[doc. web n. 10001164]

Provvedimento del 21 dicembre 2022

Registro dei provvedimenti
n. 190 del 21 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento” o “RGPD”);

VISTO il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali, integrato con le modifiche introdotte dal decreto legislativo 10 agosto 2018, n. 101 (di seguito: “Codice”);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (di seguito: “Regolamento 1/2019);

ESAMINATO il reclamo presentato dal signor XX relativo ad un presunto trattamento illecito di dati personali a sé afferenti effettuato dall’avv. XX;

Esaminate le informazioni fornite dalle parti;

Vista la restante documentazione in atti;

Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell´ufficio del Garante per la protezione dei dati personali;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il signor XX ha presentato a questa Autorità, ai sensi del RGPD, un reclamo relativo ad un presunto trattamento illecito dei suoi dati personali da parte dell’avv. X.

In particolare, il signor XX ha riferito che:

a) nell’anno 2016 si è rivolto allo Studio legale dell’Avv. XX conferendogli mandato, congiuntamente all’avv. XX per l’avvio di azioni legali nei confronti del proprio ex datore di lavoro e di una compagnia di assicurazioni, al fine di ottenere il risarcimento dei danni patiti in seguito a un demansionamento, nonché il riconoscimento dell’indennizzo assicurativo per invalidità permanente a causa di una rara patologia sofferta. L’avv. XX ha successivamente lasciato lo Studio;

b) successivamente, a causa di incomprensioni insorte tra il cliente e i legali mandatari, questi ultimi hanno rinunciato al proprio mandato e rimesso nelle mani del sig. XX tutta la documentazione in possesso dello Studio e relativa alle predette cause;

c) l’avv. XX ha promosso azione legale al fine di vedersi riconosciute competenze relative al mandato risolto e contestate dal sig. XX;

d) all’atto della proposizione della predetta domanda in giudizio, l’avv. XX avrebbe depositato una mole di dati e documenti, contenenti anche dati relativi allo stato di salute nonché genetici riferiti all’interessato, che il cliente riteneva essere stati distrutti e non conservati presso lo Studio a seguito della restituzione degli atti;

e) all’interessato, al momento della firma delle deleghe, non sarebbe stato richiesto alcuno specifico consenso al trattamento di dati relativi allo stato di salute e genetici;

f) a fronte delle istanze di accesso ai propri dati personali ancora detenuti dallo Studio, all’interessato non sarebbe stato fornito idoneo e compiuto riscontro ai sensi degli articoli 15 ss. del RGPD.

L’Ufficio del Garante ha invitato l’avv. XX a fornire ogni utile elemento in ordine a quanto esposto nel reclamo, chiedendo di fornire, in particolare, le ragioni e la base normativa legittimanti la conservazione dei dati predetti anche in data successiva alla risoluzione del mandato e il loro conferimento in un giudizio recuperatorio avente ad oggetto la pretesa corresponsione di onorari.

L’avv. XX ha fornito il riscontro richiesto, dichiarando, per quanto qui rileva: “Io evasi la richiesta lo stesso giorno, trasmettendogli copia delle due procure alle liti stese in calce ai rispettivi atti, contenenti anche l'autorizzazione al trattamento dei dati. Non senza soggiungere che, ai sensi dell'art. 12 lett. h) L.675/96 all'epoca vigente, il consenso del cliente al proprio avvocato non era strettamente richiesto e che -ad ogni modo- l'invocato GDPR era stata emanata successivamente al conferimento degli incarichi.”.

L’avvocato ha altresì dichiarato di aver trattato lecitamente i dati del reclamante, sia con riferimento alla loro conservazione, ritenendo che: “sembra di capire che il XX abbia invece erroneamente contestato la produzione, nei giudizi di pagamento dei compensi, di atti e documenti "ritenuti distrutti e non conservati" (così dimostrando di ignorare l'esistenza dell'opposto obbligo che fa carico a noi avvocati per almeno 10 anni)”, sia rispetto alla loro devoluzione in giudizio ritenendo  che “nessun altro soggetto diverso dalle stesse A.G. originariamente investite è stata posta a conoscenza di dati "sensibili" del cliente” dal momento che “gli aditi Tribunali di Brindisi e Bari erano i medesimi dinanzi ai quali pendevano i giudizi di merito, nei quali gli atti e i documenti erano già stati prodotti in maggior numero”.

2. Gli atti dell’istruttoria preliminare hanno quindi confermato che l’avvocato ha acquisito i dati del reclamante senza fornirgli l’informativa dovuta e che ha omesso di fornire un idoneo riscontro ai sensi dell’articolo 15 del RGPD alle istanze formulate dall’interessato, limitandosi a un generico rinvio alle deleghe fatte firmare al reclamante all’epoca del conferimento dei mandati e recanti riferimenti normativi obsoleti in materia di protezione dei dati personali.

Occorre infatti considerare che la normativa vigente all’epoca del mandato conferito dal reclamante all’avv. XX è quella di cui al decreto legislativo 30 giugno 2003, n. 196 recante il "Codice in materia di protezione dei dati personali” e non, come erroneamente ritenuto, la legge n. 675 del 1996, che al momento del conferimento degli incarichi, nel 2016, era stata abrogata dalla normativa citata.

Poiché le giustificazioni fornite non sono apparse idonee a giustificare il suo operato, l’Ufficio ha comunicato all’avv. XX, in qualità di titolare del trattamento, ed al sig. XX, in qualità di interessato reclamante, l’avvio del procedimento per la possibile adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD, ai sensi degli articoli 77 e segg. del RGPD, dell’art. 166 del Codice e degli articoli 12 e segg. del regolamento 1/2019 del Garante, per la presumibile violazione degli articoli 13 e 26 del Codice e 15 del RGPD.

2.1. L’avv. XX ha trasmesso note difensive, confermando quanto precedentemente rilevato e sostenendo quanto segue: “Venendo alla prima pretesa violazione, se è pur vero che il richiamo all’informativa prestata presente sui mandati ad litem risulta essere obsoleto, frutto evidentemente di maldestri copia/incolla di precedenti mandati, esso riferiva in ogni caso della normativa sul trattamento dei dati personali. L’Avv. XX, sempre ossequioso delle normative e in particolare di quella in tema di trattamento dei dati personali, ha da sempre, nel proprio studio professionale, affissa ben in mostra l’informativa di cui si discute aggiornata. All’epoca del conferimento del mandato da parte del sig. XX l’informativa, rispettosa della normativa ratione temporis, riportava addirittura l’apposizione del bollo da parte di Poste Italiane al fine di conferivi data certa che, come si evince dal documento allegato, è del 28 marzo 2006! Tale informativa era ed è, in aggiunta a quella precedente e a quella attuale, posta all’ingresso dello studio dell’avv. XX, facilmente visibile da chiunque, come anche confermato dalla sig.ra XX segretaria dell’avv. XX dal 1990, e dall’avv. XX (cfr. allegati)”.

2.2. Con riferimento al consenso: “Ai sensi dell’art. 26, c. 4 lett. c) d.lgs. 196/2003 ratione temporis “I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante: […] quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.”

2.3. Infine, sul mancato riscontro ai sensi dell’art. 15 RGPD: “Alcuna richiesta di quelle elencate dall’art. 15 RGPD era contenuta nella succinta e piccata pec del 14 ottobre del 2020!  Alla richiesta ricevuta l’avv. XX ha dato riscontro nella medesima giornata. La svista sul riferimento alla normativa obsoleta, come già riferito e dimostrato frutto di maldestri copia/incolla che non inficiano in alcun modo l’osservanza alle prescrizioni normative, non può in alcun modo essere considerata mancato o inidoneo riscontro alle richieste del sig. XX”.

Il XX ha concluso rendendosi disponibile, qualora ritenuto necessario, ad audizione personale, ma l’Ufficio ha ritenuto non necessario procedervi considerato che sulla base degli argomenti svolti dalle parti negli atti di causa e dei documenti acquisiti l’Autorità disponesse di tutti gli elementi occorrenti per assumere le proprie determinazioni.

OSSERVA

3. Ai sensi dell’art. 4, paragrafo 1, n. 1), del RGPD, costituisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.Ai sensi dell’art. 4, paragrafo 1, n. 2), del RGPD, costituisce trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.

Pertanto, la raccolta delle informazioni relative al reclamante, la loro conservazione e la loro produzione in giudizio costituiscono trattamento di dati personali.

La normativa vigente all’epoca del mandato conferito dal reclamante all’avv. XX è -come già anticipato in premessa- quella di cui al decreto legislativo 30 giugno 2003, n. 196 recante il "Codice in materia di protezione dei dati personali e non, come erroneamente ritenuto, la legge n. 675 del 1996, che al momento del conferimento degli incarichi, nel 2016, era stata abrogata dalla normativa citata.

In particolare, l’articolo 13 del Codice, all’epoca vigente, stabilisce che “L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.”

3.1. Dagli atti dell’istruttoria preliminare e da quelli successivamente acquisiti a seguito del presente procedimento, risulta confermato che l’avv. XX ha acquisito dati personali direttamente presso l’interessato (id est il reclamante), senza fornirgli l’informativa inderogabilmente dovuta ai sensi dell’art. 13 del RGPD.

La difesa dell’Avv. XX si basa principalmente sull’assunto che, sebbene venga ammesso che i riferimenti normativi indicati nelle procure alle liti fossero obsoleti e frutto di “maldestri copia-incolla di precedenti mandati”, l’obbligo di legge risulterebbe assolto mediante l’affissione, tutt’ora presente presso lo Studio, di copia della predetta informativa.

Tale argomento tuttavia non appare idoneo ad escludere la responsabilità del legale.

Invero, come si evince dagli atti acquisiti nel corso del procedimento, il documento che viene indicato come “informativa”, altri non è se non il “Documento programmatico per la sicurezza”, il quale assolve a funzione del tutto distinta e non reca, conseguentemente, tutti gli elementi richiesti dall’art. 13 del Codice e oggi dall’art. 13 del RGPD perché l’informativa resa risulti idonea e conforme a quanto prescritto dalla disciplina in materia di protezione dei dati personali.

3.2. Con riferimento all’acquisizione del consenso dell’interessato per la raccolta ed il trattamento di dati genetici, l’avvocato XX ritiene la propria condotta scriminata dalle Autorizzazioni generali all’epoca in vigore. Tali autorizzazioni, sono state richiamate da questa Autorità nell’avvio del procedimento sanzionatorio, evidenziando in particolare come  l’Autorizzazione generale n. 8/2016 - Autorizzazione generale al trattamento dei dati genetici - 15 dicembre 2016 [doc web 5803688], stabilisce che: “In conformità a quanto previsto dagli artt. 23 e 26 del Codice, i dati genetici possono essere trattati e i campioni biologici utilizzati soltanto per gli scopi indicati nella presente autorizzazione e rispetto ai quali la persona abbia manifestato previamente e per iscritto il proprio consenso informato”.

Circa la mancanza dell’informativa si è già detto nel paragrafo precedente.

Per quanto riguarda il consenso, in sede di difesa rispetto all’atto di contestazione, l’Avvocato XX, con dichiarazione di cui risponde ai sensi dell’articolo 168 del Codice, ha rappresentato che nessun certificato medico relativo allo stato di salute del reclamante o tanto meno a suoi dati genetici è stato depositato nel giudizio volto al recupero degli onorari, essendosi prodotti in atti solo degli elenchi della pertinente documentazione; di tal che, viene meno, nel caso di specie, la necessità di acquisire il consenso specifico dell’interessato, richiesto in via generale dall’autorizzazione n. 8 citata.

3.3. Risulta accertata altresì la violazione di cui all’art. 15 RGPD, avendo continuato il XX a fornire informazioni non complete e inidonee al corretto esercizio dei diritti da parte dell’interessato, anche sulla base del mancato adempimento degli obblighi di informazione.

3.4. In conclusione, risulta, pertanto, accertato che l’Avv. XX in qualità di titolare del trattamento, ha violato le disposizioni di cui agli articoli 13 del Codice e 15 del RGPD.

Sulla base dei criteri indicati dall’articolo 83 del RGPD, considerando che la condotta relativa alle violazioni di cui al Codice è stata posta in essere nel 2016 e che pertanto sono decorsi i termini per l’esercizio del potere sanzionatorio di cui all’articolo 28 della legge n. 689 del 1981 si ritiene che nel caso di specie non ricorrano i presupposti per infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 58, par. 2, lett. i) del RGPD.

Essendo comunque stata accertata l’illiceità del trattamento di dati personali, nei termini di cui in motivazione, si ritiene di dover ammonire, ai sensi degli artt. 58, par. 2, lett. b), del RGPD, l’Avv. XX per aver violato gli articoli 13 del Codice, all’epoca vigente, e 15 del RGPD.

TUTTO CIÒ PREMESSO IL GARANTE

DICHIARA

l'illiceità del trattamento dei dati del reclamante per violazione delle disposizioni di cui agli articoli 13 del Codice, all’epoca vigente, e 15 del RGPD, nei termini di cui in motivazione e, per l’effetto,

AMMONISCE

l’Avv. XX per avere violato i predetti articoli 13 del Codice, all’epoca vigente, e 15 del RGPD.

Ai sensi dell’art. 78 del RGPD, dell’art. 152 del d. lgs. 30 giugno 2018, n 101 e dell’art. 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione, in via alternativa, al tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero al tribunale del luogo di residenza dell'interessato, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero.

Roma, 21 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei