Violazione dei dati personali: il Garante sanziona l’AdeR

Avv. Lucio Di Biase
Violazione dei dati personali: il Garante sanziona l’AdeR

Immagine estratta da https://it.freepik.com/

Premessa

Con provvedimento n. 798 del 19 dicembre 2024 il Garante per la protezione dei dati personali ha sanzionato l’Agenzia delle Entrate – Riscossione (AdeR) per violazione del GDPR, commessa nell’ambito della procedura di notifica di atti di pignoramento presso terzi.

L’Ente ha infatti indebitamente comunicato dati personali a soggetti estranei al rapporto giuridico esecutivo, incorrendo in una condotta qualificata come illecita ai sensi degli artt. 5, 6 del Regolamento (UE) 2016/679 e dell’art. 2-ter del Codice Privacy.

Il reclamo

Il reclamo è stato presentato da un contribuente che ha contestato la notifica di due atti di pignoramento presso terzi a ex-conduttori di un immobile da lui già alienato e in relazione al quale non sussisteva più alcun rapporto di locazione. I soggetti terzi, pertanto, non erano più debitori del contribuente, ma sono stati comunque destinatari di atti contenenti dati personali comuni quali nominativo, codice fiscale, residenza, nonché dati personali caratterizzati da particolare sensibilità e delicatezza, quali quelli inerenti alle condizioni debitorie del reclamante.

L’attività istruttoria

Dall’attività istruttoria è emerso che l’Agenzia aveva ottenuto i dati dal portale A.R.CO., consultando l’Anagrafe Tributaria e basandosi su un contratto di locazione registrato anni prima. Tuttavia, non erano stati verificati né la vigenza del contratto, né la proprietà attuale dell’immobile, in violazione delle linee guida interne (in particolare, la Circolare del Gruppo Equitalia n.92 del 1/7/2015).

AdeR ha attribuito l’errore a un fatto isolato e colposo, dovuto alla negligenza dell’operatore incaricato e ha riferito di aver avviato azioni di sensibilizzazione interna dopo l’accaduto.

Esito dell’istruttoria

Normativa applicabile

Il trattamento dei dati personali da parte di AdeR rientra nella base giuridica di cui all’art. 6, par. 1, lett. e) del GDPR e all’art. 2-ter del Codice Privacy, in quanto eseguito per finalità di interesse pubblico. Tuttavia, il trattamento deve sempre rispettare i principi di liceità, correttezza ed esattezza, sanciti dall’art. 5 del Regolamento.

Valutazioni del Garante

Il Garante ha ritenuto che l’Agenzia abbia:

  • Ometto le verifiche preliminari richieste dalle sue stesse procedure interne;
  • Trattato dati inesatti e non aggiornati;
  • Indebitamente comunicato dati a soggetti terzi non legittimati a riceverli;
  • Violato le misure minime di accuratezza richieste per garantire il principio di esattezza dei dati.

Il sistema interno di gestione dei pignoramenti, sebbene articolato e supportato da strumenti informatici, è risultato inadeguato a prevenire il rischio di comunicazioni illecite, specialmente in caso di informazioni obsolete.

Misure correttive

Nonostante l’assenza di precedenti specifici e l’iniziativa di rafforzare la sensibilizzazione interna, l’Agenzia non ha dimostrato di aver adottato misure sufficienti a garantire l’esattezza dei dati trattati. Il Garante ha dunque confermato l’illiceità del trattamento ai sensi degli artt. 5, 6 GDPR e 2-ter del Codice, escludendo l’archiviazione del procedimento.

Il Garante ha ordinato all’Agenzia di:

  • Integrare le procedure esecutive con l’obbligo di esame del contratto di locazione, anche se registrato oltre i due anni precedenti la notifica della cartella;
  • Introdurre meccanismi di tracciabilità delle verifiche effettuate dall’operatore in ordine alla vigenza del contratto e alla proprietà del bene.

Tali misure sono da attuarsi entro 30 giorni dalla notifica del provvedimento, con obbligo di comunicazione documentata all’Autorità.

Sanzione amministrativa

Tenuto conto della natura colposa della violazione, della sensibilità dei dati coinvolti (relativi alla situazione debitoria del contribuente) e dell’assenza di precedenti, il Garante ha quantificato la sanzione pecuniaria in euro 40.000, ritenendola proporzionata e dissuasiva. È stata inoltre disposta la pubblicazione del provvedimento sul sito dell’Autorità.

Conclusioni

Questo provvedimento richiama con forza l’attenzione sulla necessità, anche per soggetti pubblici, di conciliare efficienza procedurale e protezione dei dati personali. L’automatismo delle procedure di riscossione non può giustificare la trascuratezza nella verifica della fondatezza dei presupposti fattuali e giuridici del trattamento.

Per gli operatori giuridici, il caso evidenzia l’importanza di monitorare la conformità delle prassi operative alle regole dettate dal GDPR, non solo per evitare sanzioni, ma anche per tutelare la legittimità delle procedure esecutive.

La comunicazione indebita di dati, ancorché non particolari ai sensi dell’art. 9 GDPR, può determinare pregiudizi reputazionali e patrimoniali rilevanti per l’interessato, con ricadute potenzialmente gravi anche sul piano risarcitorio.

CHIEDI UN ESAME GRATUITO DEL TUO CASO

Articoli

Altri articoli

LUCIO DI BIASE

AVVOCATO

Mobile: (+39) 335 325 917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti l’Avv. Lucio Di Biase anni ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i loro problemi legali prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso su tutto il territorio nazionale.
Dal 17/02/2014 all’11/03/2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.

.

Post in primo piano

Categorie