Con un provvedimento del novembre 2023, a cui non è stata data la dovuta attenzione, il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento effettuato da un avvocato che aveva notificato a mezzo PEC atti giudiziari riservati all’indirizzo di posta certificata aziendale di una società, intestata alla persona coinvolta nella vicenda ma accessibile anche ad altri soggetti; in particolare familiari e dipendenti.

La vicenda nasce da un reclamo: il destinatario degli atti ha lamentato che ad aprire la PEC è stato il fratello, che gliel’ha inoltrata, e non era a conoscenza dei suoi eventi personali. L’atto in questione riguardava un sequestro conservativo promosso dall’ex coniuge per il recupero di somme derivanti dalla vendita della casa coniugale.

L’avvocato, chiamato a rispondere al Garante, nel corso dell’istruttoria, ha giustificato la scelta con motivazioni pratiche: evitare ritardi, risparmiare i costi della notifica tradizionale, e non far trovare il destinatario con il conto bloccato senza preavviso. Ha sostenuto inoltre che la PEC fosse indirizzata espressamente all’attenzione del destinatario e che il contenuto degli allegati non fosse immediatamente riconoscibile da chi non li avesse aperti.

Il Garante non ha condiviso questa linea di difesa. Ha rilevato che l’avvocato conosceva il domicilio del soggetto, già usato in precedenti notifiche, e che l’utilizzo della PEC aziendale non garantiva in alcun modo che solo il destinatario leggesse il messaggio. Il trattamento è stato quindi ritenuto illecito per mancanza di base giuridica (art. 6 GDPR) e per violazione del principio di minimizzazione (art. 5, par. 1, lett. c). La sanzione amministrativa comminata è stata contenuta, pari a 500 euro, in considerazione della collaborazione prestata e dell’assenza di elementi dolosi, ma resta un precedente significativo.

Potrebbe interessarti > Minimizzazione del dato: un aspetto spesso trascurato nell’applicazione del GDPR

Questo episodio impone una riflessione non solo per gli avvocati in relazione al loro lavoro, ma anche sul ruolo che svolgono collaboratori, segretarie, dipendenti e familiari nella gestione quotidiana della corrispondenza, soprattutto quando lo studio legale dialoga con soggetti che utilizzano caselle di posta condivise. In molte realtà, soprattutto aziendali, le PEC sono consultate da più persone, spesso senza un tracciamento formale degli accessi e senza alcuna formazione sul trattamento corretto delle informazioni riservate.

Potrebbe interessarti > Come si devono proteggere i dati?

Anche negli studi legali stessi non è raro che le segretarie aprano la posta, filtrino i contenuti, inoltrino o archivino autonomamente. È proprio in questi passaggi apparentemente innocui che si annidano i rischi maggiori: l’avvocato resta titolare del trattamento e ne risponde personalmente, anche se la violazione si consuma a opera di altri. Il GDPR non distingue tra leggerezza e delega mal gestita.

Va inoltre sottolineato che, sebbene il Garante abbia concluso il procedimento con una sanzione pecuniaria di modesta entità, l’interessato resta pienamente legittimato ad agire in giudizio per ottenere il risarcimento dei danni, ai sensi dell’art. 82 del Regolamento. Il danno non deve essere necessariamente patrimoniale: è sufficiente la prova di una lesione alla sfera privata, come il turbamento, l’imbarazzo, l’invasione di riservatezza.

In questo contesto, la decisione dell’Autorità rappresenta un elemento di prova già acquisito, che può pesare significativamente in un eventuale giudizio civile.

Conclusioni

Il messaggio per i professionisti è semplice ma urgente: non basta garantire la correttezza formale di una notifica, occorre garantirne anche la riservatezza sostanziale. Inviare un atto a un indirizzo apparentemente legittimo ma potenzialmente accessibile a terzi è un errore, e può diventare una violazione. Non è una questione di tecnologia, ma di responsabilità. E la responsabilità, quando si tratta di dati personali, non si può delegare alla fretta o al buon senso altrui.