La violazione del principio di liceità del trattamento dei dati personali e la fornitura di dati personali intenzionalmente senza una base giuridica sul portale GEOPORTAL2 sotto forma di numeri di registro catastali e ipotecari ottenuti dai registri catastali e edilizi sono la ragione per imporre una sanzione amministrativa al Capo Geometra del paese per un importo di PLN 100.000. zloty.

Inoltre, il GGK deve adattare le operazioni di trattamento dei dati personali alle disposizioni del GDPR cessando di fornire i dati personali sul portale GEOPORTAL2 (www.geoportal.gov.pl) per quanto riguarda i numeri dei registri fondiari e ipotecari ottenuti dal registro fondiario e edilizio (tenuto da starost).

Il presidente dell’Ufficio per la protezione dei dati personali (UODO) ha deciso di condurre ispezioni presso il capo ispettore nazionale all’inizio di marzo 2020. Tuttavia, GGK ha impedito la possibilità di esaminare la legalità della pubblicazione di informazioni sui numeri di registro fondiario e ipotecario su GEOPORTAL2. Nel corso dell’ispezione, ha divulgato solo la documentazione che specifica le misure organizzative applicate per garantire la sicurezza dei dati e prove a conferma della nomina di un responsabile della protezione dei dati. Di conseguenza, in questo caso, il presidente dell’UODO ha imposto una sanzione amministrativa alla GGK. Nonostante il rifiuto di effettuare l’ispezione, GGK ha fornito una testimonianza, che è servita come prova in questo procedimento.

Le testimonianze mostrano che il GGK pubblica le informazioni ottenute dal catasto e dal catasto (compresi i numeri del catasto e dei mutui ipotecari) da 90 poviat starosties solo sulla base di accordi conclusi con loro.

Secondo l’Art. 5 sec. 1 lit. a GDPR, i dati personali devono essere trattati in modo lecito, equo e trasparente per l’interessato. I dati sono trattati lecitamente solo nei casi in cui almeno una delle condizioni indicate all’art. 6 GDPR.

Durante il procedimento condotto, GGK non ha indicato una disposizione legale che costituisse la base giuridica per il suo funzionamento. Inoltre, nessuna delle disposizioni che regolano le questioni relative alle attività del Capo Geometra del Paese gli consente di condividere i dati ottenuti da starosties nell’ambito di GEOPORTAL2. Secondo il parere del Presidente dell’Ufficio per la protezione dei dati personali, il Capo Geometra, consapevole della mancanza di una chiara base giuridica per l’elaborazione dei numeri dei registri catastali e ipotecari, ha concluso accordi con starost in base ai quali ha ottenuto informazioni dai registri catastali e edilizi (compresi i numeri catastali e ipotecari) tenuti da starost allo scopo di pubblicazione su GEOPORTAL2. L’autorità di controllo ha concluso che questi accordi riguardavano la creazione e il mantenimento di elementi comuni dell’infrastruttura tecnica per l’archiviazione e l’accesso a set di dati specifici, Tuttavia, non costituivano una base giuridica per la divulgazione dei dati, compresi i numeri di registro fondiario e ipotecario. Tale base deve risultare dalle disposizioni di legge generalmente applicabili.

In considerazione di quanto sopra, il Presidente dell’Ufficio per la protezione dei dati personali ha deciso che i dati personali sotto forma di numeri di registro fondiario e ipotecario fossero condivisi su GEOPORTAL2 senza una base giuridica. Tale azione risulta in una violazione da parte del Chief National Surveyor of Art. 5 sec. 1 lit. a e art. 6 sec. 1 GDPR. La dottrina legale rappresenta la posizione secondo cui la divulgazione di dati personali da archivi pubblici in assenza di una base giuridica esplicita relativa all’operazione di condivisione è illegale.

In questo caso, è indiscutibile che i numeri del registro fondiario e ipotecario elaborati sul sito web www.geoportal.gov.pl costituiscono dati personali. Secondo il GDPR, per “dati personali” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (“soggetto interessato”); una persona fisica identificabile è una persona che può essere identificata direttamente o indirettamente, in particolare sulla base di un identificatore come nome e cognome, numero di identificazione, dati sull’ubicazione, identificatore Internet o uno o più fattori fisici, fisiologici, genetici, mentali specifici, l’identità economica, culturale o sociale di una persona fisica.

L’ambito dei dati divulgati nel registro fondiario e ipotecario delle persone fisiche comprende, tra l’altro, nomi, cognomi, nomi dei genitori, numero PESEL, indirizzo immobiliare. La pubblicazione di tali dati consente di identificare la persona i cui dati sono inclusi nel registro fondiario. Pubblicando i numeri catastali e ipotecari su Geoportal2, qualsiasi utente Internet interessato può accedere alle informazioni in esso contenute. Questo tipo di situazione può esporre un numero molto elevato di persone (interessati) al furto di identità.

Nell’imporre una sanzione pecuniaria, l’autorità di controllo ha tenuto conto non solo della gravità dell’infrazione, della sua natura e durata, ma anche della natura intenzionale dell’azione.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO