origina, pertanto, non nella scelta tecnica dell’inserimento dei documenti e delle procure in una cartella Drive in luogo dell’invio cartaceo analogico, quanto nella decisione dell’Ordine dei Medici di violare le norme in materia di accesso agli atti amministrativi che coinvolgono dati di terzi e nella ulteriore grave violazione dei dati commessa dal XX che ne faceva pubblico scempio come documentato attraverso la produzione dei post del XX. Pertanto, le responsabilità connesse alla violazione dei dati personali dei partecipanti all’esposto vanno ricercate solo in capo all’Ordine dei medici di XXe al XX e non in capo al sottoscritto che ha posto in essere delle modalità di comunicazione dei dati personali dei propri clienti ad un ente pubblico nel pieno rispetto delle norme in materia.

6.Le valutazioni effettuate circa i rischi per i diritti e le libertà degli interessati.

Il mancato rispetto di questa semplice procedura, che costituisce prassi comune da parte di tutti gli enti pubblici, ha determinato in primo luogo la comunicazione dei dati al XX.

Chiunque, oltre il XX, abbia scaricato i dati dei partecipanti all’esposto, lo ha potuto fare perché ha ricevuto la comunicazione dei dati stessi dal medesimo XX. Ciò vale in particolare per il XX, cui si ritiene sia riconducibile la segnalazione allegata alla Vostra comunicazione cui si risponde che ha diffuso notizie evidentemente false, in particolare quella secondo cui vi sarebbe stato un link pubblico per l’accesso ai dati personali dei partecipanti all’esposto.

7. Le denunce presentate dai partecipanti all’esposto contro il XX.

8. L’istanza di accesso agli atti del procedimento disciplinare

Allo scopo di accertare le modalità di comunicazione al XX dei dati personali e del link alla cartella Drive sopra menzionata presentavo istanza di accesso presso l’Ordine professionale. In seguito al rigetto dell’istanza in questione ho presentato ricorso alla Commissione per l’accesso agli atti amministrativi (cfr. doc. 7). Il ricorso era accolto dalla Commissione (doc. 8) e l’Ordine dei Medici di XX provvedeva alla comunicazione della corrispondenza intercorsa tra il medesimo ente pubblico e il XX (doc. 9-12). Dalla corrispondenza emerge in modo evidente come la messa a disposizione del link alla cartella Drive e, pertanto, della documentazione personale dei partecipanti all’esposto sia riconducibile solo ed esclusivamente alla responsabilità dell’Ordine dei medici che avrebbe potuto molto semplicemente oscurare i dati personali degli esponenti nell’intestazione dell’esposto e il link alla cartella Drive alla fine del documento. Con un semplice “omissis” l’Ordine avrebbe rispettato le norme ed avrebbe evitato la diffusione illecita dei dati. Nel rapporto con una pubblica amministrazione è lecito presumere che l’ente pubblico agisca rispettando le norme. Pretendere che il sottoscritto dovesse porre in essere degli accorgimenti per proteggersi dai possibili illeciti che l’ente pubblico avrebbe potuto commettere sembra la richiesta di un eccesso di diligenza. Come si ribadisce, infatti, il data breach non dipende da una mancanza di sicurezza dell’archivio informatico, ma da una decisione consapevole e volontaria di condividerne il contenuto da parte di un ente cui è commessa per legge la protezione dei dati personali delle persone. Depurata la vicenda dai suoi aspetti tecnologici e informatici l’Ordine avrebbe potuto causare i medesimi danni in uno scenario analogico con una semplice fotocopiatrice. Appare evidente che, una volta legittimamente comunicati i dati personali ad un ente pubblico, il soggetto autore della comunicazione perde il controllo dei dati, quale che sia lo strumento tecnologico adottato per la messa a disposizione dei dati, sicché va esente da responsabilità.

Si conclude, pertanto, affinché codesta Autorità voglia archiviare il procedimento sanzionatorio nei confronti del sottoscritto senza irrogare sanzioni amministrative in accoglimento delle argomentazioni sopra esposte.”.

4. L’esito dell’istruttoria.

Dagli atti della istruttoria preliminare e da quelli successivamente acquisiti nel procedimento, è risultato confermato che l’avv. XX ha utilizzato, nell’esposto inviato all’Ordine, un link di condivisione dei dati personali dei suoi patrocinati senza adottare l’opzione restrittiva per l’accesso, per cui chiunque ne fosse stato a conoscenza avrebbe potuto avere accesso ai documenti condivisi.

L’avv. XX non nega il fatto ma, nella memoria difensiva prodotta a seguito della comunicazione dell’apertura del procedimento, sostiene che quand’anche avesse adottato, fin dall’inizio, la modalità di archiviazione “con restrizioni”, i dati personali dei suoi assistiti non sarebbero stati maggiormente protetti, in quanto in tal caso “l’Ordine dei medici, ricevuto l’esposto avrebbe effettuato un accesso alla cartella, l’accesso con la richiesta di download dei documenti sarebbe stato notificato al sottoscritto che avrebbe ovviamente concesso l’autorizzazione all’accesso all’ente cui era diretto l’esposto. A questo punto l’Ordine dei Medici avrebbe comunicato i documenti in questione al XX per come scaricati dal link.”.

Appare del tutto evidente la forzatura dell’argomento, basata su una mera ipotesi dell’avv. XX circa il comportamento che avrebbe tenuto l’Ordine in caso di link protetto, ossia, che questo “avrebbe comunicato i documenti in questione al XX per come scaricati dal link”, svolgendo un’attività deliberata e consapevole di comunicazione di dati personali di terzi, anziché limitarsi a comunicare al XX l’esposto, come in effetti ha fatto.

A parte ciò, resta il fatto che l’utilizzo, nell’esposto, di un link aperto, consentiva (ed in effetti ha consentito) l’accesso diretto ed indiscriminato ai dati personali di coloro che si erano affidati all’avv. XX per la cura dei propri interessi a chiunque fosse venuto in possesso del link stesso.

In conclusione, risultano, pertanto, violati:

a) l’articolo 5, par. 1, lett. f), del Regolamento, ai sensi del quale i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”;

b) l’articolo 32 del Regolamento che pone in capo al titolare del trattamento l’obbligo dell'adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio. Queste misure includono, tra le altre, la pseudonimizzazione e la cifratura dei dati personali, la capacità di garantire riservatezza, integrità, disponibilità e resilienza del sistema.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimento.

Alla luce di quanto complessivamente rilevato, il Garante ritiene che le dichiarazioni del titolare del trattamento e la documentazione fornite nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultino pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’articolo 11 del regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dall’avv. XX risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli articoli 5 e 32 del Regolamento.

Sulla base dei criteri indicati dall’articolo 83 del Regolamento, considerando, per quanto riguarda il grado di responsabilità del titolare, che la violazione dei dati personali in argomento è stata favorita dalla condotta dell’Ordine professionale (che ha trasmesso al XX l’esposto senza oscurare il link aperto), che il titolare non ha ricevuto alcun beneficio finanziario dalla sua condotta e che non risultano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento, si ritiene che nel caso di specie non ricorrano i presupposti per infliggere una sanzione amministrativa pecuniaria di cui all’articolo 58, par. 2, lett. i) del Regolamento.

Essendo comunque stata accertata l’illiceità del trattamento di dati personali nei termini di cui in motivazione, si ritiene di dover adottare nei confronti dell’avv. XX l’ammonimento di cui all’articolo 58, par. 2, lett. b) del Regolamento, per aver violato gli articoli 5 e 32 del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’articolo 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

DICHIARA

l'illiceità del trattamento dei dati effettuato dall’avv. XX, per violazione delle disposizioni di cui agli articoli 5 e 32 del Regolamento, nei termini di cui in motivazione;

AMMONISCE

l’avv. XX, per avere effettuato un trattamento di dati personali in violazione degli articoli 5 e 32 del Regolamento;

DISPONE

a) ai sensi dell’articolo 154-bis, comma 3, del Codice e dell’articolo 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

b) ai sensi dell’articolo 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’articolo 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’articolo 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’articolo 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo articolo 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10216406

Data
18/12/25

Argomenti

Internet e social media Avvocati

Tipologie

Prescrizioni del Garante

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 18 dicembre 2025 [10216406]

g-docweb-display Portlet