Garante privacy. Sanzione per l'avvocato che inoltra la diffida all'indirizzo pec istituzionale

 Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10199088

Con provvedimento n.629 del 23 ottobre 2025, doc. web n. 10199088, il Garante per la protezione dei dati personali ha ammonito un avvocato per aver utilizzato la pec istituzionale dell'Istituto scolastico per l'invio al dirigente scolastico di comunicazioni personali che nulla hanno a che fare con la professione di dirigente.

I fatti del procedimento

Un avvocato ha inviato a un dirigente scolastico una "Diffida ad adempiere e messa in mora" avente a oggetto questioni personali del dirigente, attinenti alla ripartizione degli oneri tributari connessi a una successione ereditaria. La diffida, però, non è stata inviata a un recapito di posta elettronica personale del dirigente, bensì a un indirizzo di posta elettronica istituzionale dell'Istituto scolastico presso il quale il dirigente presta servizio e, come tale, accessibile non solo al dirigente scolastico, ma anche ai suoi sostituti e al personale di segreteria.

Per questo motivo, il dirigente ha presentato reclamo al Garante privacy.

La decisione dell'Autorità Garante per la protezione dei dati personali

Nel corso dell'istruttoria il Garante ha ricordato che a norma dell'art.4 GDPR

• per dato personale si intende "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)" (n.1);
• per titolare del trattamento si intende "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (...)" (n.7).

 Dalla suddetta normativa deriva che

• l'informazione secondo cui il dirigente risulta destinatario di una diffida ad adempiere e messa in mora, recata espressamente nell'oggetto della email, costituisce un dato personale del medesimo;
• l'avvocato è il titolare del trattamento dei dati personali del dirigente, avendo determinato le finalità e i mezzi del trattamento dei dati personali dell'interessato (concretizzatosi nella comunicazione della diffida), laddove la titolarità del trattamento prescinde dall'esistenza di rapporti contrattuali o di altro tipo (ad es. il mandato difensivo).

Quanto alle modalità scelte dall'avvocato per l'invio della diffida, l'Autorità Garante ha affermato che

• non è conforme alla normativa in materia di dati personali l'utilizzo della pec istituzionale dell'Istituto scolastico per l'invio di comunicazioni personali al dirigente scolastico non attinentiné alla professione svolta dal dirigente né all'Istituto stesso;
• la circostanza che l'indirizzo pec risulta indicato nel curriculum vitae del dirigente, pubblicato nel sito istituzionale dell'Istituto scolastico, nonché nei vari siti di ricerca, non è idonea a integrare i requisiti di elezione del domicilio digitale ex artt. 3-bis e 6-quater Codice amministrazione digitale - CAD.

 Pertanto, il Garante ha ritenuto che l'avvocato abbia effettuato il trattamento illecito dei dati del reclamante. Infatti, l'invio all'indirizzo PEC dell'istituto scolastico presso cui il dirigente reclamante lavora, di una e-mail contenente dati personali del reclamante, quale la diffida al pagamento di somme di denaro e l'enunciazione di situazioni personali dei rapporti tra gli eredi, vìola

• l'art. 5 par. 1 GDPR in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza») (lett. a) nonché debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati») (lett. c);
• l'art. 6 del GDPR che stabilisce le condizioni di liceità del trattamento, quali a) il consenso dell'interessato, 2) la necessarietà del trattamento all'esecuzione di un contratto di cui l'interessato è parte, 3) per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, 4) per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, 5) per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento o 6) per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

Sulla base di queste argomentazioni, il Garante ha ammonito l'avvocato per aver effettuato un trattamento illecito dei dati personali del dirigente scolastico in violazione degli articoli 5, par. 1, lett. a) e 6 del GDPR.

Tuttavia, l'Autorità Garante ha ritenuto che non ricorressero i presupposti per infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83 GDPR in considerazione della circostanza che la condotta ha esaurito i suoi effetti, che il numero di interessati e dei terzi coinvolti è limitato e che non risultano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento.