App IO “bloccata” dal Garante privacy causa tracker, “Ecco perché l’abbiamo fatto”Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali(Agenda Digitale, 10 giugno 2021) Com’è noto, con un provvedimento l’Autorità Garante Privacy ha chiesto PagoPA, società pubblica che gestisce l’app IO, di bloccare provvisoriamente alcuni trattamenti di dati effettuati con quest’app che prevedono -tramite un tracker – l’interazione con i servizi di Google e Mixpanel*. Qual è il problema privacy dell’app IO Finché non si risolve questa criticità, abbiamo semplicemente rinviato ogni valutazione circa la possibilità di rendere disponibile il greenpass anche attraverso IO. Se, come ci auguriamo, queste criticità – che sono importanti lato privacy ma non centrali nell’economia di funzionamento dell’app – saranno eliminate, anche gli utenti di IO potranno presto trovare, se lo desidereranno, il loro Green Pass nell’APP. Perché avvengono questi trasferimenti all’estero La percezione dei nostri uffici è che si tratti di trasferimenti non indispensabili al funzionamento dell’app e, quindi, eliminabili senza compromettere la tenuta dell’APP che ha sin qui svolto ed è auspicabile continui a svolgere un ruolo prezioso nella trasformazione digitale del Paese. *(Nel comunicato si spiega che “Si tratta di servizi con dati molto sensibili, ad esempio cashback, pagamento a enti, bonus vacanze, e che ora comportano un trasferimento verso Paesi non europei come Usa, India, Australia. Il tutto senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso”, Ndr.).

Mercoledì, 26 Maggio 2021 18:12 Dall’inizio della pandemia da Covid-19 il Garante per la protezione dei dati personali (“Garante Privacy”), pur riconoscendo l’interesse preminente alla tutela della salute, è intervenuto a garanzia della protezione dei dati personali. In un contesto del tutto emergenziale, il Garante Privacy ha introdotto un regime eccezionale e derogatorio volto ad attribuire al datore di lavoro un certo margine di elasticità per il trattamento dei dati – anche particolari – dei lavoratori (es. dati contenuti all’interno di autodichiarazioni circa contatti stretti con positivi o soggiorni in Paesi vietati dall’OMS nei ultimi 14 giorni, dati sulla temperatura corporea pur senza annotazione del dato relativo alla salute). Tuttavia, il Garante Privacy è sempre intervenuto sottolineando il ruolo del Medico Competente, già centrale in materia di salute e sicurezza sul lavoro, e ancora di più chiave nel contesto emergenziale. Fermo quanto indicato nelle FAQ del febbraio 2021, visto il Protocollo per il piano di vaccinazione del 6 aprile u.s. e le annesse Indicazioni ad interim dell’INAIL, il Garante Privacy ha adottato il provvedimento n. 198 del 13 maggio 2021 : anche in quest’ultimo provvedimento, il protagonista si conferma il Medico Competente. Il Medico Competente rimane l’unico soggetto legittimato al trattamento dei dati. Il datore di lavoro non può raccogliere presso gli interessati, ovvero per il tramite di terzi, informazioni relative all’adesione alla campagna di vaccinazione, alla somministrazione del vaccino o altri dati relativi alla salute del lavoratore. Il datore di lavoro può soltanto conoscere il numero complessivo dei vaccini necessari e fornire al professionista sanitario (Nota di odisseoprivacy.com) indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali. Il datore di lavoro ha il compito, però, di promuovere l’iniziativa della vaccinazione presso i luoghi di lavoro fornendo, in particolare, ai lavoratori le indicazioni utili relative al servizio di vaccinazione in azienda, anche con il supporto del Medico Competente, ad esempio, rendendo disponibile, anche sulla rete intranet, documenti esplicativi. Il trattamento dei dati relativi alle vaccinazioni è necessario per finalità di medicina preventiva e di medicina del lavoro. Per effettuare tali operazioni di dati personali, il medico competente deve: – istituire un registro dei trattamenti (art. 30 del GDPR); – rendere l’informativa agli interessati (art. 14 del GDPR); – implementare le misure di sicurezza (artt. 32-34 del GDPR).Il Medico Competente non deve nominare un Responsabile della protezione dei dati (artt. 37-39 del GDPR). Il Medico Competente può avvalersi del supporto, anche economico, del datore di lavoro. Nel rispetto del principio di responsabilizzazione, deve essere garantita la limitazione degli accessi e l’indisponibilità dei dati da parte del datore di lavoro, anche mediante ricorso alla cifratura degli stessi dati. Dovrà essere regolamentato, limitatamente a tali profili, il rapporto tra le parti ai sensi dell’art. 28 del GDPR.  Fonte: Il Sole 24 Ore – di Flavia Terenzi

NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto. Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari. Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè scadenza del tempo di conservazione o venir meno del motivo che legittima la stessa: per esempio, la revoca del consenso del soggetto all’uso dei propri dati a fini marketing – occorre procedere: se il materiale è su supporto cartaceo, la cancellazione consiste nella distruzione della carta, preferibilmente con macchinari trita-documenti, per evitare di ripetere quanto capitato a una farmacia che gettò nei contenitori dei rifiuti pacchi di prescrizioni mediche, dando luogo a un grave data breach, sanzionato. Affidarsi a terzi – Se il materiale è voluminoso, magari sistemato in un archivio, è preferibile affidarsi a ditte specializzate, previa verifica del loro processo di smaltimento, meglio se certificato e con rilascio di un attestato di avvenuta distruzione. Se il materiale da cancellare è su supporto informatico, vanno distinti i dati che sono da cancellare riguardo a determinate finalità ma che continuano a essere necessari per altre, dai dati che non servono più in assoluto. Nel primo caso, la cancellazione si traduce in una forma di blocco permanente di quei dati riguardo a quelle specifiche finalità, nel senso che le regole informatiche ne inibiscono l’uso (inclusa la visualizzazione). La certificazione – Attenzione va prestata alla corretta gestione di questo processo per evitare di cadere nel medesimo errore di una banca spagnola che per l’apertura di un nuovo conto corrente da parte di un vecchio cliente che aveva già richiesto la cancellazione dei suoi dati causa fine del rapporto, ha condizionato la pratica a una dichiarazione di revoca della cancellazione da parte dell’interessato. La cancellazione, infatti, non ammette revoca: occorre richiedere di nuovo i dati, per cui la banca è stata sanzionata. Se i dati da cancellare sono tutti su un unico supporto informatico, questo può essere o distrutto materialmente (in modo da renderlo inutilizzabile) oppure può essere lavorato con appositi software di sovrascrittura che non permettono la ricostruzione di quanto in precedenza memorizzato. In tutti questi casi, in base al principio di accountability che richiede al professionista di provare il suo adempimento, è bene documentare le operazioni effettuate. di Rosario Imperiali (Fonte: Il Sole 24 Ore del 10 maggio 2021)

Privacy & SocietàSabato, 24 Aprile 2021 22:18 Mercoledì 21 aprile 2021 la Commissione europea ha consegnato una proposta di regolamento sull’Intelligenza Artificiale. L’iniziativa si inserisce in un contesto di grande fermento a livello non soltanto dell’Unione ma anche del Consiglio d’Europa (ove è stato costituito un comitato ad hoc sull’Intelligenza Artificiale, il CAHAI) in cui da tempo la tematica forma oggetto di ampio dibattito tra attori istituzionali e stakeholders.  Si tratta di un programma ambizioso, che mira a rendere l’Ue un vero e proprio hub strategico grazie alla combinazione tra il primo atto giuridico diretto a regolare i sistemi di Intelligenza Artificiale (che ambisce a restituire certezza giuridica) e un piano di coordinamento tra i vari Stati membri. Al centro di questo disegno si inserisce l’obiettivo cardine di tracciare un punto di equilibrio tra opposte esigenze: quella di preservare un livello di tutela elevato dei diritti e delle libertà individuali e quella di non scoraggiare e deprimere lo sviluppo e l’evoluzione delle tecnologie emergenti. I tempi erano ormai maturi affinché il legislatore dell’Unione potesse prendere la parola e dettare un primo set di paletti in grado di incanalare virtuosamente lo sviluppo della tecnologia. Attendere oltre avrebbe significato, verosimilmente, relegare ancora a una situazione di incertezza gli attori di mercato, con il rischio che alcuni legislatori nazionali maggiormente sensibili alla tutela dei diritti o, all’opposto, delle istanze di mercato potessero compiere individualmente salti in avanti. Salti in avanti che si sarebbero potuti rivelare anche passaggi a vuoto, stante la necessità di un intervento il più possibile uniforme e armonizzato, dunque guidato dalla mente e dalla mano delle istituzioni dell’Unione europea. Di particolare significato è la circostanza che la normativa oggetto della proposta riguardi una tecnologia in sé e per sé considerata, un fattore indicativo delle peculiarità del tutto inedite insite nei sistemi di Intelligenza Artificiale. I quali, se da un lato promettono importantissimi avanzamenti e benefici di grande impatto, dall’altro possono incidere significativamente sui diritti degli individui, sulle loro libertà e sulla capacità di autodeterminazione. Non stupisce che la proposta sia ispirata allo stesso paradigma regolatorio proprio di uno dei pilastri della normativa europea volta a fronteggiare (soprattutto) le sfide dell’innovazione digitale, ossia il Regolamento generale sulla protezione dei dati personali (l’ormai noto Gdpr). Sebbene la privacy sia soltanto uno dei temi al centro del dibattito, la proposta di regolamento accoglie uno dei cardini del Gdpr, il cosiddetto «approccio basato sul rischio». Infatti, oltre a vietare in via generale l’utilizzo di sistemi che presentano un livello di rischio non accettabile (quali i sistemi che compiono una manipolazione del comportamento umano), la proposta individua una serie adempimenti a cui sottoporre i sistemi che invece presentano un rischio elevato (tra cui quelli di identificazione biometrica): per esempio, meccanismi di valutazione e mitigazione dei rischi; misure che garantiscano un controllo umano; obblighi di documentazione sulle caratteristiche dei prodotti. Per questi tipi di sistemi, sono altresì previsti obblighi diversi in capo a fornitori e a utilizzatori. In coerenza con lo stesso approccio già ricordato sono inoltre previsti obblighi di trasparenza applicabili a sistemi che presentano un rischio limitato, mentre non rientrano nell’ambito del futuro regolamento i sistemi caratterizzati da un rischio minimo, che in quanto tali non incidono o incidono in misura risibile sui diritti o sulla sicurezza degli individui. (Nella foto: Marco Bassini, docente di diritto dell’informazione Università Bocconi) La piena operatività e disponibilità sul mercato delle soluzioni contraddistinte da rischi elevati è così rimessa, in consonanza con lo spirito del Gdpr e della normativa sulla sicurezza dei prodotti, al positivo superamento di una valutazione di conformità a priori. Non si tratta, però, di valutazioni destinate a rappresentare un «via libera» incondizionato, in quanto le varie soluzioni saranno periodicamente oggetto di verifiche in considerazione della rapidità dei mutamenti tecnologici. Il nuovo quadro giuridico, poi, si premura di definire una governance dell’Intelligenza Artificiale, ricalcando così la centralità di un ruolo, quello delle autorità di regolazione, rivelatosi essenziale anche nel campo della protezione dei dati personali. A livello europeo, sarà istituito un board ove siederanno rappresentanti della Commissione e degli stati membri, mentre a livello nazionale ogni paese dovrà designare (o istituire) una autorità di controllo con il compito di monitorare l’applicazione del futuro regolamento. L’ultimo tratto di somiglianza all’impianto del Gdpr è dato dalla previsione di sanzioni con chiare finalità di deterrenza, che potranno raggiungere, per le violazioni più gravi, l’importo massimo di 30 mln di euro o il 6% del fatturato globale annuo. di Marco Bassini, docente di diritto dell’informazione Università Bocconi (Italia Oggi, 24 aprile 2021)

Altalex – Pubblicato il 21/05/2021 Il Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale è stato elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic). Il Garante della Privacy lo aveva approvato nel giugno del 2019 ma, la sua efficacia, era stata subordinata al completamento della fase di accreditamento dell’Organismo di monitoraggio (OdM). Infatti, a quest’ultimo spetta il compito di verificare il rispetto del Codice da parte degli aderenti e di gestire gli eventuali reclami. Il nuovo testo del Codice, aggiornato e integrato, è stato approvato dal Garante ed entrerà in vigore il giorno successivo alla sua pubblicazione sulla Gazzetta Ufficiale (Provvedimento 29 aprile 2021, testo in calce). SommarioIl Regolamento 679/2016 e i Codici di condottaIl Codice di condotta: a cosa serve?L’organismo di monitoraggio (OdM)Il contenuto del Codice di condotta: le definizioniI limiti al trattamento dei datiLe fonti di provenienzaPresupposti di liceità del trattamentoImpiego delle informazioni commercialiAltre disposizioni Il Regolamento 679/2016 e i Codici di condotta Il Regolamento sul trattamento dei dati personali (art. 40) incoraggia l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento stesso, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Inoltre, l’adesione ad un codice di condotta può essere utilizzata come elemento di responsabilizzazione (cosiddetta accountability), in quanto consente di dimostrare la conformità dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, alle disposizioni e ai principi del Regolamento. Infine, il Garante incoraggia lo sviluppo di Codici di condotta per le micro, piccole e medie imprese al fine di: promuovere un’attuazione effettiva del Regolamento,aumentare la certezza del diritto per titolari e responsabili del trattamento,rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano. Il Codice di condotta: a cosa serve? L’utilità del Codice di Condotta è indicata espressamente nel comunicato del Garante della Privacy del 17 maggio 2021 ove si legge quanto segue. “Con il Codice […] le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.” L’organismo di monitoraggio (OdM) Il Garante della Privacy nel 2019 (provvedimento del 12.06.2019 n. 127) ha approvato il “Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali” presentato dall’Ancic, in qualità di associazione maggiormente rappresentativa nel settore, subordinando l’efficacia del codice di condotta all’accreditamento dell’Odm (ex art. 41 c. 3 Regolamento 679/2016). Il Garante della Privacy ha “accreditato” l’OdM nel 2021 (provvedimento 11.02.2021 n. 59) disponendo che si provvedesse all’approvazione della versione definitiva del codice di condotta. Qual è il compito dell’OdM? L’Organismo di monitoraggio ha il compito di effettuare il controllo di conformità dei codici di condotta. Secondo l’art. 41 del Regolamento 679/2016, il controllo deve essere svolto da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento. L’OdM è composto da 5 membri, con un incarico di 5 anni, non rinnovabile. Ogni componente deve essere dotato di cognizioni in materia di informazioni commerciali e di protezione dei dati; inoltre, deve essere indipendente ed imparziale, evitando le situazioni di conflitto di interessi. Si rinvia alla lettura dell’art. 12 del Codice di condotta. Il contenuto del Codice di condotta: le definizioni Il Codice di condotta consta di 16 articoli. Innanzitutto, è opportuno chiarire cosa s’intende per informazione commerciale. Essa viene definita come “il dato, anche valutativo, relativo ad aspetti patrimoniali economici, finanziari, creditizi, aziendali, industriali, organizzativi, produttivi, imprenditoriali e professionali di una persona fisica” (art. 2 lett. a). Mentre la finalità di informazione commerciale consiste nella “finalità di fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse, in via esemplificativa e non esaustiva, all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura di beni, prestazioni e servizi agli interessati e alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria” (art. 2 lett. c). Su ShopAltalex è disponibile:Corso online i contratti commercialidi Valerio Sangiovanni, 2021,Acquista ora! I limiti al trattamento dei dati Il trattamento dei dati (art. 3 Codice di condotta): deve rispettare i principi di cui all’art. 5 Regolamento (ad es., minimizzazione, trasparenza, correttezza et cetera);non può riguardare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 c. 1 Reg.);non può riguardare i dati relativi a condanne penali e reati (art. 10 Reg.) Circa le condanne e i reati, sono fatti salvi i soli dati relativi a condanne penali e reati provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili, trattati per il perseguimento di un legittimo interesse del titolare, nel rispetto dei limiti e delle modalità stabiliti dalla legge in ordine alla loro conoscibilità, utilizzabilità e pubblicità e nel rispetto delle garanzie appropriate per i diritti e le libertà degli interessati. Fonti di provenienza Il fornitore può raccogliere i dati personali presso fonti pubbliche, ad esempio, pubblici registri, come il registro delle imprese, o le Conservatorie (presso cui si trovano gli atti immobiliari, gli atti pregiudizievoli e gli atti ipocatastali) o il Pubblico registro automobilistico o l’Anagrafe della popolazione residente (art. 4 Codice di Condotta). È anche possibile avvalersi di fonti generalmente accessibili da chiunque, come quotidiani, testate giornalistiche o siti Internet. Presupposti di liceità del trattamento Il trattamento per finalità di informazione commerciale di dati personali, anche quando finalizzato alla formulazione di un giudizio sulla solidità, solvibilità e affidabilità del soggetto censito, non richiede il consenso dell’interessato (art. 6 c. 1 Codice di condotta). Il consenso non è necessario giacché il trattamento è necessario al perseguimento dei legittimi interessi: dei fornitori che prestano i servizi di informazioni commerciali;dei committenti che li richiedono per legittimedell’interesse comune alla lealtà delle transazioni commerciali e al buon funzionamento del mercato. Tuttavia, per il trattamento dei dati tratti da fonti pubbliche o generalmente accessibili, è necessaria un’apposita informativa agli interessati, seppur non in forma individuale. Si rinvia alla lettura dell’art. 5 del Codice di condotta. Impiego delle informazioni commerciali Se le informazioni provenienti da fonti pubbliche riguardano eventi negativi, come fallimenti o procedure concorsuali, ipoteche, pignoramenti, protesti e così via, il fornitore (art. 8 c. 1 Codice di condotta): utilizza solo le informazioni che riguardino direttamente l’interessato;utilizza – qualora il soggetto censito sia una persona fisica che non svolga o non abbia svolto alcuna attività d’impresa o simili – soltanto le informazioni relative a protesti ed atti pregiudizievoli che lo riguardino direttamente, nonché i dati relativi a condanne penali e reati con i limiti già indicati;indica, nel contesto del rapporto informativo, la sola circostanza dell’esistenza di altre informazioni relative ad ulteriori interessati e/o soggetti diversi da persone fisiche, legati sul piano giuridico e/o economico al soggetto censito. Si rimanda alla lettura completa dell’art. 8 del Codice di condotta. Altre disposizioni Il Codice di condotta, tra le varie disposizioni, affronta anche la problematica relativa alla conservazione delle informazioni (art. 9), all’esercizio dei diritti da parte degli interessati (art. 10), alla sicurezza delle informazioni, misure organizzative e tecniche per la riservatezza e la sicurezza dell’informazione (art. 11) e al controllo sul rispetto del Codice di condotta ed organismo di monitoraggio (art. 12).  di Marcella Ferrari – Avvocato del Foro di Savona.

Flash News – Mercoledì, 12 Maggio 2021 14:00 Una dirigente del Tribunale di Firenze, imponeva più volte procedimenti disciplinari a un proprio sottoposto, con sanzioni, di seguito annullate. Il dipendente col tempo si dimetteva dall’incarico e iniziava la professione forense. Successivamente, il caso voleva che le strade dei due si incrociassero nuovamente e la dirigente, ravvisando comportamenti (a suo parere) deontologicamente scorretti nell’ex collaboratore ora dedito alla libera professione di avvocato, presentava un esposto al competente Consiglio dell’Ordine degli Avvocati (sempre in Firenze). In tale esposto ella esordiva ricordando i provvedimenti disciplinari cui la stessa aveva più volte assoggettato l’allora suo sottoposto, senza comunque dare conto degli annullamenti disposti in seguito per le relative sanzioni. (Nella foto: L’Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano) L’Ordine archiviava l’esposto ritenendolo infondato; dopo di che l’avvocato proponeva ricorso ex art. 152 D. Lgs. 196/2003 (Codice della privacy) nei confronti della dirigente per vedersi riconoscere il risarcimento del danno non patrimoniale subito a causa dell’illecito trattamento dei propri dati. Il Giudice fiorentino accoglieva la domanda risarcitoria ravvisando nella condotta dirigenziale elementi di discredito a danno dell’immagine e della reputazione del legale. La signora ricorreva in Cassazione. La decisione – Nell’ordinanza emanata dalla Corte (Corte Suprema Di Cassazione – Sezione Prima Civile – Ordinanza 26 aprile 2021, n. 11020) vi sono diversi interessanti spunti di riflessione, ciò nonostante l’articolo 15 D. Lgs. 196/2003. Essi possono così riassumersi: (a) per quanto riguarda la competenza territoriale, essa si determina in relazione alla sede del soggetto titolare del trattamento; (b) in un esposto al Consiglio dell’Ordine degli Avvocati, mentre è lecito divulgare le condotte poste in essere da un iscritto che si reputano deontologicamente scorrette non è lecito riferire dati relativi ai pregressi procedimenti disciplinari a carico del legale se gli stessi non sono funzionali o pertinenti rispetto allo scopo dell’esposto, tanto più se rappresentati in modo parziale e malizioso al solo fine di gettare discredito. Vanno infatti rispettati i criteri di minimizzazione e di non eccedenza del trattamento dei dati rispetto alle finalità per cui sono raccolti e trattati; (c) il danno cagionato per gli effetti del trattamento è un danno non patrimoniale, e come tale non in re ipsa; esso non si identifica con la lesione dell’interesse tutelato ma con le conseguenze della lesione; inoltre lo stesso deve superare il livello di minima lesione coperto dal principio della tolleranza civile, riscontrandosi spazi per il ristoro solo a fronte di una lesione grave e di un danno serio. Nel caso di specie lesione e danno rispettavano tali criteri, in quanto la divulgazione dei dati riservati risultava essere stata “generica e dunque maggiormente offensiva in quanto allusiva (aperta a qualunque interpretazione soggettiva)”. Il commento – I professionisti iscritti ad un albo (come avvocati, commercialisti, giornalisti,etc.) sono tenuti a rendere conto dei propri comportamenti e, dunque, sono soggetti al potere disciplinare degli ordini di riferimento. Se si rendono colpevoli di fatti non conformi al decoro e alla dignità professionali, o di fatti che compromettano la propria reputazione o la dignità dell’ordine, sono sottoposti a procedimento disciplinare. Più volte si è detto che i consigli distrettuali di disciplina hanno una funzione amministrativa di natura giustiziale (ma non giurisdizionale). Quid iuris? Riferendosi al dettato normativo di cui al considerando 20 così come dell’articolo 55 GDPR (“Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali”), per i trattamenti effettuati dai consigli distrettuali di disciplina è invece competente l’autorità di controllo. Infatti non svolgendo funzioni giurisdizionali (ma solo paragiurisdizionali) l’operato dei consigli distrettuali è soggetto al controllo dell’Autorità Garante. E nel segnalare una condotta deontologicamente rilevante ci si deve preoccupare dei principi applicabili al trattamento dei dati personali. Segnalare una condotta di rilievo deontologico non può prescindere, invero, dal verificare che i dati trattati siano pertinenti alle finalità perseguite; inoltre, riportare pretestuosamente dati inesatti (magari omettendo di dare atto di talune circostanze al solo fine di rappresentare artatamente i comportamenti segnalati) costituisce condotta illecita in violazione dei principi applicabili al trattamento dei dati. In merito alla gravità della lesione e alla serietà del danno, va peraltro ricordato che la segnalazione di condotte di rilevanza deontologica si riverbera sull’immagine del professionista e sulla sua reputazione sociale in un ambiente lavorativo ristretto (ordine o collegio di appartenenza). In tale contesto, l’illecito trattamento dei dati nell’ambito di una segnalazione infondata, esposta in modo pretestuoso, rischia davvero di superare il limite di tolleranza civile oltre il quale la condotta illecita merita un conseguente risarcimento. Dunque, qualora intendiate segnale la condotta di un professionista iscritto ad un albo sarebbe bene rammentare un’espressione comune in altri ambiti: occhio alla penna! In parole povere, meglio non omettere o esagerare.