CNDCEC: autorizzazione al trattamento dei dati sensibili

L’esercizio dell’azione disciplinare svolta dal Consiglio/Collegio di Disciplina nello svolgimento della propria funzione comporta la possibilità per quest’ultimo di trattare i dati personali degli iscritti a carico dei quali sono stati aperti i relativi procedimenti disciplinari, in quanto tale trattamento è necessario all’espletamento di compiti di rilevante interesse pubblico connesso all’esercizio di pubblici poteri, tra i quali rientra l’attività disciplinare, svolta in ambito amministrativo.

È quanto emerge dal Pronto Ordini n. 192/2020 pubblicato nei giorni scorsi dal Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili (CNDCEC), il quale ha fornito chiarimenti in merito all’autorizzazione al trattamento dei dati sensibili.

Il quesito- Nei mesi precedenti, è pervenuto al CNDCEC un quesito in cui si rappresenta che il Collegio n. 1 del Consiglio di Disciplina, nell’ambito della sua attività e a seguito della trasmissione da parte del Consiglio dell’Ordine dell’elenco dei professionisti inadempienti in merito all’obbligo formativo, ha richiesto agli iscritti inadempienti chiarimenti ed eventuale documentazione giustificativa. Alcuni professionisti hanno trasmesso via Pec al Collegio di Disciplina, certificati medici con l’indicazione delle relative patologie e, in alcuni casi, anche cartelle cliniche.

In virtù di ciò, al CNDCEC si chiede se, nel trattare il fascicolo dell’iscritto, contenente la suddetta documentazione, sia necessaria l’autorizzazione al trattamento dei suddetti dati sensibili (per la privacy) o se invece il Collegio possa direttamente procedere all’esame della documentazione, rientrando tale attività nei compiti istituzionali dell’organo giudicante.

La risposta del CNDCEC– Il Consiglio Nazionale richiama, anzitutto, il Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR) n. 2016/679 del Parlamento europeo, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Esso rappresenta la normativa europea in materia di protezione dei dati, la cui attuazione è avvenuta dal 25 maggio 2018. Come evidenza il CNDCEC, trattandosi di un regolamento comunitario, rappresenta un atto normativo vincolante in tutti i suoi elementi e direttamente applicabile in tutti gli Stati dell’UE, ai fini di una definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'UE.

Occorre ricordare che, gli Ordini professionali, nella loro qualità di enti pubblici non economici, sono titolari del trattamento dei dati trattati con riguardo agli iscritti ai rispettivi albi professionali.

L’Ordine deve informare gli interessati del trattamento dei loro dati per le finalità istituzionali previste mediante l’Informativa prescritta dall’articolo 13 del GDPR (Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato).

A tal proposito il Consiglio Nazionale osserva che, l’articolo 2-sexies del nuovo Codice Privacy (D.Lgs. n. 196/2003, aggiornato dal D.Lgs. n. 101/2018), disciplina il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante e, al comma 1, stabilisce che “i trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Al comma 2 si precisa, altresì, che “fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
… lett. q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria”.

In virtù delle disposizioni sopra citate, nella fattispecie prospettata al Consiglio Nazionale, l’esercizio dell’azione disciplinare svolta dal Consiglio/Collegio di Disciplina nell’esecuzione della propria funzione, comporta la possibilità per quest’ultimo di trattare i dati personali degli iscritti a carico dei quali sono stati aperti i relativi procedimenti disciplinari (ivi compresi quelli previsti dall’articolo 9, paragrafo 1, del GDPR), in quanto, tale trattamento, è necessario all’espletamento di compiti di rilevante interesse pubblico connesso all’esercizio di pubblici poteri, tra i quali rientra l’attività disciplinare, svolta in ambito amministrativo.

Considerando quanto esposto, quindi, il CNDCEC ritiene che, il Consiglio/Collegio di Disciplina, nell’ambito dell’Informativa precedentemente citata (prescritta dall’articolo 13 del Regolamento), debba segnalare, inoltre, che, ai sensi del combinato disposto dell’articolo 9 del predetto Regolamento e dell’articolo 2 sexies, commi 1 e 2, lett. q), del D. Lgs. n. 196/2003, i soggetti che svolgono attività sanzionatorie e di tutela in sede amministrativa o giudiziaria possono trattare le categorie particolari di dati personali (di cui all’articolo 9, paragrafo 1, del Regolamento medesimo).

A completamento di quanto sopra affermato, in conclusione, il Consiglio Nazionale richiama quanto stabilito dall’articolo 37, comma 1, lett. a) del Regolamento e quanto previsto tra i compiti del DPO in base all’articolo 39, comma 1, lett. a).

In considerazione delle citate disposizioni, quindi, il CNDCEC osserva che, qualunque informazione relativa al trattamento dei dati degli interessati, andrebbe preventivamente richiesta al Responsabile del trattamento dei dati nominato all’uopo dal titolare del trattamento, ovvero dall’Ordine, in ossequio al principio di competenza.