Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 500 euro mot en advokat för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål om att en advokat olagligen behandlat hans personuppgifter genom att göra känsliga rättsliga handlingar tillgängliga för anställda och den registrerades bror (som också var hans partner), genom att skicka handlingarna till företagets e-postadress. Den registrerade hävdade att hans bror vid den tidpunkten inte var medveten om hans pågående skilsmässoförfarande, men att e-postmeddelandet avslöjade hans personuppgifter i ärendet.
Advokaten försvarade sin åtgärd med att e-postmeddelandet skickades som en del av ett rättsligt förfarande som inletts av hans klient, den registrerades tidigare make, för att säkra medel från försäljningen av deras äktenskapliga bostad. Advokaten hävdade att meddelandet var en processuell nödvändighet för att förhindra kontoblockering.
Garante ansåg att advokatens motiveringar var otillräckliga och inledde ett förfarande för potentiella överträdelser av GDPR. Som svar betonade advokaten kommunikationens konfidentialitet, som var specifikt riktad till den registrerade, e-postens begränsade tillgänglighet inom företaget och e-postens nödvändighet för att skydda deras kunds vitala intressen. Dessutom hävdade de att den registrerade inte hade lidit någon påtaglig skada och att den registrerade inte heller kunnat påvisa detta.
Garante konstaterade att utlämnandet av information om den registrerade innebar behandling av dennes personuppgifter, enligt definitionen i artikel 4.1 och 4.2 GDPR. Dessutom konstaterade Garante att advokaten överförde personuppgifter till företagets e-postadress utan lämplig rättslig grund, vilket strider mot artikel 6 GDPR och principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR.