VEDI ANCHE Newsletter del 25 settembre 2025

[doc. web n. 10167956]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 387 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti del Comune di Langhirano a seguito di una segnalazione in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto Comune. 

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito istituzionale del Comune di Langhirano, nella sezione «Amministrazione trasparente», nell’area «Altri contenuti»/«Accesso civico», era possibile accedere a una pagina web (https://...) in cui erano presenti i seguenti file intitolati:

1.  «Esito accesso atti XX - XX», contenente il registro delle richieste accesso agli atti riferite a 148 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

2. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 258 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

3. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 359 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https:...);

4. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 213 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

5. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 216 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

6. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 194 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

7. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 67 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali, con specifica indicazione del nominativo del soggetto che ha effettuato la richiesta di accesso e della descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti. Solo per fare alcuni esempi, al riguardo, è emerso che nel campo oggetto era riportato: «richiesta diritto di accesso ai documenti relativi all’immobile posto XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

Quanto al registro degli accessi, l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito il predetto registro presso gli enti, specificando al contempo che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

Peraltro, occorre tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33 del 14/3/2013).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Langhirano – diffondendo i dati e le informazioni personali prima descritti inseriti nei registri degli accessi pubblicati online – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Langhirano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «Lo schema del registro accessi è stato predisposto nel XX dall’Amministrazione Comunale in ottemperanza agli adempimenti normativi in materia. L’ente pertanto si considera in perfetta buona fede ritenendo che detta predisposizione rappresentasse un congruo bilanciamento di interessi tra esigenze di pubblicità e riservatezza»

- «Si evidenzia pertanto che la pubblicazione del dato sia esclusivamente frutto di un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema di quegli anni»;

- «Si evidenzia inoltre che non sono comunque in generale presenti dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita o comunque elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile»;

- «i dati pubblicati nella sezione di amministrazione trasparente afferenti il registro degli accessi, sono stati immediatamente rimossi dal gestionale in attesa degli sviluppi del caso»;

- non «sono mai pervenute segnalazioni, reclami o doglianze in generale» e non «risulta che da parte degli interessati siano mai state esercitate azioni volte alla tutela dei loro diritti […]»;

- «tutti i dati sono da ritenersi comuni eccezion fatta per un solo accesso afferente l’anno XX protocollo n.XX nel quale sono presenti categorie particolari di dati anche se, stante la casella “oggetto” e “mittente” si può addivenire solo in via indiretta a desumere una condizione relativa allo stato di salute di un soggetto. Cionondimeno per tutti i dati inseriti nelle tabelle non sono comunque presenti dati ulteriori come codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita. Non c’è altresì in generale coincidenza tra mittente ed oggetto e la mera indicazione di nome e cognome, non pare di per sé sufficiente ad identificare in maniera univoca il soggetto».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali di centinaia di istanze con specifica indicazione di: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito. In particolare, è stata lasciato in chiaro il nominativo del soggetto che ha effettuato la richiesta di accesso e la descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti (es: «richiesta diritto di accesso ai documenti relativi all’immobile posto in XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

Al riguardo, occorre evidenziare in via preliminare che la pubblicazione online nella sezione “Amministrazione trasparente” del sito web istituzionale (con conseguente indicizzazione nei motori di ricerca generalisti come Google) della circostanza di avere effettuato una richiesta di accesso presso un ente pubblico oppure quella riguardante il fatto che un soggetto abbia richiesto dati e informazioni riguardanti un terzo comporta la conoscenza generalizzata (tramite la diffusione) di informazioni di natura personale, che i soggetti interessati, per i motivi più vari, potrebbero non volere portare a conoscenza di soggetti estranei alla propria sfera personale e familiare, determinando una un’interferenza ingiustificata e sproporzionata nei relativi diritti e libertà. 

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica, riconducendo la propria condotta a «un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema […]». 

La ricostruzione offerta dall’ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio. 

Si ricorda infatti che – per il rispetto del principio di trasparenza amministrativa delle pp.aa. di cui all’art. 1, comma 1, del d. lgs. n. 33/2013 – nessuna norma di settore prevede un obbligo di pubblicazione dei dati personali di coloro che hanno effettuato accessi ad atti e documenti oppure dei soggetti cui si riferiscono gli atti richiesti. A ciò si aggiunge che l’istituzione presso ogni amministrazione del registro delle richieste di accesso, oltre a essere solo raccomandato nelle Linee guida di ANAC e nella Circolare del Ministro per la pubblica amministrazione prima citate (cfr. supra par. 2), non implica come necessaria e proporzionata anche l’operazione di diffusione online dei dati personali/nominativi di coloro che hanno effettuato le richieste di accesso e dei soggetti a cui i documenti si riferiscono. Nelle citate Linee guida di ANAC è, infatti, specificamente riportato che è sufficiente inserire «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione», avendo cura – in sede di pubblicazione – di «oscura[re] i dati personali eventualmente presenti». Molto chiara, in tal senso, è anche la Circolare del Ministro per la pubblica amministrazione, laddove – sempre con riferimento alla compilazione del registro degli accessi – è analogamente raccomandato che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par. 8.2.b).

L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. La condotta posta in essere risulta peraltro in contrasto con quanto previsto dall’art. 7-bis, comma 3, del d. lgs. n. 33/2013, che prevede effettivamente la possibilità che le pp.aa. possano pubblicare sul sito web istituzionale dati, informazioni e documenti che non hanno l’obbligo di pubblicare sulla base di specifica previsione di legge o regolamento, ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti». La diffusione dei dati personali descritti e oggetto di contestazione non è, inoltre, conforme alle indicazioni contenute nelle Linee guida dell’ANAC in materia e nella Circolare del Ministro per la pubblica amministrazione, che indicano chiaramente la necessità di procedere all’oscuramento dei dati personali presenti nel Registro degli accessi, fra cui sono compresi anche i nominativi dei soggetti istanti e di coloro cui si riferiscono i documenti richiesti. 

Analogamente, non può essere accolta l’eccezione sollevata dal Comune secondo la quale non vi sarebbe stata una violazione della disciplina in materia di protezione dei dati personali, in quanto – tenendo conto della circostanza che non sono stati diffusi accanto al nominativo dei soggetti interessati anche «dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita» – non sarebbero stati diffusi «elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile». Tale tesi è in contrasto con la disciplina europea in materia secondo la quale «dato personale» è, come detto, qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, fra l’altro, proprio il «nome» (art. 4, par. 1, n. 1, del RGPD). Nel caso in esame, dall’istruttoria è emerso che il Comune ha pubblicato online proprio i nomi e cognomi dei soggetti interessati (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono) contenuti nei registri degli accessi, ossia dati che identificano direttamente persone fisiche e rientrano, pertanto, sicuramente nella ricordata definizione di «dato personale» (indipendentemente dalla circostanza che siano accompagnati da ulteriori informazioni come codice fiscale, indirizzo di residenza, luogo e data di nascita).

Per altro verso, si rileva che, per stessa ammissione del Comune in almeno un procedimento i dati personali diffusi erano idonei a rivelare indirettamente anche la condizione di salute del soggetto interessato (art. 9 del RGPD), come nel caso della richiesta di accesso anno XX protocollo n. XX, avente a oggetto lo «stato pratica devoluzione contributo per rimozione barriere architettoniche - domanda presentata dalla sig.ra XX», con la conseguente violazione anche del divieto di diffusione di dati relativi alla salute previsto dall’art. 2-septies, comma 8, del Codice.

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. 

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva – conformemente ai precedenti di questa Autorità in materia (provv. n. XX del XX, in www.gpdp.it, doc. web n. 9784482; n. 281 del 22/7/2021, ivi, doc. web n. 9696645) – che il trattamento di dati personali effettuato dal Comune di Langhirano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1) è avvenuta in violazione:

1)  delle disposizioni contenute dell’art. 2-ter, commi 1 e 3, del Codice; dell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute al riguardo nelle Linee guida dell’ANAC e nella Circolare del Ministro per la pubblica amministrazione (sopra richiamate al par. 2);

2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;

3) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD).

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Comune di Langhirano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4 del RGPD nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame. 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri degli accessi anni XX) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile XX). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, oltre a tener conto della circostanza che il Comune di Langhirano è un ente di medie dimensioni (con poco più di 10.000 abitanti), si prendono in considerazione anche le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;

- il titolare del trattamento ha dichiarato di non aver in ogni caso ricevuto segnalazioni, reclami o richieste di esercizio dei diritti da parte dei soggetti interessati;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online, anche relativi alla salute, in assenza di una idonea base normativa (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Langhirano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, e dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD, nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice;

ORDINA 

al Comune di Langhirano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza Giacomo Ferrari, 1 - 43013 Langhirano (PR) – C.F. 00183800341 di pagare la somma di € 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro € 12.000,00 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi