Negli ultimi mesi è capitato a sempre più cittadini di trovare una multa nella propria casella Pec (Posta elettronica certificata), senza di aver mai detto al proprio Comune di poterci contattare in questo modo.
Ed è un problema perché una multa non vista non può essere contestata e poi tocca pagarla con la mora. Ma ci sono crescenti evidenze che almeno alcuni di questi utilizzi – riguardanti pec dei professionisti – non sono leciti.
Garante privacy limita uso della pec professionisti per multe
Tra il 2020 e il 2021 il Garante Privacy è intervenuto sulla questione della notifica a mezzo PEC delle multe per violazioni al codice della strada nei confronti dei professionisti, prendendo atto che il contenuto delle PEC, il cui indirizzo è ricavato dai pubblici indirizzi (INI-PEC), è visibile anche a persone diverse dal diretto interessato, eventualmente inserite nel contesto organizzativo della sua attività. Il Ministero dell’Interno è stato quindi costretto a tornare sui suoi passi rispetto alle diverse istruzioni fornite in precedenza riguardo la possibilità di notifica alla Pec di studio o dell’impresa individuale visibili su INI-PEC.
La rilevanza e l’incisività dell’attività del Garante privacy è da salutare senz’altro come segnale di accresciuta sensibilità nei confronti della tutela dei diritti di riservatezza dei cittadini, costituzionalmente garantita. Tuttavia i sia pur condivisibili interventi del Garante Privacy spesso incidono su fattispecie già regolamentate dalla Legge, per cui una eventuale declaratoria di violazione è suscettibile di generare sconvolgimenti sul piano amministrativo che destabilizzano la certezza del diritto e generano il panico tra coloro che sono chiamati ad applicare la legge.
Come funziona la notifica a mezzo PEC dei verbali di contestazione per violazioni del codice della strada
Ma come mai i Comuni sono (o si sentono) autorizzati a mandare pec con multe senza il nostro permesso? Tutto è cominciato con il decreto del 18 dicembre 2017, emanato dal Ministro dell’Interno di concerto con i Ministri della Giustizia, delle Infrastrutture e dei Trasporti, delle Finanze e per la Semplificazione e la Pubblica Amministrazione, è stata data attuazione all’art. 20, comma 5 quater, del decreto-legge n. 69 del 2013, che prevedeva la emanazione di norme tese a disciplinare le procedure per la notificazione dei verbali di accertamento delle violazioni del codice della strada tramite posta elettronica certificata.
In particolare, il comma 2 dell’articolo 3 del citato Decreto prevedeva che l’indirizzo PEC del proprietario del veicolo o di altro soggetto responsabile del pagamento della sanzione potesse essere ricercato nei “pubblici elenchi per notificazioni e comunicazioni elettroniche”. Il Ministero dell’Interno, con Circolare 20 febbraio 2018, n. 300/A/1500/18/127/9, fornì le indicazioni operative affermando che:
- la notificazione a mezzo PEC era diventata obbligatoria nel caso in cui l’autore della violazione, il proprietario o altro obbligato in solido ai sensi dell’art. 196 CdS avesse fornito un valido indirizzo PEC all’organo di polizia procedente in occasione dell’attività di accertamento dell’illecito, ovvero avesse un domicilio digitale ai sensi dell’art. 3-bis CAD e delle relative disposizioni attuative;
- In attesa della emanazione del decreto di cui all’art. 3-bis, comma 3-bis, del Decreto legislativo 82/2005 – (CAD)[1], la ricerca del domicilio digitale – qualora non dichiarato al momento della contestazione dell’illecito – dei professionisti tenuti all’iscrizione in albi ed elenchi e dei soggetti tenuti all’iscrizione nel registro delle imprese, poteva essere effettuata nei pubblici elenchi per notificazioni e comunicazioni, ossia, ai sensi dell’ art. 16-ter del D.L. 18 ottobre 2012, n. 179, nell’Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC), di cui all’art. 6-bis CAD.
Anno 2020: il primo stop del Garante Privacy
Il Ministero, il Ministero dell’interno, a seguito di specifico intervento del Garante Privacy, con circolare 300/A/4027/20/127/9 dell’8 giugno 2020, fu costretto ad emendare le istruzioni già fornite nel 2018, in relazione alla notificazione delle multe per violazioni al Codice della Strada nei confronti degli imprenditori individuali, nel caso di coesistenza in capo alla persona fisica titolare dell’impresa di autovetture o mezzi personali, ossia destinati alla sfera individuale o familiare, e di autovetture o mezzi utilizzati nell’esercizio dell’impresa. Infatti, in questa ipotesi, l’imprenditore, per tutelare il suo diritto alla riservatezza, non avrebbe potuto dissociare il suo codice fiscale dalla sua impresa individuale né evitare di dotarsi di un domicilio digitale aziendale obbligatorio ai fini dell’iscrizione nel registro delle imprese. Infatti, dal momento che l’indice di ricerca nel sito INI-PEC era rappresentato dal codice fiscale del soggetto destinatario della notifica, nel caso di impresa individuale l’acquisizione dell’indirizzo PEC dell’imprenditore proprietario di un veicolo attraverso un’interrogazione della sezione “imprese” del registro INI-PEC avrebbe potuto portare, perciò, ad utilizzare l’indirizzo PEC dell’impresa anche per notificare atti che riguardano personalmente l’imprenditore come persona fisica, rendendo così visibili i dati personali ai dipendenti dell’impresa che hanno accesso alla PEC.
Le nuove istruzioni Ministeriali imposero che, per rispettare le norme citate a tutela della riservatezza dei dati personali, gli Organi preposti alla notifica dei processi verbali di constatazione per violazione al codice della Strada avrebbero potuto consultare la sezione “imprese” dell’INI-PEC solo nel caso in cui il veicolo oggetto di sanzione amministrativa fosse stato di proprietà di una persona giuridica. Nei casi in cui, invece, il trasgressore o l’obbligato in solido proprietario del veicolo fosse risultato una persona fisica, la consultazione sarebbe dovuta avvenire, di norma, solo nella sezione “professionisti”, al fine di evitare di incorrere nell’eccezione sopraindicata in cui versano le imprese individuali (abbinamento della PEC aziendale/societaria a codice fiscale di persona fisica).
In sostanza, gli Uffici avrebbero potuto effettuare le notifiche a mezzo PEC solo nei casi di constatazione immediata della violazione[2] e solo se i verbalizzanti avessero accertato che il mezzo fosse impiegato nell’attività di impresa, perchè in caso diverso si sarebbe corso il rischio di rendere visibili i dati personali ai dipendenti dell’impresa aventi accesso alla PEC. Non si può non rilevare come il Garante si fosse posto il problema solo “a metà”, escludendo dall’analisi le notifiche ai professionisti, di fatto prestando il fianco ad obiezioni successive.
Il secondo stop del Garante Privacy
Come era prevedibile, il Garante è di nuovo intervenuto con una sua nota del 27 ottobre 2021 per affrontare la questione non presa in considerazione nel precedente intervento, relativa alle contravvenzioni al codice della strada notificate a indirizzi PEC assegnati (o comunque resi noti) dai Consigli dei vari ordini Professionali di appartenenza dei trasgressori, visibili anche al personale che collabora con l’intestatario della PEC (es. praticanti, segretari di studi professionali).
In pratica, mutatis mutandis, si è riproposto lo stesso problema già affrontato, ma questa volta con riferimento ai professionisti che, al pari delle imprese individuali, possono possedere automezzi sia destinati ad uso personale ovvero nell’ambito della attività professionale. In questa occasione tuttavia il Garante ha svolto una analisi più approfondita e ha premesso che tale problematica potrà essere agevolmente risolta nel momento in cui diventerà pienamente operativo l’INAD (indice nazionale dei domicili digitali).
Le Linee Guida emanate dall’Agid prevedono due trattamenti diversi, a seconda che il Professionista sia iscritto ad un Albo, Ordine Collegio o Professionale, oppure eserciti una attività Professionale regolamentata dalla Legge 4/2013. Per i Professionisti iscritti in Albi, Ordini o Collegi Professionali l’art. 6-quater, comma 2, del CAD, prevede l’iscrizione automatica nell’INAD del domicilio digitale presente nell’INI-PEC riferito al professionista iscritto ad albo o elenco, fermo restando il diritto di eleggerne uno diverso per fini personali.
Invece, per i Professionisti che svolgono una professione non organizzata in ordini, albi o collegi ai sensi della legge n. 4/2013 sono previste due ipotesi:
- “Nel caso in cui il Professionista (non iscritto ad Ordini, Albi, Collegi, n.d.r.) risulti già presente nell’INI-PEC, non gli è consentita la registrazione all’INAD e, conseguentemente, gli è preclusa la possibilità di eleggere, in tale sistema, il domicilio digitale in qualità di Professionista, ferma restando, in ogni caso, la facoltà di registrazione nell’INAD in qualità di persona fisica[3]“;
- La registrazione dei Professionisti (non iscritti ad Ordini, Albi, Collegi, n.d.r.) nell’INAD è soggetta alla verifica, condotta in modalità automatizzata, dell’assenza del soggetto all’interno dell’INI-PEC. Costoro “…hanno facoltà di eleggere nell’INAD sia un domicilio digitale professionale sia un domicilio digitale personale. La distinzione tra i due domicili digitali appartenenti al medesimo soggetto e resa evidente all’interno dell’INAD sia all’interessato, al momento dell’elezione del domicilio, sia agli utenti al momento della consultazione dell’INAD[4]“
Quando non si può mandare multe pec ai professionisti
Tale facoltà, consentirebbe al professionista di eleggere un domicilio digitale “per fini personali” non utilizzato per finalità lavorative (e, dunque, visibile di default ai suoi collaboratori), garantendo, nel caso di ricezione di atti destinati alla persona fisica e non al “professionista”, il pieno rispetto dei principi di minimizzazione dei dati e integrità e riservatezza degli stessi di cui all’art. 5 del Regolamento.
In attesa della creazione e attivazione dell’INAD, il Ministero dell’Interno, con la Circolare sopra richiamata, ha quindi fatto proprio e reso applicabile il pensiero del Garante Privacy, escludendo “… la possibilità di utilizzare gli indirizzi pec riferiti a studi professionali per notificare violazioni commesse con un veicolo intestato al professionista, poiché esse sono visibili anche al personale che collabora con l’intestatario della, pec”. Da ciò consegue che le violazioni al codice della Strada per le persone fisiche, imprenditori o professionisti, dovranno essere sino a quel momento notificate con i sistemi tradizionali previgenti.
I possibili rimedi alla situazione
Come detto in premessa, la sensibilità per la tutela del diritto di riservatezza è cosa nobile e giusta, ma nel caso specifico (come in altri) si ha l’impressione che i problemi siano stati posti con notevole ritardo. Innanzitutto ci sarebbe da considerare che tutte le norme suscettibili di incidere sul diritto di tutela della riservatezza e dei dati personali dovrebbero essere precedute dall’assenso del Garante Privacy; un intervento postumo, anche se giustificato, appare incompatibile con la certezza del diritto, che è un “bene” che deve essere tutelato al pari della “privacy”. Considerato che i pareri del Garante de jure condito potrebbero rilevare previsioni normative contrarie al regolamento Privacy, c’è da augurarsi quanto meno che non vengano irrogate sanzioni a carico di chi non ha fatto altro che applicare la legge.
In secondo luogo, appare evidente come il problema delle notifiche delle multe ai professionisti sarebbe dovuto emergere quanto meno in occasione del primo intervento del Garante per le imprese individuali, illustrato nei paragrafi precedenti, considerata la perfetta sovrapposizione logica e giuridica delle due fattispecie. I rimedi che sono stati posti in essere tuttavia non appaiono dirimenti rispetto al problema che intendono risolvere. Non sembra una buona pratica affidare all’Organo notificante la indagine, non sempre agevole ed immediata, di distinguere tra provvedimenti amministrativi afferenti alla sfera privata e quelli inerenti alla sfera imprenditoriale/professionale, considerando che un errore nella notificazione – peraltro decretato a posteriori – metterebbe a rischio il sistema e generebbe inefficienze e incertezze, esattamente ciò che la informatizzazione e la c.d. semplificazione avrebbero dovuto risolvere.
Vi sono anche problemi di coordinamento con altre leggi emanate, in cui la notifica di provvedimenti è chiaramente disposta all’indirizzo pec dello Studio Professionale. E’ il caso dell’art. 16, comma 4, D.L. n. 179/2012, che prevede che “Nei procedimenti civili e in quelli davanti al Consiglio nazionale forense in sede giurisdizionale, le comunicazioni e le notificazioni a cura della cancelleria sono effettuate esclusivamente per via telematica all’indirizzo di posta elettronica certificata risultante da pubblici elenchi o comunque accessibili alle pubbliche amministrazioni, secondo la normativa, anche regolamentare, concernente la sottoscrizione, la trasmissione e la ricezione dei documenti informatici.”
La preoccupazione del Garante (e il rimedio proposto) se da un lato tutelano la riservatezza dei dati personali, dall’altro corrono il rischio di ingenerare un caos applicativo, che potrebbe essere anche fonte di contenzioso, perché coinvolge indagini sulla ampiezza e portata dell’onere a carico del titolare di una casella di posta elettronica certificata di garantire, all’interno della sua organizzazione dello studio o dell’impresa, le misure minime di sicurezza nel trattamento dei dati personali. Occorre anche considerare che alla PEC di un professionista – per esempio – potrebbero arrivare notifiche di atti dei clienti con informazioni anch’esse degne di tutela e riservatezza, per cui i professionisti dovrebbero avere già da tempo adottato misure per assicurare il trattamento dei loro dati personali, che non hanno alcun motivo giuridico per essere privilegiati rispetto a quelli dei clienti.
Tutto questo ci porta a concludere che le sfumature di una realtà molto complessa e variegata, per quanto riguarda il discrimine tra dati riservati e personali e dati non riservati, potrebbe non essere percepibile al soggetto che deve effettuare la notificazione. Quello che dal punto di vista della procedura non è corretto è che la soluzione dei problemi venga affidata a coloro che devono applicare la legge, quando dovrebbe invece essere il sistema a proteggere gli utenti, che siano Pubblica Amministrazione o privati cittadini. Va emergendo con sempre maggiore chiarezza che la tradizionale differenziazione concettuale tra “postino” e “contenuto della busta sigillata”, presente nei sistemi di notificazione tradizionale, e soppressa dai sistemi di posta elettronica, probabilmente aveva pregi che sono stati soppressi e di cui avvertiamo la mancanza. Ne rappresenta un fulgido esempio la problematica connessa alla fattura elettronica, il cui percorso dal mittente al destinatario avviene sotto gli occhi di diversi operatori (non ultimo il sistema di interscambio) con aspetti che potrebbero comportare una violazione dei diritto di riservatezza, sia per quanto riguarda l’oggetto delle operazioni, che le generalità dei soggetti tra cui esse avvengono.
Conclusione
Prendere atto di ciò potrebbe apparire sotto certi aspetti frustrante, soprattutto dopo che il sistema nel suo complesso ha già avviato e consolidato sofisticate strutture di processi informatici, ma insistere su una strada che è palesemente errata non ritengo sia espressione di intelligenza e lungimiranza. Per evitare di lasciare aperto il problema senza ipotizzare una soluzione, dico subito quale potrebbe essere una base sulla quale poter avviare una riflessione comune, magari iniziando con l’individuare un metodo che permetta la generazione di un documento informatico consentendone opzionalmente l’apertura solo a chi è abilitato a farlo, previa identificazione con tutti i metodi che la tecnologia ci offre.
Per tornare all’esempio della fattura elettronica, e salvo i casi in cui la “tutela della riservatezza” non debba essere risolta “a monte” (ossia non facendo transitare la fattura elettronica dal Sistema di Interscambio[5]) la fattura dovrebbe essere progettualmente composta da due documenti, integrati ma distinti: la parte dei c.d. “dati IVA”, ossia le intestazioni e gli importi, visibili a tutti (quindi, anche all’Agenzia delle Entrate), e i “dati accessori” (e in particolare la natura, qualità e quantità delle prestazioni) che dovrebbero essere protetti e visibili solo all’emittente e al destinatario, o ai soggetti eventualmente da essi delegati. La eccessiva semplificazione, spesso perseguita encomiabilmente dal legislatore, dovrebbe essere preceduta da una analisi adeguata, per evitare si sortire effetti opposti a quelli voluti.
_
Note
- …che fissa la data a decorrere dalla quale le comunicazioni delle pubbliche amministrazioni dovranno avvenire esclusivamente in forma elettronica anche per coloro che non hanno provveduto a eleggere un domicilio digitale ↑
- Quindi non nei casi di violazione accertata con dispositivi di controllo remoto, senza contestazione immediata ↑
- Vedi paragrafo 2.2 Linee guida approvate dall’Agid il 15/9/2021 ↑
- Vedi paragrafo 2.3 Linee guida approvate dall’Agid il 15/9/2021 ↑
- Potrebbe essere il caso delle prestazioni mediche specialistiche, per cui sapere che Tizio ha ricevuto una fattura per prestazioni mediche da uno psichiatra potrebbe ledere il diritto alla riservatezza indipendentemente dal contenuto della prestazione. ↑