[doc. web n. 10162312]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 242 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE il dott. Agostino Ghiglia;       

PREMESSO

1. La vicenda e l’attività istruttoria del Garante

In data 14 dicembre 2022 è pervenuta a questa Autorità una segnalazione, successivamente integrata con nota del 5 maggio 2023, con cui il segnalante ha lamentato la violazione della disciplina in materia di protezione dei dati personali, avendo ricevuto un riscontro da parte dell’Agenzia delle entrate-Riscossione (di seguito, “AdeR”, “Agenzia” o “Ente”) ad una istanza di accesso agli atti, contenente dati personali di terzi non richiesti (i.e. numeri di cartella e nominativi di soggetti terzi destinatari degli atti della riscossione notificati con affissione all’albo comunale).

In particolare, il segnalante ha rappresentato di aver richiesto all’Agenzia delle entrate–Riscossione “copia delle cartelle esattoriali n. XX e n. XX e copia della documentazione attestante la notifica delle stesse”, nonché “copia di qualsiasi eventuale ulteriore atto notificato alla mia assistita e inerente le obbligazioni azionate con l’Intimazione di pagamento in oggetto fino alla data odierna, unitamente alla documentazione attestante la relativa notifica”. Nel riscontrare tale istanza, l’Agenzia ha trasmesso con nota a mezzo PEC del 14 dicembre 2022, anche “le copie degli avvisi di deposito di atti nella casa del Comune ex combinato disposto dell’art. 139 c.p.c., art. 26, ultimo comma, del D.P.R. 602/1973, art. 60 del D.P.R. 600/1973 e art. 140 c.p.c.” nelle quali era riportata “la fustella relativa al protocollo di ricevimento da parte del Comune di XX e una tabella con l’indicazione del numero progressivo, il numero del documento (cartella di pagamento) e l’intestatario/legale rappresentante”. Di conseguenza, il segnalante ha lamentato che “sarebbe venuto a conoscenza di decine e decine di numeri di cartelle di pagamento e dei relativi intestatari/legali rappresentati”, nonostante non ne avesse fatto richiesta, trattandosi di dati e informazioni non afferenti all’incarico ricevuto.

Ciò posto, con nota del 15 maggio 2023, l’Autorità ha formulato nei confronti dell’Agenzia una richiesta di informazioni ai sensi dell’art. 157 del Codice, volta ad acquisire ogni elemento utile alla valutazione del caso. Nel riscontrare la predetta richiesta l’Agenzia, con nota del 29 maggio 2023, ha rappresentato, in particolare, che:

alla luce della relazione fornita dalla Direzione Regionale XX competente per l’evasione della predetta istanza di accesso agli atti, “i referti di notifica delle citate cartelle di pagamento comprendevano gli elenchi integrali dell’avviso di deposito già affisso presso la casa comunale secondo le modalità prescritte dall’art. 140 c.p.c., ai sensi del combinato disposto degli artt. 26 del D.P.R. n. 602 del 1973 e 60 DPR 600 del 1973, in caso di irreperibilità relativa”;

al riguardo, la Circolare n. 55 del 10.11.2020 dell’Agenzia delle entrate–Riscossione contiene le indicazioni applicative finalizzate ad una coerente e uniforme trattazione delle istanze di accesso, prevedendo, in particolare, che l’Agenzia, nel ricevere le istanze di accesso, debba “sempre effettuare un attento bilanciamento tra gli interessi sottesi alla domanda di ostensione e il diritto alla protezione dei dati personali degli interessati. Le esigenze di pubblicità e trasparenza vanno valutate caso per caso, bilanciando le stesse con i diritti e le libertà fondamentali della persona, quali la dignità dell’interessato e il diritto alla riservatezza, all’identità personale e alla protezione dei dati personali in genere”;

la predetta Circolare dispone, inoltre, che gli operatori, nel fornire riscontro alle richieste di accesso, scelgano esclusivamente “le modalità meno pregiudizievoli per i diritti dell’interessato, privilegiando l’ostensione di documenti con omissione dei «dati personali»” e “oscurando le informazioni relative ad altri soggetti, diversi dall’interessato, in modo da rendere disponibili, in maniera selettiva, in conformità al principio di necessità e non eccedenza, esclusivamente le informazioni riferibili al soggetto interessato”.

Ciò posto, con specifico riferimento alla fattispecie in esame, l’Agenzia ha dichiarato, in particolare, che:

dalle verifiche effettuate, relativamente ai referti di notifica delle cartelle di pagamento, è emerso che è stato fornito “per errore materiale l’elenco integrale dell’avviso di deposito presso la casa comunale”. Infatti “il personale autorizzato per l’attività di evasione dell’istanza di accesso agli atti, per mero errore, non si è attenuto alle misure di sicurezza adottate da Agenzia delle entrate – Riscossione anche ai fini del rispetto dei principio di minimizzazione, necessità e non eccedenza dei dati personali”;

la Direzione Regionale XX ha comunicato che si è trattato di un caso isolato.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato all’AdeR, con nota del 25 settembre 2023, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, contestando la violazione degli artt. 5, par. 1, lett. a) e c), e 6, parr. 1, lett. e), e 3, del Regolamento, nonché dell’art. 2-ter del Codice per aver trasmesso al segnalante, anche in difformità rispetto alle indicazioni contenute nella citata Circolare n. 55/2020 e, quindi, senza il previsto oscuramento dei dati personali non pertinenti, i due elenchi integrali dell’avviso di deposito presso la casa comunale del Comune di XX (ivi depositato ai sensi degli artt. 26, ultimo comma, del d.P.R. 29 settembre 1973, n. 602, 60 del d.P.R. 29 settembre 1973, n. 600 e 140 del codice di procedura civile) contenenti le generalità di centinaia di interessati destinatari di n. 369 atti della riscossione relativi a persone fisiche e giuridiche, notificati tramite la procedura di irreperibilità relativa che prevede l’affissione all’Albo comunale dell’avviso di deposito presso la predetta casa comunale. L’Ufficio ha quindi invitato l’Agenzia a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

L’Agenzia, con nota del 25 ottobre 2023, in riferimento all’attività di trattamento oggetto di contestazione, ha trasmesso le proprie memorie difensive, rappresentando, in particolare, che:

la notifica delle cartelle esattoriali avviene ai sensi del combinato disposto degli artt. 26 del D.P.R. n. 602 del 1973 e 60 DPR 600 del 1973 e che, in caso di irreperibilità relativa – ossia nel caso in cui non sia possibile procedere alla notifica in quanto il destinatario risulta temporaneamente assente – l’avviso di deposito prescritto dall’art. 140 c.p.c. si affigge all’albo del Comune di residenza; i dati personali impropriamente comunicati a terzi, quindi, erano già stati interessati da precedente affissione pubblica presso l’albo comunale;

l’errore materiale commesso dall’operatore autorizzato ha comportato la comunicazione accidentale al soggetto richiedente dei dati personali comuni sopra specificati di contribuenti terzi ricompresi nei predetti avvisi di deposito pubblicati dal Comune di XX, ma i predetti dati erano già stati interessati da precedente affissione pubblica presso l’albo comunale in applicazione della previsione dell’art. 140 del c.p.c. per i casi di irreperibilità relativa;

la Circolare n. 55 del 10.11.2020 dell’Agenzia delle entrate – Riscossione prevede che l’operatore addetto avrebbe dovuto provvedere ad oscurare le informazioni relative ai soggetti diversi dall’interessato presenti negli avvisi di deposito presso la casa del Comune di XX, nel rispetto dei principi di necessità e non eccedenza;

l’operatore autorizzato per l’attività di evasione dell’istanza di accesso agli atti, per mero errore, non si è attenuto alle misure di sicurezza adottate da Agenzia delle entrate – Riscossione;

in riferimento all’incidente occorso, gli elenchi in parola sono stati impropriamente trasmessi ad un unico soggetto;

in relazione al carattere della violazione, la stessa è ascrivibile esclusivamente alla negligente disapplicazione, da parte dell’operatore autorizzato, della normativa interna dell’Ente;

l’incaricato colposamente non ha osservato neanche le prescrizioni del Manuale Unico n. 9 del 4/3/2019 di AdeR, che richiede alle Strutture coinvolte nella relazione con i contribuenti “di rendere disponibile, in maniera selettiva, in conformità al principio di necessità e non eccedenza, esclusivamente le informazioni riferibili al soggetto interessato. Ciò al fine di evitare che, nella documentazione fornita ad evasione di richieste inoltrate da un singolo interessato, siano rese disponibili impropriamente anche informazioni relative ad altri soggetti”;

il contestato errore è da ricondurre a uno di quei “fattori umani” non sempre totalmente misurabili, prevedibili e/o prevenibili che, in quanto tali, collocano il loro verificarsi in quella percentuale di “rischio residuo” mai del tutto eliminabile, a dispetto di qualsiasi “adeguata” misura tecnico-organizzativa di cui possa essersi dotato il titolare del trattamento;

la violazione occorsa, causata dal comportamento negligente di un operatore autorizzato, che ha operato in disapplicazione delle disposizioni interne nell’evasione della richiesta di accesso agli atti, si è verificata come caso episodico successivamente all’emanazione delle predette disposizioni interne;

il verificarsi di una “distrazione”, per semplice stanchezza e/o per altre condizioni personali dell’operatore autorizzato, nell’omettere l’attuazione di alcuni controlli previsti dalle procedure interne, non può costituire un indice della mancanza nell’Ente medesimo di adeguate misure tecniche-organizzative prescritte dall’art. 32 del Regolamento;

l’Agenzia ha previsto una serie di misure tecniche e organizzative, tra cui una periodica e generalizzata attività di formazione e sensibilizzazione del personale, e una serie di progetti “strutturati per supportare una gestione attiva e partecipata dei processi integrati di data governance e data protection”.

2. Esito dell’attività istruttoria.

2.1. La normativa in materia di protezione dei dati personali e le disposizioni di settore applicabili al caso di specie.

La normativa in materia di protezione dei dati personali impone l’applicabilità ad ogni trattamento dei principi indicati dall’art. 5 del Regolamento, tra cui, in particolare, i principi di liceità, correttezza, e minimizzazione, alla luce dei quali i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati e, in particolare, comunicati a terzi (art. 5, par. 1, lett. a) e c), e cons. 39 del Regolamento).

Ciò posto, si osserva che, in linea generale, il trattamento dei dati personali effettuato dall’Agenzia per finalità di riscossione è posto in essere in esecuzione di un compito di interesse pubblico e trova la sua base giuridica nella disciplina di settore del diritto nazionale (art. 6, parr. 1, lett. e), e 3, del Regolamento e art. 2-ter del Codice, nonché, nel caso di specie, negli artt. 22 e ss. della legge 7 agosto 1990, n. 241).

2.2. Conclusioni

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria condotta, risulta accertato che l’Agenzia, in violazione dei principi di liceità, correttezza e minimizzazione (art. 5, par. 1, lett. a) e c), e 6, par. 1, lett. e), del Regolamento, nonché art. 2-ter del Codice) ha trasmesso al segnalante i due elenchi integrali dell’avviso di deposito presso la casa comunale del Comune di XX (ivi depositato ai sensi degli artt. 26, ultimo comma, del d.P.R. 29 settembre 1973, n. 602, 60 del d.P.R. 29 settembre 1973, n. 600 e 140 del codice di procedura civile) e, precisamente, gli elenchi n. 5 dell’11 marzo 2013 e n. 10 del 29 maggio 2013, all’interno dei quali comparivano (oltre alla denominazione di alcune persone giuridiche) le generalità (nome e cognome) di alcune centinaia di persone fisiche destinatarie dei 369 atti ivi menzionati (indicati con il numero del documento), depositati presso la predetta casa comunale.

Nel caso in esame, il riscontro all’istanza di accesso del segnalante ha, pertanto, comportato la conoscenza, da parte di un terzo, dei dati relativi alle posizioni debitorie di alcune centinaia di interessati cui erano stati notificati atti da parte dell’Agenzia, nell’esercizio dei compiti di riscossione coattiva a mezzo ruolo ad essa affidati, arrecando un pregiudizio ai diritti e alle libertà fondamentali di questi ultimi.

Se è vero, come rappresentato nelle memorie difensive, che i dati personali in questione erano contenuti nell’avviso di deposito affisso presso la casa comunale ai sensi dell’art. 140 c.p.c., tale diffusione, peraltro con le specifiche modalità di trattamento previste dalla legge, è consentita esclusivamente per un limitato periodo di tempo (ovvero quello necessario al perfezionamento della notifica degli atti).

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Agenzia nel corso dell’istruttoria ‒ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ‒ e le misure adottate al fine di assicurare il rispetto da parte degli operatori nelle procedure di riscontro alle istanze di accesso, seppur meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento in relazione a quanto individuato nel paragrafo 4, non ricorrendo, per tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019, in considerazione, soprattutto, dell’elevato numero di interessati coinvolti.

Corre, inoltre, l’obbligo di segnalare, che, rispetto a quanto prospettato nelle memorie difensive, non è stata oggetto di contestazione la violazione degli artt. 25 e 32 del Regolamento.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio in relazione a tali aspetti e si rileva l’illiceità del trattamento di dati personali effettuato nell’ambito del riscontro all’istanza di accesso, in quanto posto in essere in violazione del Regolamento e del Codice, con conseguente illecita comunicazione a terzi di numerosi dati personali, eccedenti rispetto alla finalità perseguita nel caso in esame, in violazione dei principi di liceità, correttezza e minimizzazione di cui all’art. 5, par. 1, lett. a) e c), e 6, par. 1, lett. e), del Regolamento, nonché dell’art. 2-ter del Codice.

3. Ammonimento (art. 58, par. 2, lett. b), del Regolamento).

Il Garante, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ha il potere di “rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del […] regolamento”.

Ciò premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

la violazione, derivata un errore materiale di un operatore autorizzato, si è verificata come caso episodico. Non risultano, peraltro, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento che siano analoghi rispetto al caso di specie;

l’Agenzia ha prestato piena collaborazione con l’Autorità nel corso dell’istruttoria, fornendo, con la necessaria tempestività, tutte le informazioni richieste per l’accertamento delle fattispecie occorse e assicurando la propria disponibilità a valutare ogni iniziativa utile al rafforzamento delle garanzie per i trattamenti operati nella realizzazione delle proprie finalità istituzionali;

in relazione alle modalità in cui si è realizzata la violazione, nonché, alla valutazione operata dal titolare in riferimento ai rischi per i diritti e le libertà degli interessati, il Direttore Regionale XX ha successivamente richiamato internamente il pieno rispetto della specifica normativa interna citata, che contiene anche le misure di sicurezza in materia di protezione dei dati personali;

la violazione ha riguardato esclusivamente dati comuni di cui all’art. 4 del Regolamento, relativi al numero di atto della riscossione abbinato al nome dell’intestatario/legale rappresentante della società intestataria dell’atto, elencati negli avvisi di deposito nella casa comunale del Comune di XX;

i riferiti atti erano già stati oggetto di pubblicazione sull’albo pretorio comunale; i predetti dati eccedenti ivi contenuti sono stati illecitamente comunicati ad un solo soggetto;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire l’Agenzia delle entrate – Riscossione per la violazione dei principi di liceità, correttezza e minimizzazione di cui all’art. 5, par. 1, lett. a) e c), e 6, par. 1, lett. e), del Regolamento, nonché dell’art. 2-ter del Codice (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Agenzia delle entrate - Riscossione per violazione degli artt. 5, par. 1, lett. a) e c), e 6, par. 1, lett. e), del Regolamento, nonché dell’art. 2-ter del Codice nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce Agenzia delle entrate - Riscossione, quale titolare del trattamento, per aver violato artt. 5, par. 1, lett. a) e c), e 6, par. 1, lett. e), del Regolamento, nonché dell’art. 2-ter del Codice, come sopra descritto;

DISPONE

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi