Una nota del Garante Privacy diretta al Ministero dell’Interno avente ad oggetto l’uso della Posta elettronica certificata riferita a professionisti individuali, da parte della Polizia locale, per la notifica di violazioni del Codice della strada, come prevista dal D.M. 18 dicembre 2017 e dalla relativa circolare applicativa; questa – in breve – prevede che le autorità competenti possano notificare via PEC la contravvenzione qualora l’indirizzo sia stato comunicato dall’interessato o sia stato reperito “nei pubblici elenchi per notificazioni e comunicazioni elettroniche” (e, come noto, le PEC dei professionisti sono obbligatoriamente nel registro INI-PEC cui il CAD assegna il ruolo di Indice dei domicili digitali per i professionisti iscritti ad albi e registri).
Il Garante Privacy si è occupato della specifica norma che, dall’inizio del 2018, consente la notifica delle violazioni al Codice della Strada via PEC per affermare che, nel particolare caso del professionista iscritto all’INI-PEC, questo tipo di notifica potrebbe presentare “problematiche” sul fronte della disciplina a tutela dei dati personali, la cui valutazione viene rimessa proprio al Ministero dell’Interno.
Vi è più di un motivo per alcune considerazioni sulle indicazioni inviate dal Garante al Ministero dell’Interno che destano più di una perplessità, se valutate dal punto di vista della coerenza con la normativa dal 2005 in poi in tema di PEC ma, anche, rispetto al rapporto tra notifiche, dati personali e professionisti.
Notifica Pec per gli atti giudiziari, quanta confusione: cosa dice la legge
Multe via PEC, cosa dice il Garante privacy
Secondo il Garante, il problema consisterebbe nel fatto che la PEC del professionista, pur essendo registrata (obbligatoriamente) nel Registro INI-PEC, può, per ragioni professionali, essere consultata anche da collaboratori, quali personale di segreteria, praticanti e colleghi del professionista stesso. Da qui il rischio per i dati personali (del professionista) contenuti nella notifica di violazione stradale e la raccomandazione del Garante, per il Ministero, di adottare ogni possibile cautela, avvisando Prefetture, Uffici Territoriali e, per il tramite, avvisando i corpi e servizi di Polizia locale. Tale raccomandazione, secondo il Garante, è da ritenersi valida sino alla piena attuazione dell’Indice Nazionale dei Domicili Digitali, nel quale i professionisti potranno – secondo il Garante – registrare una diversa PEC di domicilio digitale personale.
Dunque, per l’effetto, non dovrebbero esserci più notifiche di violazioni del Codice della Strada sulla PEC di professionisti ma – si badi – non è affatto chiaro se, laddove venissero ricevute esse sarebbero nulle. Questo perché la normativa sulla notifica via PEC e il relativo Decreto Ministeriale sulla notifica via PEC delle violazioni amministrative del Codice della Strada rimangono assolutamente in vigore ed il Garante Privacy non ha certo il potere di sospenderne l’efficacia; tutt’al più chi le riceve potrebbe denunciare eventuali violazioni della privacy correlate a tali violazioni, il che però non sembrerebbe intaccare la validità della notifica.
Un possibile errore
Tuttavia, si deve purtroppo evidenziare un errore di diritto che il Garante commette nell’interpretare la vigente normativa sull’Indice Nazionale dei Domicili Digitali, in relazione al quale l’Agid ha pubblicato a settembre 2021 le Linee Guida in base al CAD e del quale è prossima l’entrata in funzione. Il Garante scrive infatti al Ministero dell’Interno che il professionista iscritto nell’INI-PEC ha diritto, da Linee Guida Agid, a iscrivere un domicilio digitale personale nell’INAD. Questo pare un errore.
In realtà il CAD sembra precludere l’iscrizione di un domicilio digitale personale ai professionisti iscritti in albi ed elenchi (art. 6 quater comma 2): il loro domicilio digitale è l’indirizzo iscritto in INI-PEC e il loro solo diritto è quello di “eleggerne uno diverso”, non di eleggerne uno personale. Le Linee Guida Agid prevedono, come nota il Garante il diritto dei “Professionisti” di iscrivere nell’INAD un domicilio digitale personale… ma non si avvede il Garante che, nella prima parte delle Linee Guida, vengono definiti come “Professionisti” (con la “P” maiuscola) quelli che non sono iscritti in albi ed elenchi; i professionisti iscritti in Albi ed Elenchi non hanno dunque alcun diritto di iscrivere nell’INAD un domicilio digitale personale; questo errore sembra essere alla base della strana indicazione data al Ministero degli Interni.
Multe via PEC, le regole del CAD
Ora vediamo le conseguenze. Cosa deve fare l’ente notificante a cui il Ministero indica – in conseguenza della nota del Garante – di usare la PEC del professionista per ragioni di “privacy”? Dovrà usare la notifica tradizionale.
Ma il CAD prevede, all’art. 6 comma 1-quater che “I soggetti di cui all’articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario.” e l’art. 3 comma 2 prevede che “ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario”. Dunque nessuna spesa o maggiorazione potrà essere applicata per l’uso della notifica tradizionale.
Ma occorre anche riflettere brevemente sul senso generale dell’intervento del Garante, che preoccupa non poco. Perché infatti il fatto che i collaboratori del professionista possano accedere alla PEC dovrebbe essere lesivo della privacy? Di base la PEC viene aperta dal singolo professionista che è l’unico a conoscerne le credenziali e comunicata al proprio Ordine, che la inserisce in INI-PEC. Sin qui, nessuno può accedere alla PEC, sulla quale il professionista riceve – per forza di cose- tutte le notificazioni relative alla sua partita IVA, ad esempio cartelle esattoriali, accertamenti fiscali, certamente rilevanti ai fini della propria privacy rispetto ai collaboratori in quanto piene di dati personali, ma che non possono certamente essere “dirottate” sul domicilio digitale personale (laddove esista) in quanto attengono alla partita iva e all’attività professionale.
Se qualche collaboratore accede alla PEC non è per diritto divino, ma perché il professionista ne condivide le credenziali e ne delega l’accesso. Poiché la suddetta PEC riceve, nel caso dell’avvocato, atti giudiziari, documentazione relativa al personale ed ogni sorta di documenti contenenti dati personali, il collaboratore cui viene delegato l’accesso alla PEC non può che ricevere la pertinente nomina ai sensi del GDPR, a seconda dei casi autorizzato o responsabile del trattamento dei dati personali per conto del titolare (il professionista).
Il nodo della delega
Dunque non si può che presumere che, nel momento in cui la PEC del professionista riceve una multa indirizzata al professionista – non diversamente da quando riceve una cartella esattoriale indirizzata al medesimo – chi la consulta avrà la necessaria nomina al trattamento dei dati personali. Questo potrebbe invece, paradossalmente, non avvenire con la notifica tradizionale che, per come funziona la normativa sulla notifica postale, può arrivare al convivente (moglie, figlio, ecc.), al portiere, al vicino di casa o, in ufficio, a qualsiasi persona sia addetta all’ufficio o allo stabile.
Se si tratta di collaboratore o portiere questi sarà un delegato a ricevere notifiche e, anche qui, rientrerà nel novero dei “nominati” ai sensi GDPR ma, per il vicino di casa questo non è necessario e i dati personali evidenti dalla notificazione saranno conosciuti, con tutela certo minore di una notifica via PEC. Ma non è nemmeno questo il punto. Il punto – quello che lascia veramente perplessi – è la logica per cui la PEC professionale non dovrebbe poter ricevere dati personali di terzi (terzo il professionista rispetto al collaboratore che la consulta).
Tale strumento è pensato per ricevere dati personali di terzi. Nel momento in cui si notifica un atto giudiziario o un diffida ad una PEC di impresa o di una amministrazione, si stanno comunicando una serie di dati personali a terzi ignoti. Il destinatario potrebbe essere un certo dipartimento o funzionario e non sarà certo l’addetto alle PEC. In cosa questa situazione differisce da quella del professionista (destinatario della sanzione) la cui PEC viene vista da un collaboratore? E se una stessa PEC viene usata da due avvocati o due ingegneri per le proprie istanze professionali, come è ben possibile in caso di mandati congiunti, non avviene forse che l’uno ha accesso ai dati personali dei clienti dell’altro? Non è forse una soluzione che si risolve con nomine reciproche ai sensi del GDPR? Allo stesso modo dovrebbe risolversi la situazione del collaboratore che accede ai dati del professionista titolare.
Conclusione
La verità è che per quanto riguarda le e-mail, ordinarie o PEC che siano, il trattamento dati personali relativo alla casella non può che essere responsabilità rientrante negli obblighi di accountability del titolare della casella e non può doversene preoccupare un mittente pubblico che sta eseguendo obblighi di legge. È dunque auspicabile che la vicenda non finisca qui ed intervengano presto ulteriori e, stavolta definitivi, chiarimenti.
