Segnalazione qualificata: attenzione alla salvaguardia dei dati personali del reclamante

Meglio evitare la massima trasparenza nello scambio di informazioni conseguenti ad un reclamo. Anche se potenzialmente l’interessato può sempre esercitare il diritto d’accesso ai dati del denunciante, infatti, il rischio di incorrere in violazioni sul corretto trattamento dei dati è dietro l’angolo.

Lo ha chiarito il Garante per la protezione dei dati personali con il provvedimento numero 301 del 23 maggio 2024. Un utente ha segnalato all'Ordine degli architetti l'utilizzo improprio del titolo da parte di un professionista il quale ha poi ricevuto, dal medesimo ente, una mail contenente in chiaro i dati sia del segnalante che del segnalato. Il consiglio dell'Ordine ha poi pubblicato integralmente sul web il verbale del conseguente procedimento disciplinare omettendo di oscurare i dati del denunciante. Per censurare questi episodi il segnalante ha proposto doglianze all'autorità di Piazza Venezia che ha avviato un'istruttoria che si è conclusa con l'applicazione di una serie di misure punitive. Al riguardo deve osservarsi, specifica il Garante, «che contrariamente a quanto sostenuto dall'Ordine nel corso del procedimento, le predette informazioni devono considerarsi dati personali del segnalante e odierno reclamante, in quanto informazioni relative a una persona fisica identificata o identificabile. Infatti, ancorché il segnalante e odierno reclamante non avesse allegato alle segnalazioni una copia di un proprio documento di riconoscimento e l'Ordine non fosse, pertanto, in grado di identificare con certezza lo stesso, la persona segnalata poteva comunque risalire all'identità dello stesso. Ciò in ragione dell'eventuale conoscenza diretta del segnalante, menzionato con l'indicazione del nome e del cognome nella nota inviata dall'Ordine, o della possibilità di identificare lo stesso mediante i predetti indirizzi di posta elettronica ordinarie e certificata o di effettuare tale associazione attraverso informazioni che si trovano nella disponibilità di terzi o che sono disponibili pubblicamente, nonché, in ogni caso, in considerazione della disponibilità nell'ordinamento nazionale di mezzi giuridici per ottenere in via giudiziale tali informazioni dai fornitori dei servizi di posta elettronica ordinaria e certificata che hanno attribuito gli indirizzi di posta elettronica in questione al segnalante e odierno reclamante». Ciò chiarito, deve rilevarsi che «l'Ordine non ha comprovato la sussistenza dei presupposti previsti dalla normativa in materia di protezione dei dati, sopra richiamati, affinché una comunicazione di dati personali a terzi, da parte di un soggetto pubblico, possa considerarsi lecita, non avendo lo stesso indicato alcuna norma di legge, di regolamento o atto amministrativo generale che espressamente prevedesse la comunicazione dei dati personali in questione. Né tale comunicazione poteva ritenersi necessaria, atteso che l'Ordine avrebbe potuto inviare due distinte comunicazioni - ovvero una alla professionista segnalata e un'altra al segnalante e odierno reclamante - al fine di rendere edotti gli stessi dell'interessamento del Consiglio di Disciplina dell'Ordine in merito ai fatti segnalati, senza portare a conoscenza della professionista segnalata informazioni relative al segnalante e odierno reclamante». E non importa se il professionista segalato avrebbe avuto comunque diritto di accedere ai dati della segnalazione ai sensi della legge numero 241/1990. Non risulta infatti, prosegue il collegio, che, «nel caso di specie, la professionista segnalata avesse presentato all'Ordine una richiesta di accesso documentale ai sensi degli articolo 22 e ss. della l. 7 agosto 1990, numero 241. L'Ordine ha, infatti, di propria iniziativa scritto alla professionista segnalata, rendono edotta la stessa del nome, del cognome e degli indirizzi di posta elettronica del segnalante e odierno reclamante». Risulta poi illecita anche la pubblicazione sul sito web dell'Ordine dei dati personali del denunciante. L'Ordine degli architetti infatti non ha indicato alcuna norma di legge, di regolamento o atto amministrativo generale che espressamente prevedesse la pubblicazione online dei dati personali in questione - tanto che lo stesso Ordine ha dichiarato che, dopo aver ricevuto la richiesta d'informazioni dell'Autorità, ha provveduto a rimuovere dal proprio sito web l'intera sezione verbali del consiglio e a revisionare la disciplina delle pubblicazioni, limitandone la durata in funzione della tipologia di pubblicazione e della presenza di eventuali dati personali contenuti. Oltre ad un ulteriore errore di omonimia all'Ordine è stato infine anche contestato il ritardo nella pubblicazione e comunicazione obbligatoria dei dati di contatto del proprio responsabile della protezione dei dati personali.

Garante Privacy, provvedimento 23 maggio 2024