g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 23 marzo 2023 [9885127]

Provvedimento del 23 marzo 2023 [9885127]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9885127]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 91 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla sig.ra XX e dal sig. XX in data 10/09/2021, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte dell’Amministratore del Condominio XX, Rag. Paolo Meloni;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 10/09/2021, la sig.ra XX e il sig. XX lamentavano una violazione della disciplina in materia di protezione dei dati personali da parte del sig. Paolo Meloni, Amministratore del Condominio XX, sito in XX.

In particolare, veniva rappresentato che l’Amministratore, venuto a conoscenza del contagio da Covid-19 della famiglia XX, inviava una e-mail a tutti i condomini nella quale veniva chiaramente indicato che “la fam. XX è positiva al Covid” e che, pertanto, aveva predisposto le misure di disinfestazione previste dai protocolli sanitari.

Con la nota del 05/10/2021 (prot. n. 49763), l’Ufficio invitava il sig. Paolo Meloni a fornire osservazioni in merito a quanto rappresentato nel reclamo, indicando i presupposti di legittimità alla base del trattamento posto in essere.

Con la nota del 02/11/2021, la parte forniva riscontro alla suddetta richiesta di chiarimenti, dichiarando, in particolare, di essere venuto a conoscenza dello stato di salute della famiglia XX dagli stessi condomini che, dunque, già sapevano delle condizioni di salute dei reclamanti.

La e-mail, oggetto di doglianza, era stata inviata a tutti i condomini al solo fine di tutela della salute ed evitare che potessero entrare in contatto con la famiglia risultata positiva al Covid-19.

Per quanto sopra, l’Ufficio provvedeva a notificare al sig. Paolo Meloni, Amministratore del Condominio XX, l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione dell’art. 9, par. 1 e 2, del Regolamento (prot. n. 3633 del 18/01/2022).

Il sig. Paolo Meloni, in data 17/02/2022, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, in cui dichiarava di essere venuto a conoscenza delle condizioni di salute dei due reclamanti dall’addetta alle pulizie del Condominio la quale, a sua volta, lo aveva appreso direttamente dalla sig.ra XX.

Pertanto, “La notizia si è propagata tra tutti i condomini, non in conseguenza della mail inviata dall’amministratore alcuni giorni dopo”. Nello specifico, la parte dichiarava inoltre che:

- “Sebbene in astratto la mail del 05/08/2021 possa costituire un caso di trattamento di dati sensibili e che detto trattamento avrebbe certamente potuto essere effettuato dall’amministratore, che ne avuto conoscenza “informale”, con modalità ugualmente efficaci ma meno invasive (ad esempio, ricorrendo ad un avviso privo di riferimenti atti ad identificare gli interessati), (…), non pare configurarsi la condotta illecita indicata dal Dipartimento derivante dall’art. 2-septies, comma 8, e art. 166, comma 2, del Codice (diffusione di dati idonei a rivelare lo stato di salute degli interessati senza il loro consenso) in virtù dell’eccezione al principio generale di divieto assoluto di trattamento dei dati personali di cui alla lettera e) del comma 2 dell’art. 9 del GDPR, che contempla la possibilità che i dati - qualora resi manifestamente pubblici dall’interessato - possono essere trattati”;

- “le informazioni specifiche sulle condizioni di salute dei reclamanti (ossia l’aver contratto il virus) sono state fornite da loro stessi a persone che lavoravano all’interno del palazzo: il che, in mancanza di una casistica, viene ritenuto equivalente ad un valido consenso al loro trattamento”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che l’Amministratore ha effettuato un trattamento di categorie particolari di dati personali riferiti ai due reclamanti, consistente nella comunicazione della loro condizione di salute agli altri condomini, in assenza di idonei presupposti di legittimità, in violazione dell’art. 9, par. 1 e 2 del Regolamento.

Si premette che l’art. 5 del Regolamento, nell’individuare i principi fondamentali applicabili al trattamento di dati personali, prescrive, tra l’altro, il principio di minimizzazione, in base al quale “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Nel caso che ci occupa, è evidente che la finalità perseguita dall’Amministratore nel particolare contesto epidemiologico dovuto all’emergenza Covid-19, ben poteva essere realizzata omettendo di comunicare ai condomini il nominativo delle persone affette dal Coronavirus, nel rispetto del richiamato principio di minimizzazione dei dati.

Ciò posto, si osserva che l’art. 9 del Regolamento dispone, al primo paragrafo, il divieto di effettuare trattamenti di categorie particolari di dati personali, tra cui rientrano i dati relativi alla salute.

Si rammenta, altresì, che ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, trattamento è “qualsiasi operazione o insieme di operazioni (…) come la raccolta, la registrazione, l’organizzazione, (…), la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione (…)”.

La deroga al trattamento di categorie particolari di dati personali ricorre solo nei casi, tassativamente previsti dall’art. 9, par. 2, del Regolamento stesso, e non è stata intaccata dalla normativa d’urgenza conseguente all’emergenza epidemiologica da Covid-19, cosicché è rimasto immutato il divieto, da parte di qualsiasi soggetto pubblico o privato, di diffondere, attraverso siti web o altri canali, e di comunicare (come nel caso di specie) i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia a soggetti non autorizzati (sul punto si vedano le “Faq su Covid-19 e Protezione dei dati” pubblicate sul sito dell’Autorità).

La parte ha ritenuto applicabile, al caso di specie, l’ipotesi prevista dall’art. 9, par. 2, lettera e) in base alla quale il divieto non si applica laddove “il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato”.

Tale ipotesi tuttavia non ricorre in quanto nessun indice della pubblicità del dato relativo al contagio è rinvenibile, nel caso di specie, e il fatto che gli interessati abbiano ritenuto di confidare il proprio stato di salute a terzi (persone che lavorano nel palazzo), circostanza peraltro solo dichiarata e non dimostrata, non realizza comunque il presupposto invocato.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83. par. 5, del Regolamento.

4. Ordinanza ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferiti ai reclamanti, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato la comunicazione a terzi di dati rientranti nella cd. categorie particolari;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- la circostanza che gli interessati coinvolti sono due, appartenenti al medesimo nucleo familiare.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base alla dichiarazione dei redditi riferita all’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 12 e 15 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato dal sig. Paolo Meloni, Amministratore del Condominio XX, C.F. XX, residente in XX nella via XX, nei termini di cui in motivazione, per la violazione dell’art. 9, par. 1 e 2, del Regolamento;

ORDINA

al sig. Paolo Meloni, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

al medesimo di pagare la somma di euro 2.000,00 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs.150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di 30 giorni dalla data di comunicazione del provvedimento stesso, ovvero di 60 giorni se il ricorrente risiede all’estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9885127
Data
23/03/23

Argomenti

Condominio Stato di salute Coronavirus

Tipologie

Ordinanza ingiunzione o revoca