Fonte: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10084453
Con Provvedimento n. 666 del 13 novembre 2024 (doc. web n. 10084453) il Garante per la protezione dei dati personali ha sanzionato un'Azienda sanitaria per aver pubblicato, in assenza di un idoneo presupposto normativo, sul proprio sito web istituzionale l'elenco dei professionisti esclusi dall'albo aziendale degli avvocati esterni contenente anche i motivi di esclusione degli stessi.
Analizziamo la vicenda che ha dato luogo alla pronuncia del Garante.
I fatti del procedimento
Un'Azienda sanitaria ha pubblicato sul proprio albo pretorio online la Delibera del Direttore Generale di approvazione dell'albo aziendale degli avvocati esterni con in allegato, sia l'elenco dei professionisti inseriti nell'albo, sia l'elenco dei professionisti esclusi, con l'indicazione accanto a ogni nominativo delle ragioni dell'esclusione.
Uno degli avvocati, esclusi dalla procedura in quanto iscritto all'Albo degli Avvocati da meno di tre anni, ha esercitato il diritto di cancellazione dei propri dati personali ai sensi dell'art.17, par.1 Regolamento 2016/679/Ue (GDPR), "deducendo l'illiceità del trattamento effettuato dall'Azienda mediante la pubblicazione dei nominativi degli avvocati esclusi dalla procedura". Successivamente, non avendo avuto riscontro dall'Azienda sanitaria alla richiesta di cancellazione, l'avvocato ha presentato al Garante un reclamo ai sensi dell'art. 77 GDPR.
L'istruttoria del Garante
Nel corso dell'istruttoria il Garante ha accertato che l'Azienda sanitaria ha posto in essere due condotte illecite, ossia:
1) la violazione dell'art.17 GDPR, non avendo fornito alcun riscontro alla richiesta di esercizio del diritto di cancellazione dei propri dati personali formulato dal reclamante e non provvedendo alla rimozione del predetto elenco dal proprio sito.
Al riguardo il Garante ha rammentato che secondo la normativa GDPR il titolare del trattamento è tenuto ad agevolare l'esercizio dei diritti da parte dell'interessato nonché, in ogni caso, a fornire esplicito riscontro alla richiesta formulata dall'interessato, a prescindere dalla fondatezza o meno della stessa, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal suo ricevimento, nel contesto di un rapporto diretto tra l'interessato e il titolare del trattamento (termine che può essere prorogato dal titolare di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste e informando l'interessato della proroga e dei motivi del ritardo ex art. 12, parr. 2 e 3 GDPR);
2) l'illecita diffusione dei dati personali, per aver pubblicato sul proprio sito web istituzionale la Delibera n. di approvazione dell'Albo Aziendale degli Avvocati Esterni comprensivo degli allegati contenenti rispettivamente l'elenco dei professionisti inseriti nell'Albo degli Avvocati esterni e l'elenco dei venti professionisti esclusi dall'Albo, tra cui il nominativo del reclamante e il motivo di esclusione degli stessi (ad es. non essere iscritto all'Albo degli Avvocati, non aver presentato il curriculum vitae, non aver presentato la domanda nei termini).
A parere del Garante, la pubblicazione della suddetta delibera costituisce un illecito trattamento dei dati personali in quanto non è sorretta da una base giuridica idonea a giustificare la diffusione dei dati personali del reclamante, non essendo presente nel nostro ordinamento alcuna specifica norma di legge che obblighi a pubblicare anche l'elenco dei professionisti esclusi dall'albo e le relative motivazioni di esclusione.
A questo proposito, contrariamente a quanto sostenuto dall'Azienda sanitaria, il Garante ha ritenuto che non possa costituire idoneo presupposto per diffondere l'elenco degli esclusi,
- la circostanza che il reclamante, presentando la richiesta di iscrizione nell'elenco degli Avvocati utilizzando il modulo predisposto abbia "acconsentito al trattamento dei superiori dati da parte dell'Amministrazione per uso interno e comunque per le finalità di cui alla domanda alla selezione". Infatti, secondo il parere del Garante, il trattamento di dati da parte di un soggetto pubblico trova la propria base giuridica nella specifica disciplina di settore e non nel consenso degli interessati, in ragione dello squilibrio nel rapporto tra titolare e interessato (considerando n. 43 e art. 88 del GDPR);
- la circostanza che "i dati relativi all'anno di iscrizione degli avvocati all'Ordine di appartenenza sono pubblicati e liberamente accessibili da chiunque sui siti web degli Ordini degli Avvocati di tutta Italia nonché sull'Elenco Unico degli Avvocati pubblicato sul sito web del Consiglio Nazionale Forense". Anche sotto questo aspetto, non vi è base giuridica, in quanto la suddetta conoscibilità e pubblicità dei dati personali deve rispondere al principio di "limitazione della finalità", in base al quale i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità" (art. 5, par. 1, lett. b) GDPR) . Tali dati, quindi, non sono liberamente riutilizzabili da chiunque e per qualsiasi scopo (cfr. Provvedimenti del 24 novembre 2022, doc web 9839018, del 25 marzo 2021 n. 106, doc. web n. 9584421 e del 12 marzo 2020, doc. web n. 9429218).
Il provvedimento del Garante
Alla luce di queste considerazioni il Garante ha ritenuto la sussistenza dell'illiceità del trattamento dei dati personali effettuato dall'Azienda Sanitaria in violazione degli artt. 5 e 6 GDPR e 2-ter del Codice e in violazione dell'art.17 GDPR e, tenuto conto delle circostanze, aggravanti e attenuanti, ha applicato la sanzione prevista dall'art. 83, par. 5, del Regolamento, per un importo pari a a euro 8.000.000.