IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U.

n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità, l’avv. F.V. ha rappresentato una presunta violazione della disciplina sulla protezione dei dati personali riguardante la procedura di registrazione al portale web “https://patrocinioan.OMISSIS.com” attraverso il quale è possibile accedere ai servizi relativi al gratuito patrocinio attivato dall’Ordine degli avvocati di Ancona (di seguito “Ordine” o “Consiglio”). In particolare, il reclamante ha lamentato che, al fine di poter presentare “istanza di ammissione al gratuito patrocinio” per i propri clienti, è necessario utilizzare il citato portale “come unica via per poter procedere all’inoltro della domanda” e che “la procedura di attivazione del profilo – oltre a vari dati – chiede espressamente la CASELLA PEC del professionista e LA PASSWORD DI ACCESSO ALLA CASELLA DI POSTA ELETTRONICA CERTIFICATA”.

Dall’accertamento preliminare effettuato dall’Ufficio in data 19 aprile 2019, è emerso che, all’indirizzo web https://patrocinioan.OMISSIS.com, è possibile accedere ai servizi relativi al gratuito patrocinio attivati dall’Ordine o effettuare una nuova registrazione. In particolare, il modulo di registrazione richiede, tra l’altro, l’inserimento delle seguenti informazioni: dati di registrazione (nome, cognome, codice fiscale, foro di appartenenza, indirizzo dello studio legale);

c.d. “Parametri PEC” (indirizzo PEC, gestore PEC, utente PEC e password PEC); paramenti di accesso (codice fiscale e password); dichiarazioni circa l’iscrizione all’“elenco degli avvocati per il Patrocinio a spese dello stato” e la presa “visione dell’informativa privacy (informativa disponibile nel sito dell'ordine avvocati)”.

2. L’attività istruttoria.

Con nota del 10 maggio 2019 (prot. n. 4341/19) rispondendo alla richiesta di informazioni formulata da questa Autorità, l’Ordine ha dichiarato, in particolare, che:

- “il trattamento dei dati relativo alle attività svolte nel predetto portale rientra nelle fattispecie previste dall’art. 6 parr. 1 e 3 del Regolamento in quanto necessario per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il portale è attivo dal mese di luglio del 2017”;

- “la fonte normativa che legittima l’applicazione delle predette disposizioni, secondo quanto previsto dal richiamato par. 3 del Regolamento nonché dall’art. 2 ter del Codice, […] è costituita dal DPR 115/02” ai sensi del quale “l’istanza di ammissione al patrocinio a spese dello stato contenente tutte le indicazioni utili a valutare la non manifesta infondatezza della domanda nonché quelle inerenti il non superamento dei limiti reddituali previsti, è presentata obbligatoriamente al Consiglio dell’Ordine degli Avvocati competente territorialmente secondo quanto previsto dall’art. 124 del richiamato testo unico”;

- “[…] l’utilizzo della piattaforma telematica con le modalità da questa previste non è obbligatorio e non è l’unica via per presentare l’istanza in quanto la stessa può essere oggetto di deposito “cartaceo” ovvero di invio a mezzo raccomandata in modalità tradizionale”;

- “La piattaforma dedicata permette di lavorare le istanze e portarle a delibera in tempi molto ridotti per agevolare l’istante che ha diritto al Gratuito Patrocinio […] ciò anche in considerazione del fatto che la maggior parte delle istanze ha a proprio fondamento ragioni di disagio sociale ed economico, […] che meritano di essere vagliate nel minor tempo possibile”;

- “Per garantire tutti gli attori coinvolti in tale procedura la piattaforma utilizza la posta elettronica certificata che tra le sue funzioni garantisce la data di presentazione, rende manifesta la provenienza e garantisce l’autenticità delle ricevute. All’atto pratico, la richiesta dei parametri PEC è necessaria in quanto il difensore del richiedente provvede alla compilazione della domanda sulla piattaforma che provvede poi all’inoltro della domanda all’Ordine degli Avvocati, la cui delibera viene comunicata al medesimo indirizzo. Il sistema informatico accede dunque alla PEC del difensore dell’istante allo scopo di utilizzare tale casella solo ed esclusivamente per l’inoltro dell’istanza di ammissione al beneficio. I dati richiesti per la registrazione hanno dunque il fine di poter esaminare in maniera celere e corretta tutte le istanze presentate e accertarsi che la presentazione avvenga da parte di Avvocati iscritti alle apposite liste”;

- “Nel totale rispetto del GDPR 679/2016 e in particolare dell’art. 6 par 1 comma a) ed e) il trattamento dei dati raccolti durante la registrazione viene effettuato dal titolare del trattamento sia per espresso consenso sia per l’esecuzione di un compito di interesse pubblico”.

Con successiva nota del 10 settembre 2020 (prot. n. 8953/20), il Consiglio ha, in particolare, chiarito che:

- con riferimento alla pubblicazione sul sito web di un avviso che prevede l’utilizzo obbligatorio dell’apposito portale per il deposito di tutte le istanze di patrocinio a spese dello Stato, “L'esigenza di indicare sul sito dell'Ordine una data, a partire dalla quale, le istanze dovevano essere formulate mediante l'utilizzo della piattaforma telematica è scaturita dal grande numero di istanze cartacee che dovevano essere lavorate dal personale della Segreteria. Indicando sul sito dell'Ordine anche l'opzione del deposito cartaceo, la quasi totalità delle istanze sarebbero pervenute, presso la segreteria, in modalità cartacea, con notevole aggravio di lavoro per la stessa”;

- “Nel progettare il software per il gratuito patrocinio si sono valutate varie modalità di presentazione delle istanze e si è concordato di procedere con l’'invio per via telematica tramite PEC e firma digitale, visto anche l'art. 65 del d.lgs. 7 marzo 2005, n. 82, soluzione che garantisce l'autenticità del documento e la certezza della data di presentazione dell'istanza, […] elemento fondamentale per il rispetto dei termini di lavorazione delle richieste”;

- “Per quanto riguarda le credenziali di autenticazione [(username e password) per l’accesso alle caselle PEC degli avvocati] queste vengono richieste in fase di registrazione con lo scopo di verificare se i parametri inseriti permettono l'invio nel momento della presentazione dell’istanza e non vengono in nessun modo salvate nei server visto che il portale "gratuito patrocinio" riceveva il cookie tecnico dal browser dell'utente per poter inviare tramite PEC l'istanza firmata digitalmente ad una casella dedicata alla ricezione”;

- “La password veniva cifrata con algoritmo AES256 e memorizzata all'interno di un cookie tecnico nel browser dell'utente. Nel momento in cui viene inviata l'istanza tramite la PEC il browser dell’utente invia il cookie tecnico contenente il codice criptato, […] l'algoritmo usato è AES256 che utilizza una parte specifica del codice fiscale e una parte fissa conosciuta solo dal server, il sistema lo decifra e consente l'invio dell'istanza da parte dell’utente, terminata questa operazione della password non resta nessuna traccia”;

- “Viste le disposizioni dell'art. 122 del codice con riferimento ai cookie tecnici si è ritenuto di agevolare l'utilizzo della piattaforma da parte dell'utente che ne ha fatto richiesta mantenendo uno standard di sicurezza elevato”;

- “i cookie tecnici sono quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio";

- “non abbiamo nessuna credenziale di autenticazione delle caselle PEC salvata nei nostri server”.

La società OMISSIS S.r.l., in data 19 settembre 2020, ha, tra le altre cose, precisato che “Il sistema gestisce la password della casella PEC dell'utente a mezzo di un cookie tecnico rilasciato nel pc dell'utente e criptato con algoritmo AES256 e con una chiave composta da una parte del codice fiscale. Sostanzialmente, il sistema, per utilizzare la casella PEC dell'utente e inviare l'istanza deve utilizzare il cookie tecnico cifrato con AES256 fornito dall'utente, decriptarlo con la chiave di cifratura "parte del codice fiscale", spedire l'istanza, eliminando poi la password utilizzata. Ogni volta che si deve utilizzare la password la stessa viene ricreata attraverso il sistema sopradescritto. Nel caso in cui non si trovi il cookie tecnico il sistema richiede la password all'utente nuovamente”.

Successivamente, il Consiglio, con nota del 14 gennaio 2021, ha rappresentato quanto segue:

- “Per quanto riguarda le credenziali di autenticazione [per l’accesso alle caselle PEC degli avvocati] queste vengono richieste in fase di registrazione con lo scopo di verificare se i parametri inseriti permettono l’invio nel momento della presentazione dell’istanza e non vengono in nessun modo salvate nei server visto che il portale “gratuito patrocinio” riceveva il cookie tecnico dal browser dell’utente per poter inviare tramite PEC l’istanza firmata digitalmente ad una casella dedicata alla ricezione”;

- “Il sistema sopra narrato e richiamato nell’abstract delle precedenti comunicazioni non è nemmeno più in utilizzo da anni perché, visti i vari aggiornamenti dei browser in merito alla sicurezza che alcune volte non rendevano armonico quanto sopra, si è optato per richiedere la password della pec ad ogni invio NON censendola più in nessun dove nelle precedenti comunicazioni”, precisando che, all’atto della registrazione al portale, “la password della pec è richiesta solo per verificare la correttezza dei dati inseriti (tramite invio di una pec di test)”;

- “All’atto pratico una volta terminata la registrazione per accedere al portale viene richiesto il codice fiscale e una password che l’utente ha generato in fase di iscrizione, dove è presente lo specifico richiamo all’informativa privacy il cui link riporta correttamente all’informativa predisposta da OMISSIS, compilata l’istanza per poterla inviare tramite posta certificata compare un messaggio che richiede l’inserimento della password della PEC”, allegando altresì copia di tale informativa.

Sulla base degli elementi acquisiti l’Ufficio ha notificato all’Ordine, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto il trattamento dei dati personali degli avvocati (circa 1.078 interessati), effettuato nell’ambito del portale “https://patrocinioan.OMISSIS.com” al fine di poter presentare le istanze di ammissione al gratuito patrocinio, attivato dall’Ordine, è stato effettuato in violazione degli artt. 5, parr. 1, lett. a), e 2; 13 e 25 del Regolamento e il trattamento delle credenziali di autenticazione delle caselle PEC degli avvocati (nome utente e password), è stato effettuato in violazione degli artt. 5, par. 1, lett. a) e f), 6 e 25 del Regolamento nonché dell’art. 122 del Codice. Pertanto il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Ordine ha fatto pervenire le proprie memorie difensive rappresentando, in particolare, che:

- “In data 8/5/2017 il precedente Consiglio in carica affidava a OMISSIS s.r.l. […] il servizio relativo alla realizzazione di un portale per la gestione telematica del patrocinio a spese dello stato […]: si precisa che l’attuale Consiglio si è insediato nel mese di aprile 2019”;

- “il Consiglio aveva scelto di affidare tale servizio a OMISSIS s.r.l., in quanto soggetto in possesso sia di requisiti tecnico-professionali reputati adeguati, sia di elevati standard di certificazione, sia di esperienza documentata presso altri Ordini Professionali. Il servizio affidato prevedeva la gestione telematica completa di tutte le fasi relative alle istanze di ammissione, ivi compresa la protocollazione delle stesse. In pari data, OMISSIS s.r.l. veniva nominato responsabile esterno del trattamento dei dati ai sensi dell’art. 28 del GDPR”;

- “In data 7/5/2019 […] l’Ordine riceveva una nota dal gestore nella quale […] si evidenziava che l’acquisizione del dato [(le credenziali di autenticazione per l’accesso alla casella PEC)] era necessaria “per garantire la spedizione dell’istanza via PEC, così da assicurare la data di invio e ricezione delle istanze, eventuali richieste di integrazione documenti e delibere e garantire la provenienza e l’integrità”. Sotto il profilo tecnico, il gestore assicurava l’assoluta sicurezza del trattamento del dato in quanto il servizio era accessibile a mezzo protocollo https e soggetto a cifratura secondo algoritmi di crittografia avanzata, oltre alle altre garanzie di vigilanza e di sicurezza, tutte attività svolte da soggetto in possesso di certificazioni ISO 27017, 27018, 27001 e 27003”;

- con riferimento all’avviso “che informava gli utenti che tutte le istanze di ammissione avrebbero dovuto essere depositate esclusivamente in via telematica”, “si evidenzia come lo stesso sia un refuso rimasto pubblicato sul sito dell’Ordine a seguito dell’attivazione del portale da parte della precedente consiliatura e che nella realtà dei fatti quanto ivi descritto non sia stato ritenuto vincolante dal presente Consiglio attualmente in carica: a riprova di ciò si dichiara infatti che a far data dall’anno 2017 ad oggi risultano essere state recapitate in modalità cartacea e/o a mezzo PEC direttamente allo scrivente Ordine e dunque NON per il tramite del portale, un totale nr. 125 istanze […]. Peraltro, ritenuto di dover condividere quanto esposto dal DPO in ordine alle modalità di rimozione di tale avviso, si evidenzia come lo stesso sia stato effettivamente cancellato dal sito in esito alla delibera adottata dal Consiglio”;

- “In data 14/1/2021 l’Ordine provvedeva a fornire il richiesto riscontro allegando altresì l’informativa privacy predisposta autonomamente dal gestore OMISSIS s.r.l. e da questi comunicata […]. Rispetto a tale testo di informativa allegato alla comunicazione, preme evidenziare che esso non sia quello relativo al servizio oggetto di accertamento da parte del Garante, bensì il testo dell’informativa relativa al trattamento, da parte di OMISSIS s.r.l., dei dati dei propri clienti a titolo di autonomo Titolare del trattamento, per proprie finalità, fornita solitamente da OMISSIS stessa in sede di accesso al proprio sito web. Essa non ha dunque alcun rilievo, ai fini del procedimento in corso, in quanto si tratta di documento estraneo ai servizi ed ai trattamenti oggetto di accertamento da parte del Garante”;

- “Presa contezza delle considerazioni di cui alla notifica” della violazione di cui all’art. 166, comma 5, del Codice “l’Ordine provvedeva immediatamente a disporre la sospensione precauzionale del portale invitando il gestore a fornire puntuale riscontro alle predette […]. Come si evince dal sito dell’Ordine, a seguito della sospensione si è provveduto ad attivare un sistema che prevede di scaricare il modulo pdf compilabile che viene poi trasmesso a mezzo PEC all’Ordine: sostanzialmente, ad oggi non è attiva la compilazione e trasmissione telematica delle istanze”;

- “in data 10/5/2021 […] l’Ordine invitava OMISSIS a voler produrre una dettagliata relazione in punto a quanto evidenziato nell'avviso ricevuto dal GPDP”. “Tale richiesta si rendeva necessaria proprio in considerazione della notifica e tenuto conto del fatto che l’Ordine – al cui interno non sono presenti professionalità con specifica formazione informatica – aveva ritenuto corretto affidarsi ad un soggetto professionalmente idoneo alla creazione di una struttura informatica che consentisse la gestione telematica delle istanze di ammissione al patrocinio a spese dello Stato. Stanti le risultanze del procedimento prospettate dall’intestato Garante, è a questo punto lecito per lo scrivente Ordine dubitare rispetto alla fondatezza delle argomentazioni esposte dal gestore, da cui in larga parte dipendono le questioni del presente procedimento. […] la progettazione del portale ivi compresa la previsione della richiesta delle credenziali di accesso alla PEC del difensore istante deriva da una specifica indicazione progettuale di OMISSIS la quale ha rappresentato allo scrivente Ordine l’assoluta necessità di ottenere il predetto dato in quanto altrettanto necessario ad una corretta gestione delle istanze ed ha altresì evidenziato come il predetto portale fosse stato già attivato con i medesimi accorgimenti e le medesime modalità tecniche per altri ordini forensi.”;

- “Nonostante questo, ritenendo invero doveroso il puntuale riscontro a quanto indicato nella notifica, questo Ordine ha provveduto a commissionare al gestore una totale riprogettazione del portale al fine di attivare un sistema che NON richieda l’inserimento delle credenziali della PEC all’atto della registrazione e che dunque utilizzi altri sistemi per garantire quell’efficacia e quella sicurezza necessari ad un corretto svolgimento del compito che la norma affida all’Ordine in relazione all’ammissione degli istanti al patrocinio a spese dello Stato.”;

- “In attesa di poter visionare e valutare il nuovo progetto del portale, l’Ordine ha provveduto […] a disporre la sospensione dell’accesso ed ha provveduto ad attivare un sistema “manuale” mediante il quale l’Avvocato che intenda presentare un’istanza di ammissione al patrocinio a spese dello Stato procede alla compilazione di un modulo in formato .pdf che viene poi trasmesso all’Ordine a mezzo PEC e inserito da personale dell’Ordine nel sistema per essere poi lavorato dai Consiglieri incaricati della verifica istruttoria delle istanze cui consegue la delibera di provvisoria ammissione al beneficio richiesto […]. Tale procedura, sebbene più laboriosa, evita il coinvolgimento di terzi soggetti, in un’ottica di c.d. privacy by default”;

- “Per quanto attiene alle contestazioni circa il contenuto dell’informativa privacy, si deve esporre quanto segue. Nella notifica si evidenzia […] che non sarebbero state fornite agli interessati le informazioni necessarie ad assicurare un trattamento corretto e trasparente e si evidenzia che nonostante il richiamato modulo di registrazione rinvenibile all’accesso del portale “richiedesse la presa visione dell’informativa privacy (informativa disponibile nel sito dell’ordine avvocati) su tale pagina non risultava presente alcun link a tale informativa”. Nell’originaria struttura del portale, in effetti, era indicato che l’informativa era pubblicata direttamente sul sito dell’Ordine ma non si è affermata la presenza di un link ipertestuale a tale pagina. La ridetta informativa, in relazione alla quale era richiesto agli utenti di procedere alla presa visione, è infatti da sempre stata contenuta, ed è sempre consultabile, all’indirizzo web https://ordineavvocatiancona.it/informativa-privacy/. A seguito dei rilievi del Garante si è dunque provveduto a predisporre un link ipertestuale posizionato all’accesso al portale ed all’interno della procedura stessa di registrazione di nuova utenza per i servizi, che rimanda in maniera diretta all’informativa privacy. In proposito, è stato chiesto a OMISSIS, nella sua qualità di responsabile esterno del trattamento, di operare ogni necessario cambiamento in proposito, unitamente ad ogni ulteriore specifica argomentazione”;

- con riferimento a “quanto previsto dall’art. 83 comma 2 del regolamento. 1. Quanto al paragrafo a) Non può che ricordarsi che la finalità del trattamento in questione è funzionale all’espletamento di un servizio finalizzato all’accesso automatizzato al patrocinio a spese dello Stato e dunque in connessione ad un procedimento giurisdizionale da attivarsi ovvero anche già attivato in sede civile di talché lo stesso è stato ritenuto necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento secondo quanto previsto dall’art. 6 del Regolamento, fermo quanto sopra evidenziato circa il fatto che la necessarietà sotto un profilo tecnico di tale trattamento è stata rappresentata allo scrivente Ordine dal soggetto professionale incaricato di provvedere alla creazione del portale. In ordine alla gravità, si ritiene di poter affermare che tale elemento si auspica sia ritenuto di livello alquanto modesto, tenuto conto che le predette credenziali non sono state oggetto di alcuna diffusione e non è stato cagionato alcun danno dal predetto trattamento. Si richiama, in proposito, quanto infra dedotto circa l’esiguità numerica delle utenze al servizio, rispetto alle richieste di accreditamento pervenute, negli anni per cui è istruttoria, con modalità analogica cartacea. Si ritiene inoltre rilevante evidenziare che il trattamento non è stato effettuato nell’ambito di un’attività commerciale o comunque nell’ambito di un’attività lucrativa di talché l’Ordine degli Avvocati non ha ricevuto alcun vantaggio né alcuna utilità economica dal predetto trattamento. In ordine alla durata, si ritiene di poter affermare che il periodo interessato è compreso tra il mese di luglio 2017 fino a maggio del 2021, e da allora non è proseguita”;

- “Quanto al paragrafo b) Auspicando che venga riconosciuta la buona fede e correttezza da parte dell’Ordine con conseguente esclusione di qualsivoglia elemento soggettivo, dovendo in ogni caso ascrivere la vicenda nell’ambito della condotta dolosa ovvero colposa, si ritiene che la stessa possa essere qualificata in termini di colpa in ragione del fatto che l’Ordine è stato indotto a procedere al trattamento in forza di indicazioni tecniche secondo le quali il trattamento doveva ritenersi necessario e dunque conditio sine qua non per quanto attiene l’utilizzo del portale per l’inserimento delle istanze di ammissione al patrocinio a spese dello Stato […].”;

- “Quanto al paragrafo d) Si rimanda alle relazioni inviate da OMISSIS in cui si rappresenta l’elevatissimo livello di sicurezza della struttura informatica inerente il trattamento del dato. A riprova dell’efficacia del livello di sicurezza predisposto deve evidenziarsi come a far data dall’attivazione del portale nell’anno 2017 non si è verificata alcuna perdita né diffusione illecita del dato […]”;

- “Quanto al paragrafo f) Si ritiene di poter affermare che l’Ordine ha prontamente dato riscontro a quanto richiesto dall’Autorità nel corso dell’istruttoria, ha provveduto a richiedere gli opportuni chiarimenti all’organo tecnico incaricato della costruzione del portale e della gestione dello stesso nonché a disporre l’immediata sospensione dello stesso all’esito delle considerazioni dell’Autorità circa le ragioni di carattere tecnico che sono state rappresentate nel predetto corso. Si può quindi ritenere che l’Ordine abbia offerto il massimo grado di cooperazione”.

Nel corso dell’Audizione tenutasi in data 29 settembre 2021, l’Ordine ha rappresentato che:

- “gli avvocati hanno sempre avuto la possibilità, sia prima che dopo l’intervento dell’Autorità, di presentare le istanze di ammissione al gratuito patrocinio a spese dello Stato sia in modalità cartacea che telematica tramite PEC, oltre che con il portale oggetto del presente procedimento”;

- “l’Ordine ha ritenuto di affidare alla società OMISSIS S.r.l. la realizzazione e la gestione del portale in questione in quanto tale soggetto risultava in possesso di requisiti tecnico- professionali adeguati e forniva il medesimo servizio ad altri Ordini degli avvocati”;

- “la società OMISSIS S.r.l., nelle interlocuzioni con l’Ordine, ha sempre sostenuto che la procedura di presentazione delle istanze adottata nell’ambito del servizio in questione fosse adeguata e rappresentasse l’unica modalità per realizzare il servizio”;

- “l’Ordine è venuto a conoscenza della questione direttamente dall’Autorità, non avendo ricevuto alcuna segnalazione al riguardo che avrebbe consentito di gestire e risolvere la problematica con maggiore celerità in un’ottica di accountability”;

- “l’Ordine ha tempestivamente provveduto a sospendere il servizio in questione a seguito della ricezione dell’atto di avvio del presente procedimento”;

- “l’Ordine e la società OMISSIS S.r.l. non hanno ricevuto alcuna richiesta di risarcimento del danno da parte degli interessati e non hanno evidenza di alcuna violazione dei dati personali trattati nell’ambito del servizio in questione”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Ai sensi del Regolamento europeo, divenuto applicabile dal 25 maggio 2018, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1), del Regolamento).

I soggetti pubblici, quali gli Ordini professionali, possono trattare i dati personali se “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, parr. 1, lett. e), e 3, lett. b), del Regolamento e art. 2-ter del d.lgs. n. 196 del 30 giugno 2003, Codice in materia di protezione dei dati personali – di seguito, il “Codice”), fornendo previamente agli interessanti un’informativa sul trattamento dei dati personali (artt. 12, 13 e 14 del Regolamento).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi di “liceità, correttezza e trasparenza” e di “integrità e riservatezza” in base ai quali i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” e “in maniera da garantire un’adeguata sicurezza dei dati personali”, nonché a comprovare il rispetto dei richiamati principi in ossequio al principio di “responsabilizzazione” (art. 5, parr. 1, lett. a) e f), e 2, del Regolamento).

Il titolare del trattamento, in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, deve inoltre mettere in atto “misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del […] regolamento e tutelare i diritti degli interessati” nonché “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (art. 25, parr. 1 e 2, del Regolamento).

Si evidenzia infine che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che l’interessato abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122 del Codice).

3.2 La liceità e la sicurezza del trattamento.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Ordine ha effettuato il trattamento delle credenziali di autenticazione delle caselle PEC degli avvocati in assenza di un’idonea base giuridica.

Dalla documentazione in atti risulta, infatti, che l’Ordine a partire “dal mese di luglio del 2017” ha reso disponibile un portale (“https://patrocinioan.OMISSIS.com”), attraverso il quale gli avvocati erano tenuti a inserire e gestire le istanze di gratuito patrocinio.

In particolare, il modulo di registrazione presente all’indirizzo “https://patrocinioan. OMISSIS.com/registrazione.php” - oltre alle informazioni relative ai dati di registrazione (nome, cognome, codice fiscale, foro di appartenenza, indirizzo dello studio legale), ai parametri di accesso (codice fiscale e password) e alle dichiarazioni circa l’iscrizione all’“elenco degli avvocati per il Patrocinio a spese dello stato” - richiedeva l’inserimento dei c.d. “Parametri PEC” (“indirizzo PEC”, “gestore PEC”, “utente PEC” e “password PEC”).

Al riguardo, il Consiglio ha dichiarato che le ragioni che avrebbero reso necessaria l’adozione del citato portale sarebbero legate all’esigenza di “lavorare le istanze e portarle a delibera in tempi molto ridotti per agevolare l’istante che ha diritto al Gratuito Patrocinio […] ciò anche in considerazione del fatto che la maggior parte delle istanze ha a proprio fondamento ragioni di disagio sociale ed economico, […] che meritano di essere vagliate nel minor tempo possibile” e che la base giuridica del trattamento sarebbe costituita dal d.P.R. n. 115/2002. È stato inoltre rappresentato che “il trattamento dei dati raccolti durante la registrazione [… veniva] effettuato […] sia per espresso consenso sia per l’esecuzione di un compito di interesse pubblico”.

In un primo momento, il Consiglio ha rappresentato che le password di accesso alle caselle PEC degli avvocati, “richieste in fase di registrazione con lo scopo di verificare se i parametri inseriti permettono l'invio nel momento della presentazione dell’istanza”, ancorché non venissero “in nessun modo salvate nei server”, venivano “cifrat[e] con algoritmo AES256 e memorizzat[e] all'interno di un cookie tecnico nel browser dell'utente”.

Successivamente, in data 14 gennaio 2021, il Consiglio ha evidenziato che le predette modalità di trattamento delle credenziali di autenticazione delle caselle PEC degli avvocati non sono utilizzate “da anni perché, visti i vari aggiornamenti dei browser in merito alla sicurezza che alcune volte non rendevano armonico quanto sopra, si è optato per richiedere la password della pec ad ogni invio” precisando che, all’atto della registrazione al portale, “la password della pec è richiesta solo per verificare la correttezza dei dati inseriti (tramite invio di una pec di test)”.

In merito a quanto sopra rappresentato, si osserva quanto segue.

Preliminarmente si evidenzia che un trattamento di dati personali consiste in una “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, punto 2), del Regolamento).

Sulla base degli elementi sopra riportati, deve ritenersi che le operazioni descritte diano luogo a un trattamento di dati personali da parte dell’Ordine, soggetto all’applicazione del quadro normativo in materia di protezione dei dati personali.

Nel caso in esame, infatti, risulta dalle dichiarazioni che l’Ordine, ancorché non abbia conservato nessuna credenziale di autenticazione delle caselle PEC degli avvocati (nome utente e password) sui sistemi informatici gestiti da OMISSIS S.r.l. per conto dell’Ordine:

- almeno fino alla data del 20 settembre 2019, ha effettuato trattamenti dei predetti dati personali, sia all’atto delle registrazione di un utente al portale in questione (momento in cui la password, in chiaro, veniva raccolta, cifrata e memorizzata all’interno di un asserito “cookie tecnico”), sia all’atto della presentazione di un’istanza di ammissione al patrocinio a spese dello Stato (momento in cui la password, memorizzata in forma cifrata all’interno del predetto “cookie tecnico”, veniva raccolta, decifrata e utilizzata dal portale per l’invio, per conto dell’avvocato, del messaggio PEC contenente l’istanza);

- anche a seguito della modifica del funzionamento del portale in questione, ha effettuato il trattamento delle predette credenziali di autenticazione delle caselle PEC sia all’atto della registrazione dell’ utente (“con lo scopo di verificare se i parametri inseriti permettono l’invio nel momento della presentazione dell’istanza”), sia all’atto della presentazione di ciascuna istanza di patrocinio a spese dello Stato (per l’invio, per conto dell’avvocato, del messaggio PEC contenente l’istanza).

Ciò premesso, si evidenzia che, affinché uno specifico trattamento di dati personali possa essere lecitamente effettuato da parte di un soggetto pubblico, lo stesso deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e deve trovare il proprio fondamento in una disposizione che abbia le caratteristiche di cui all’art. 2-ter del Codice.

La normativa richiamata dal Consiglio, pur legittimando il trattamento dei dati relativi all’istanza di ammissione al gratuito patrocinio a spese dello Stato, non prevede il trattamento da parte dell’Ordine delle credenziali di autenticazione per l’accesso alla casella PEC in uso all’avvocato che utilizza il portale in esame.

Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento, quanto rappresentato dal Consiglio in merito al fatto che “la registrazione viene effettuata dal titolare del trattamento sia per espresso consenso sia per l’esecuzione di un compito di interesse pubblico”. Ciò in quanto il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito pubblico in ragione dello squilibrio della posizione degli interessati rispetto al titolare del trattamento (cfr. considerando n. 43 del Regolamento).

Peraltro, si osserva che, in base alla documentazione acquisita agli atti, non risulta che per registrarsi al portale in esame, venisse richiesta la prestazione di un consenso al trattamento dei richiamati dati personali.

In ogni caso il consenso invocato dall’Ordine non avrebbe potuto ritenersi, nell’ambito del trattamento in esame, una “manifestazione di volontà libera” (art. 4, punto 11), del Regolamento) considerato che gli avvocati erano portati a considerare obbligatorio l’utilizzo del citato portale, in base a quanto riportato sull’avviso pubblicato sul sito web dell’Ordine, secondo il quale “il deposito di tutte le istanze [di patrocinio a spese dello Stato] potrà avvenire solo tramite l’utilizzo dell’apposita piattaforma telematica”.

Né il trattamento delle credenziali di autenticazione delle caselle PEC (nome utente e password) utilizzate dagli avvocati può ritenersi autorizzato in quanto non risulta “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento), potendo tale finalità essere perseguita con mezzi meno invasivi, che non mettano a rischio i diritti e le libertà degli interessati (prevedendo, ad esempio, che sia l’avvocato stesso a provvedere autonomamente al suddetto invio nel rispetto della richiamata disciplina di settore).

A ciò si aggiunga che il trattamento delle credenziali di autenticazione delle caselle PEC, effettuato con le predette modalità (con o senza archiviazione delle credenziali stesse nell’asserito “cookie tecnico”), si pone in contrasto con il principio di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), del Regolamento. Ciò in quanto il trattamento, così come configurato, non garantisce un’adeguata sicurezza dei dati personali e comporta gravi e ingiustificati rischi per i diritti e le libertà degli interessati derivanti da potenziali accessi non autorizzati alla casella PEC in uso all’avvocato, che contiene dati personali, anche appartenenti alle categorie particolari o relativi a condanne penali e reati (artt. 9 e 10 del Regolamento), riferibili non solo all’avvocato stesso ma anche ai suoi assistiti o ad altri soggetti (avvocati, magistrati, ecc.).

Inoltre, in considerazione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a una pluralità di servizi online, un’eventuale violazione delle predette credenziali di autenticazione potrebbe determinare effetti negativi anche in relazione a trattamenti effettuati in contesti diversi da quello in esame.

Non può, infine, essere ritenuto idoneo a giustificare la condotta dell’Ordine il fatto che “la progettazione del portale ivi compresa la previsione della richiesta delle credenziali di accesso alla PEC del difensore istante deriva[sse] da una specifica indicazione progettuale di OMISSIS la quale ha rappresentato all’[…] Ordine l’assoluta necessità di ottenere il predetto dato in quanto altrettanto necessario ad una corretta gestione delle istanze ed ha altresì evidenziato come il predetto portale fosse stato già attivato con i medesimi accorgimenti e le medesime modalità tecniche per altri ordini forensi”.

La normativa in materia di protezione dei dati personali prevede infatti che spetta al titolare del trattamento prendere decisioni in merito a determinati elementi chiave del trattamento stesso. Il titolare del trattamento è tenuto dunque a stabilire le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento (art. 4, punto 7 del Regolamento).

Al riguardo, le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, evidenziano, infatti, che “per quanto concerne la definizione dei mezzi, si può operare una distinzione tra mezzi essenziali e non essenziali. I «mezzi essenziali» sono tradizionalmente e intrinsecamente riservati al titolare del trattamento. […] Per «mezzi essenziali» si intendono i mezzi strettamente legati alla finalità e alla portata del trattamento, tra cui il tipo di dati personali trattati («quali dati sono trattati?») […] Insieme alla finalità del trattamento, i mezzi essenziali sono inoltre strettamente connessi alla liceità, necessità e proporzionalità del trattamento stesso” (cfr., in part., punto 40).

Alla luce delle considerazioni che precedono si ritiene che, nell’ambito del citato portale per la presentazione delle istanze di accesso al gratuito patrocinio, l’Ordine abbia trattato illecitamente le credenziali di autenticazione delle caselle PEC degli avvocati (nome utente e password), in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. e), del Regolamento, nonché del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), del Regolamento.

3.3 La trasparenza del trattamento e le informazioni rese agli interessati.

Con riferimento al diverso profilo relativo alle informazioni rese agli avvocati all’atto della registrazione al portale, risulta che, almeno fino al 19 aprile 2019 (data dell’accertamento preliminare effettuato dall’Ufficio), non sono state fornite agli interessati le informazioni necessarie ad assicurare un trattamento corretto e trasparente, così come previsto dagli artt. 5, par. 1, lett. a), e 13 del Regolamento. Peraltro, nonostante il richiamato modulo di registrazione, rinvenibile alla pagina web “https://patrocinioan.OMISSIS.com/registrazione.php”, richiedesse la presa “visione dell’informativa privacy (informativa disponibile nel sito dell'ordine avvocati)”, su tale pagina non risultava presente alcun link a tale informativa.

La richiamata informativa, inoltre, non è stata neppure prodotta in riscontro alla richiesta di informazioni formulata dal Garante. Il Consiglio, infatti, si è limitato a fornire all’Autorità un’elencazione delle informazioni rese (“Identità e dati di contatto del Titolare del Trattamento […]; Dati di contatto del DPO; Finalità del trattamento e base giuridica; Modalità del trattamento e periodo di conservazione dei dati; Ambito di comunicazione e diffusione; Diritti dell’interessato; Periodo di conservazione”) senza allegare copia di tale informativa. L’Ordine, quindi, non ha comprovato l’assolvimento del principio di trasparenza in violazione del principio di responsabilizzazione di cui all’art. 5, par. 2, del Regolamento.

In data 14 gennaio 2021, il Consiglio ha rappresentato che, presso la sopra citata pagina web di registrazione al portale, è stato introdotto uno “specifico richiamo all’informativa privacy il cui link riporta correttamente all’informativa predisposta da OMISSIS”, in precedenza non presente e ha allegato “le stampe a video del portale corredate dalle indicazioni […] descritte” tra cui un’informativa non attinente al trattamento dei dati personali in questione.

Al riguardo l’Ufficio ha rilevato che l’allegata informativa sul trattamento dei dati personali non è idonea a rendere il trattamento in esame trasparente per gli interessati, nei termini richiesti dall’art. 13 del Regolamento. Ciò in quanto la stessa informativa, dopo aver chiarito che la società OMISSIS “in accordo con l’Ordine degli Avvocati per cui viene erogato il servizio, gestisce il portale web, trattando i soli dati necessari per evadere le richieste”, individua come titolare del trattamento dei dati personali degli avvocati la stessa società OMISSIS S.r.l..

L’individuazione della società OMISSIS S.r.l. come titolare del trattamento non risulta però conforme alle definizioni previste dal Regolamento (art. 4, punti 7) e 8), del Regolamento) che qualificano come titolare il soggetto che, come sopra ricordato, “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri” e come responsabile del trattamento il soggetto “che tratta dati personali per conto del titolare del trattamento” (cfr. la nomina della società OMISSIS S.r.l. da parte dell’Ordine quale responsabile del trattamento dei dati effettuato nell’ambito del portale in esame, ai sensi dell’art. 28 del Regolamento, prodotta dalla Società in data 20 settembre 2019).

Il testo di tale informativa risulta, inoltre, estremamente generico e non contiene, in particolare, riferimenti agli specifici trattamenti posti in essere mediante il sistema e alla base giuridica del trattamento, limitandosi genericamente a prevedere che “I dati servono al Titolare per dar seguito al contratto di fornitura del Servizio prescelto, gestire ed eseguire le richieste di contatto inoltrate dall’Interessato, fornire assistenza, fornire informazioni riguardanti i servizi legati alla professione e adempiere agli obblighi di legge cui il Titolare è tenuto in funzione dell’attività esercitata. In nessun caso SM Srl rivende i dati personali dell’Interessato a terzi né li utilizza per finalità non dichiarate”.

Con riferimento a tale informativa, in un secondo momento (cfr. documentazione del 7 giugno 2021) il Consiglio ha specificato che “l’Ordine provvedeva a fornire il richiesto riscontro allegando altresì l’informativa privacy predisposta autonomamente dal gestore OMISSIS s.r.l. e da questi comunicata […]. Rispetto a tale testo di informativa allegato alla comunicazione, preme evidenziare che esso non sia quello relativo al servizio oggetto di accertamento da parte del Garante, bensì il testo dell’informativa relativa al trattamento, da parte di OMISSIS s.r.l., dei dati dei propri clienti a titolo di autonomo Titolare del trattamento, per proprie finalità, fornita solitamente da OMISSIS stessa in sede di accesso al proprio sito web. Essa non ha dunque alcun rilievo, ai fini del procedimento in corso, in quanto si tratta di documento estraneo ai servizi ed ai trattamenti oggetto di accertamento da parte del Garante”.

Nella medesima nota l’Ordine ha altresì rappresentato che “Nell’originaria struttura del portale, in effetti, era indicato che l’informativa era pubblicata direttamente sul sito dell’Ordine ma non si è affermata la presenza di un link ipertestuale a tale pagina. La ridetta informativa, in relazione alla quale era richiesto agli utenti di procedere alla presa visione, è infatti da sempre stata contenuta, ed è sempre consultabile, all’indirizzo web https://ordineavvocatiancona.it/informativa-privacy/. A seguito dei rilievi del Garante si è dunque provveduto a predisporre un link ipertestuale posizionato all’accesso al portale ed all’interno della procedura stessa di registrazione di nuova utenza per i servizi, che rimanda in maniera diretta all’informativa privacy”.

Ciò stante, si rappresenta che a seguito di ulteriori accertamenti effettuati dall’Ufficio in data 1° febbraio 2023, è emerso che il portale dedicato al gratuito patrocinio è stato riattivato dall’Ordine e che il nuovo modulo di registrazione presente su tale portale non richiede l’inserimento delle credenziali di autenticazione per l’accesso alla casella PEC dell’avvocato. È stato tuttavia rilevato che il link all’informativa sul trattamento dei dati personali presente nel modulo di registrazione rimanda a un’informativa relativa “alle attività online [… effettuate nell’ambito del sito della società SM S.r.l.] valida per i visitatori/utenti del sito” che indica come titolare del trattamento la predetta società, con sede legale a Venezia in via Trieste 158/B. Tale informativa non fornisce, pertanto, alcuna informazione riguardante lo specifico trattamento in esame.

Pertanto, sulla base della documentazione acquisita agli atti e delle dichiarazioni rese dal titolare del trattamento, risulta che l’Ordine non ha fornito agli interessati, all’atto della registrazione al portale, le informazioni relative al trattamento dei dati personali ivi effettuato. In un primo momento in quanto, nonostante il modulo di registrazione rinvenibile alla citata pagina web richiedesse la presa “visione dell’informativa privacy”, su tale pagina non risultava presente alcun link all’informativa, mentre, attualmente, è presente un link alla “privacy policy” riguardante le attività online effettuate nell’ambito del sito della società SM S.r.l., che indica come titolare del trattamento la predetta società e non fornisce, quindi, informazioni relative allo specifico trattamento effettuato nell’ambito del Portale oggetto del reclamo.

Per tutte le ragioni sopra rappresentate, il trattamento posto in essere dall’Ordine non può ritenersi conforme al principio di “liceità, trasparenza e correttezza”, non essendo stati forniti agli interessati tutti gli elementi informativi previsti dal Regolamento (artt. 5, par. 1, lett. a), e 13 del Regolamento).

3.4 L’archiviazione di informazioni nel terminale dell’utente e l’accesso alle informazioni già archiviate.

Dalla documentazione in atti è emerso che, almeno fino alla data del 20 settembre 2019, all’atto della registrazione di un avvocato al portale in questione, la password di accesso alla sua casella PEC veniva memorizzata, in forma cifrata, all’interno di un asserito “cookie tecnico” e, successivamente, all’atto della presentazione di un’istanza di ammissione al gratuito patrocinio lo stesso portale accedeva alla password contenuta all’interno di tale “cookie tecnico”.

In altre parole, il portale provvedeva ad archiviare, in forma cifrata, la password di accesso alla casella PEC dell’avvocato nel terminale utilizzato da quest’ultimo e, in seguito, accedeva a tale informazione al fine di trasmettere all’Ordine l’istanza di ammissione al gratuito patrocinio per conto dell’avvocato. Ciò senza che l’avvocato venisse informato di tale circostanza e dei rischi che la memorizzazione, seppur in forma cifrata, di una password all’interno di un cookie può comportare sotto il profilo della sicurezza.

Al riguardo si osserva che, non potendo il predetto cookie essere considerato un “cookie tecnico” – in quanto non strettamente necessario all’erogazione del servizio (ben potendo l’avvocato, provvedere in autonomia all’invio dell’istanza firmata digitalmente dalla propria casella PEC, senza dover fornire all’Ordine le credenziali di accesso alla stessa) –, l’archiviazione all’interno di tale cookie di informazioni non strettamente necessarie all’erogazione del servizio, e il successivo accesso alle stesse, avrebbero potuto essere effettuati solo a condizione che l’interessato avesse espresso il proprio consenso informato ai sensi dell’art. 122 del Codice. Dalla documentazione in atti non risulta, tuttavia, che nell’ambito del portale in questione fossero previste modalità di raccolta di tale consenso.

Per tali ragioni, il trattamento dei dati personali in esame, peraltro effettuato in assenza di un’idonea base giuridica nei termini sopra descritti, risulta posto in essere in violazione dell’art. 122 del Codice.

3.5 La protezione dei dati fin dalla progettazione e per impostazione predefinita.

Dalle dichiarazioni in atti è emerso inoltre che “nel progettare il software per il gratuito patrocinio”, l’Ordine ha valutato “varie modalità di presentazione delle istanze e si è concordato di procedere con l’invio per via telematica tramite PEC e firma digitale, visto anche l’art. 65 del d.lgs. 7 marzo 2005, n. 82, soluzione che garantisce l'autenticità del documento e la certezza della data di presentazione dell'istanza”.

In via preliminare si evidenzia che la sopra citata normativa dispone che, per essere valide, le istanze presentate alle pubbliche amministrazioni per via telematica devono essere presentate esclusivamente con le modalità ivi previste (cfr. art. 65 del d.lgs. 7 marzo 2005, n. 82, di seguito “CAD”, nella formulazione precedente alle modifiche apportate dal d.l. 16 luglio 2020, n. 76, convertito, con modificazioni, dalla l. 11 settembre 2020, n. 120).

La richiamata disposizione tuttavia – pur prevedendo, tra le altre ipotesi, che le richiamate istanze, “presentate per via telematica alle pubbliche amministrazioni”, siano valide “se sottoscritte mediante una delle forme di cui all'articolo 20” del CAD (ossia “quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID […]”) – non presuppone in alcun modo il trattamento delle credenziali di autenticazione (username e password) utilizzate dall’istante per accedere alla propria casella PEC da parte dei soggetti di cui all’art. 2, comma 2, del CAD, ben potendo, nel caso di specie, l’avvocato stesso provvedere in autonomia all’invio dell’istanza firmata digitalmente dalla propria casella PEC.

Si osserva inoltre che, in base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e deve integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Tale obbligo si estende anche ai trattamenti svolti per mezzo di un responsabile del trattamento. Infatti, le operazioni di trattamento effettuate da un responsabile dovrebbero essere regolarmente esaminate e valutate dal titolare per garantire che continuino a rispettare i principi e permettano al titolare di adempiere gli obblighi previsti dal Regolamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 7 e 39).

Occorre inoltre tener presente che, in conformità al principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento), il titolare deve effettuare, assumendosene la responsabilità, scelte tali da garantire che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò significa che, per impostazione predefinita, il titolare del trattamento non deve raccogliere dati personali che non sono necessari per la specifica finalità del trattamento. Anche quando utilizza prodotti o servizi realizzati da terzi, il titolare del trattamento deve eseguire una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica o che non sono compatibili con le finalità del trattamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 42, 44 e 49).

Ciò posto, nel corso dell’istruttoria è emerso che il trattamento dei dati personali degli avvocati, effettuato nell’ambito del portale “https://patrocinioan.OMISSIS.com” al fine di poter presentare le istanze di ammissione al gratuito patrocinio, è stato posto in essere dall’Ordine senza adottare, fin dalla progettazione e per impostazione predefinita, adeguate misure tecniche e organizzative e necessarie garanzie, volte ad attenuare i rischi per i diritti e le libertà degli interessati e a garantire un trattamento conforme ai principi del Regolamento.

In particolare, risulta che l’Ordine, nel determinare i mezzi del trattamento in esame – che riguarda anche le credenziali di autenticazione utilizzate dagli avvocati per accedere alla propria casella PEC, peraltro non necessarie per il perseguimento di una lecita finalità –, non ha adottato misure e garanzie adeguate per attuare efficacemente i principi di “liceità, correttezza e trasparenza” e di “integrità e riservatezza” (artt. 5, par. 1, lett. a) e f), del Regolamento), tenendo conto anche degli elevati rischi per i diritti e le libertà degli interessati derivanti dal trattamento dei predetti dati personali.

Alla luce delle considerazioni che precedono il trattamento dei dati personali degli avvocati è stato effettuato dall’Ordine in maniera non conforme ai principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, in violazione dell’art. 25 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ¿ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ¿ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Ordine, in violazione degli artt. 5, 6, 13 e 25 del Regolamento nonché dell’art. 122 del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

La rilevata condotta illecita tenuta dall’Ordine non ha esaurito completamente i suoi effetti, in quanto, allo stato, lo stesso non ha dimostrato di aver provveduto a fornire agli interessati un’idonea e preventiva informativa con riguardo al trattamento dei dati personali richiesti agli avvocati all’atto della registrazione al portale in esame.

Si ritiene, pertanto, necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di ingiungere all’Ordine di conformare i trattamenti alle disposizioni del Regolamento, entro e non oltre trenta giorni dalla notifica del presente provvedimento:

- eliminando, dal modulo di registrazione al portale https://patrocinioan.OMISSIS.com, il

link all’informativa sul trattamento dei dati personali attualmente presente;

- fornendo agli interessati idonee informazioni con riguardo ai dati personali trattati nell’ambito della procedura di registrazione al predetto portale attraverso il quale è possibile accedere ai servizi relativi al gratuito patrocinio attivati dall’Ordine (artt. 5, par. 1, lett. a), e 13 del Regolamento).

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, l’Ordine dovrà provvedere a comunicare a questa Autorità quali iniziative siano state intraprese al fine di dare attuazione a quanto ingiunto con il presente provvedimento, fornendo un riscontro adeguatamente documentato, entro e non oltre trenta giorni dalla notifica del presente provvedimento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la delicatezza dei dati personali illecitamente trattati, riguardanti le credenziali di autenticazione (username e password) per l’accesso a caselle PEC di avvocati, peraltro in assenza di specifiche e adeguate informazioni.

Di contro, è stato considerato che l’Ordine ha provveduto a sospendere il servizio in questione a seguito delle interlocuzioni con il Garante, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento. Si è tenuto, inoltre, favorevolmente atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 5, 6, 13 e 25 del Regolamento e 122 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della natura dei dati oggetto di trattamento, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Ordine degli Avvocati di Ancona descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, 6, 13 e 25 del Regolamento, nonché dell’art. 122 del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Ordine degli Avvocati di Ancona, in persona del legale rappresentante pro-tempore, con sede legale in Corso Giuseppe Mazzini, 95, 60121 Ancona, C.F. 80012130425, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Ordine degli Avvocati di Ancona:

- fermo restando quanto disposto dall’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro trenta giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate al paragrafo 5 del presente provvedimento, entro e non oltre trenta giorni dalla data di ricezione dello stesso;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese per assicurare la conformità del trattamento dei dati al Regolamento;

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.