g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 25 settembre 2025 [10184621]

Provvedimento del 25 settembre 2025 [10184621]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10184621]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 528 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione 

Questa Autorità ha adottato – ai sensi dell’art. 58, par. 2, del RGPD – il provvedimento correttivo e sanzionatorio n. 297 del 22/7/2021, nei confronti del Comune di Pazzano.

Con il citato provvedimento, a seguito della rilevata non conformità della condotta tenuta dal predetto Comune rispetto alla disciplina in materia di protezione dei dati personali, il Garante oltre a infliggere al Comune la sanzione amministrativa pecuniaria pari a un importo di euro 2.000,00 (cfr. punto n. 1 del dispositivo), ha contestualmente ordinato al Comune, ai sensi dell’art. 58, par. 2, lett. d), del RGPD (cfr. punto n. 2, lett. a e b del dispositivo), di:

- a) «mettere in atto misure adeguate per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti pubblicati online sul sito web istituzionale laddove non debbano essere oggetto di diffusione ai sensi della disciplina in materia di protezione dei dati personali, integrando “nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati” (art. 25, parr. 1 e 2, RGPD), e in particolare per oscurare correttamente le ordinanze del Sindaco […] n. XX dell’XX, prot. n. XX del XX n. XX del XX, prot. n. XX del XX»;

- b) «provvedere alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della protezione dei dati designato dal Comune, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale dell’ente, ai sensi dell’art. 37, par. 7, del RGPD».

Il Garante ha, inoltre, chiesto con il medesimo provvedimento al Comune di Pazzano, ai sensi dell’art. 157 del Codice, di comunicare quali «iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 2, lett. a) e b), del [citato] provvedimento [n. 297/2021] entro trenta giorni dalla notifica dello stesso» (punto n. 3 del dispositivo).

Dalle verifiche esperite all’Ufficio del protocollo di questa Autorità è risultato che il Comune non aveva fatto pervenire alcun riscontro nel citato termine di trenta giorni previsto dal provvedimento del Garante n. 297/2021 in ordine alle predette iniziative. Inoltre, non risultava che l’Ente avesse «provved[uto] alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della protezione dei dati designato dal Comune, nonché [alla] corrispondente pubblicazione sul sito web istituzionale dell’ente, ai sensi dell’art. 37, par. 7, del RGPD».

Pertanto, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Pazzano ha nuovamente tenuto una condotta non conforme alla normativa in materia di protezione dei dati personali e ha, di conseguenza, notificato le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice) e comunicato l’avvio di un nuovo procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD. 

2. Riscontro del Comune

Con le note prott. nn. XX del XX e XX del XX (acquisite ai prott. nn. XX dell’XX e XX dell’XX) il Comune di Pazzano ha riscontrato, ben oltre il termine utile, la citata notifica dell’avvio del procedimento sanzionatorio prot. n. XX.

In particolare, l’ente (nota prot. n. XX) ha in ogni caso rappresentato, fra l’altro, che:

- «Il Comune di Pazzano (RC) è un piccolissimo Comune montano ricadente nella zona periferica della Città Metropolitana di Reggio Calabria (abitanti n. 492)»;

- «Il personale dipendente è per la quasi totalità part- time con svolgimento, in sede, di un ridotto numero di ore lavorative»;

- «Con l’espandersi dell’emergenza COVID anche nel Territorio di questo Ente, nella contingenza della situazione critica verificatesi, il personale addetto ha provveduto alla pubblicazione delle ordinanze in esame non adottando purtroppo misure idonee all’oscuramento dei dati sensibili»;

- «Presa visione di tale irregolarità sono state impartite precise direttive atte a rimuovere le anomalie e per il futuro, provvedere all’oscuramento dei dati sensibili inserendo la dicitura “OMISSIS”»;

- «Per quanto concerne l’individuazione del soggetto Garante della Privacy, atteso l’alternarsi del personale dipendente e la precarietà dei rapporti di lavoro in essere, [è stato] predisposto un Regolamento ad hoc che disciplina la materia, con individuazione della figura del RPD». 

Con separata nota (prot. n. XX) il Comune ha, inoltre, trasmesso documentazione riguardante il «Regolamento per la gestone per la riservatezza dei dati personali», il «Regolamento Privacy approvato con delibera Consiglio Comunale n. XX del XX»; il «Decreto “Nomina dei Responsabili di servizi di questa amministrazione […]»; il «Decreto “Nomina Responsabile Comunale della protezione dei dati (DPO)».

Dall’istruttoria è quindi emerso che il Comune di Pazzano ha adottato iniziative per garantire l’osservanza della disciplina in materia di protezione dei dati personali e che ha nominato il Responsabile della protezione dei dati (RPD) ai sensi dell’art. 37 del RGPD con Decreto del Sindaco adottato in data XX (prot. n. XX). La dovuta comunicazione dei dati di contatto del RPD a questa Autorità ai sensi dall’art. 37, par. 7, del RGPD, tramite l’apposita procedura online disponibile sul sito del Garante, è invece avvenuta successivamente in data XX (con nota acquisita al prot. n. XX).

Nonostante ciò, nel quadro descritto, le risposte fornite e gli adempimenti effettuati dall’ente non sono risultati sufficienti per chiudere l’istruttoria di questa Autorità nei confronti del Comune, in quanto:

- non risultava ancora effettuata la pubblicazione sul sito web istituzionale del Comune di Pazzano – ai sensi dell’art. 37, par. 7, del RGPD – dei dati di contatto del Responsabile della protezione dei dati come ordinato dal Garante nel citato provvedimento correttivo e sanzionatorio n. 297/2021 adottato nei confronti dell’ente (punto n. 2, lett. b, del dispositivo). 

- a seguito di ulteriori indagini, dalla verifica effettuata dall’Ufficio, è altresì emerso che sul sito web istituzionale del Comune, la sezione «Informativa privacy» (https://...), dove di norma sono riportati anche i dati di contatto del Responsabile della protezione dei dati, recava una pagina vuota, con i soli titoli «Informativa privacy» e «Cookies», priva di tutti gli elementi obbligatori previsti dall’art. 13 del RGPD.

Pertanto, l’Ufficio con nota prot. n. XX del XX, trasmessa anche a mezzo della Guardia di Finanza-Nucleo speciale tutela privacy e frodi tecnologiche, ha accertato ancora che il Comune – non avendo osservato un ordine del Garante, né provveduto a pubblicare sul sito web istituzionale dell’ente l’informativa ai soggetti interessati ai sensi degli artt. 12 e 13 del RGPD e i dati di contatto del RPD – ha tenuto ancora una volta una condotta non conforme alla normativa in materia di protezione dei dati personali e ha provveduto a integrare la notifica delle violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice) e a comunicare l’avvio di un nuovo procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD. 

Dalle verifiche esperite all’Ufficio del protocollo di questa Autorità è risultato che il Comune non ha fatto pervenire memorie difensive, ma ha effettuato gli adempimenti richiesti.

Al riguardo, allo stato degli atti, risulta infatti che, a seguito dell’intervento dell’Ufficio, sono stati pubblicati sul sito web istituzionale nella sezione «Informativa privacy» (https://...), gli elementi obbligatori previsti dall’art. 13 del RGPD nonché i dati di contatto del Responsabile della protezione dei dati, il cui nominativo però è risultato diverso da quello comunicato dal Comune al Garante con la citata nota prot. n. XX. Tale variazione è stata, in ogni caso, comunicata al Garante, tramite l’apposita procedura presente sul sito web istituzionale, con successiva nota prot. n. XX dell’XX.

3. La normativa applicabile

Ai sensi della disciplina in materia, «l’inosservanza di un ordine» del Garante impartito (come avvenuto in questo caso) ai sensi dell’art. 58, par. 2, è soggetta alla sanzione amministrativa prevista dall’art. 83, par 5, lett. e), e par. 6, del RGPD.

Analogamente, il Codice prevede che, ai sensi dell’art. 157 e nell’ambito dei poteri di cui all'articolo 58 del RGPD, il Garante può, per l’espletamento dei propri compiti, «richiedere al titolare di fornire informazioni» ai sensi dell’art. 157 (come avvenuto in questo caso con il provvedimento n. 297/2021). 

Inoltre, alla data del 25/5/2018 in cui è divenuto applicabile il RGPD, i soggetti pubblici (come il Comune) hanno l’obbligo di designare il «Responsabile della protezione dei dati» ( RPD), nonché di pubblicare i relativi dati di contatto e di comunicarli al Garante (art. 37, commi 1 e 7, del RGPD). 

Il RGPD prevede che il «titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […] in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]» (art. 12, par. 1). Il citato art. 13 elenca le informazioni sul trattamento da fornire ai soggetti interessati.

4. Valutazioni del Garante 

Con riferimento alle condotte accertate e contestate dall’Ufficio al Comune di Pazzano in violazione della disciplina in materia di protezione dei dati personali, risulta che l’ente ha adottato specifiche iniziative per rimuovere le irregolarità. Allo stato degli atti, risulta che il Comune:

a) in relazione all’ordine del Garante contenuto nel provvedimento correttivo e sanzionatorio n. 297 del 22/7/2021 di «provvedere alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della protezione dei dati designato dal Comune, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale dell’ente, ai sensi dell’art. 37, par. 7, del RGPD» (punto n. 2, lett. a e b, del dispositivo):

- ha provveduto a nominare il RPD solo in data XX (prot. n. XX);

- ha comunicato i dati di contatto del RPD a questa Autorità – tramite l’apposita procedura online disponibile sul sito del Garante – successivamente alla nomina in data XX (con nota acquisita al prot. n. XX). Tali dati sono stati oggetto di variazione, recentemente comunicata al Garante con nota prot. n. XX dell’XX;

- ha pubblicato sul sito web istituzionale i dati di contatto del RPD, solo a seguito della nota di questa Autorità di contestazione della violazione prot. n. XX del XX (trasmessa anche a mezzo della Guardia di Finanza-Nucleo speciale tutela privacy e frodi tecnologiche);

b) in relazione al mancato riscontro alla richiesta d’informazioni del Garante, formulata ai sensi dell’art. 157 del Codice, contenuta nel provvedimento correttivo e sanzionatorio n. 297 del 22/7/2021 (punto n. 3 del dispositivo):

- ha risposto con le note prott. nn. XX del XX e XX del XX (acquisite ai prott. nn. XX dell’XX e XX dell’XX), ben oltre il termine di trenta giorni ivi previsto e riportato anche nella citata nota di notifica dell’avvio del procedimento sanzionatorio prot. n. XX;

c) in relazione, infine, alla carenza dell’informativa contenuta sul sito web istituzionale:

- a seguito della nota di questa Autorità di notifica delle violazioni effettuate prot. n. XX del XX (trasmessa anche a mezzo della Guardia di Finanza-Nucleo speciale tutela privacy e frodi tecnologiche), ha provveduto a fornire le informazioni sul sito web istituzionale previste degli artt. 12 e 13 del RGPD. 

5. Esito dell’istruttoria 

Nel quadro descritto, considerando che il Comune, non ha presentato ulteriori memorie difensive e che non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019 per l’archiviazione del presente procedimento, si confermano le valutazioni preliminari dell’Ufficio contenute nelle note prot. n. XX del XX e prot. n. XX del XX. Nello specifico, si rileva che il Comune di Pazzano ha tenuto più condotte non conformi alla disciplina in materia di protezione dei dati personali, in quanto l’ente:

1. non ha osservato l’ordine del Garante contenuto nel provvedimento correttivo e sanzionatorio n. 297 del 22/7/2021 di provvedere, nel termine ivi previsto, a sanare le violazioni rilevate nel provvedimento stesso e alla conseguente «comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della protezione dei dati designato dal Comune, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale dell’ente, ai sensi dell’art. 37, par. 7, del RGPD (punto n. 2, lett. a e b, del dispositivo) in violazione dell’art. 58, par. 2, lett. d), del RGPD;

2. non ha fornito riscontro, nel termine previsto dal citato provvedimento n. 297/2021, alla richiesta d’informazioni del Garante, formulata ai sensi dell’art. 157 del Codice, contenuta nel medesimo provvedimento (punto n. 3 del dispositivo), in violazione dell’art. 157 del Codice;

3. non ha provveduto a fornire le informazioni ai soggetti interessati sul sito web istituzionale secondo quanto previsto dalla disciplina in materia di protezione dei dati personali, in violazione degli artt. 12 e 13 del RGPD. 

Si rileva, tuttavia, che le predette condotte hanno esaurito i loro effetti, in quanto il Comune titolare del trattamento ha provveduto a riscontrare, seppure in ritardo, la richiesta d’informazioni contenuta nel provvedimento del Garante n. 297/2021 e a dare adempimento alle ingiunzioni ivi contenute, provvedendo alla comunicazione a questa Autorità e alla pubblicazione sul sito web istituzionale dell’ente dei dati di contatto del RPD, nonché completando l’apposita sezione presente sul medesimo sito web con le informazioni sul trattamento ai sensi degli artt. 12 e 13 del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, il Comune di Pazzano ha posto in essere condotte distinte, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

In relazione alla condotta illecita descritta nel par. 5 n. 1, il Comune risulta aver violato l’art. 58, par. 2, lett. d), del RGPD. La violazione della disposizione citata è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par 5, lett. e) e par. 6, del RGPD che si applica pertanto al caso in esame. 

In relazione alla condotta illecita descritta nel par. 5 n. 2, il Comune risulta aver violato l’art. 157 del Codice. La violazione della disposizione citata, per effetto del richiamo contenuto nell’art. 166, comma 2, del Codice, è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD che si applica pertanto al caso in esame. 

In relazione alla condotta illecita descritta nel par. 5 n. 3, il Comune risulta aver violato gli artt. 12 e 13 del RGPD. La violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b), che si applica pertanto al caso in esame. 

Le predette sanzioni amministrative pecuniarie inflitte, in funzione delle circostanze di ogni singolo caso, vanno determinate nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, si tiene conto del fatto che le condotte contestate sopradescritte risultano essere di natura colposa e che sono state sanate. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità delle condotte tenute dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, per tutte le condotte sopradescritte, oltre a tener conto della circostanza che il Comune di Pazzano è un «piccolissimo Comune montano ricadente nella zona periferica della Città Metropolitana di Reggio Calabria» di circa 492 abitanti, si prendono in considerazione anche le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio – seppur con ritardo – ha posto rimedio alle violazioni, attenuandone i possibili effetti negativi;

- l’ente, secondo quanto dichiarato dal Comune, ha un personale dipendente limitato, «per la quasi totalità part- time con svolgimento, in sede, di un ridotto numero di ore lavorative».

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover comminare – quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD – la sanzione pecuniaria complessiva pari a euro 3.960,00 (tremilanovecentosessanta) – ai sensi dell’art. 83, parr. 2 e 3, del RGPD – calcolata nel modo seguente:

- per la violazione dell’art. 58, par. 2, lett. d), del RGPD, l’ammontare della sanzione pecuniaria prevista dall’art. 83, parr. 5, lett. e) e par. 6, del RGPD, è determinata nella misura di euro 1.320,00 (milletrecentoventi);

- per la violazione dell’art. 157 del Codice (considerando il richiamo contenuto nell’art. 166, comma 2, del Codice) l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del RGPD, è determinata nella misura di euro 1.320,00 (milletrecentoventi);

- per la violazione degli artt. 12 e 13 del RGPD, l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del RGPD, è determinata nella misura di euro 1.320,00 (milletrecentoventi).

In relazione alle specifiche circostanze del presente caso – riguardanti la mancata osservanza nel termine previsto di un ordine del Garante e della richiesta d’informazioni del Garante formulata ai sensi dell’art. 157 del Codice, nonché la carenza di informativa sul sito web istituzionale ai sensi degli artt. 12 e 13 del RGPD – si ritiene che debba essere applicata anche la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Pazzano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA 

al Comune di Pazzano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza IV Novembre s.n.c. - 89040 Pazzano (RC) – C.F. 81001230804 di pagare la somma di € 3.960,00 (tremilanovecentosessanta) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro € 3.960,00 (tremilanovecentosessanta), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 settembre 2025 

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Fanizza

Scheda

Doc-Web
10184621
Data
25/09/25

Argomenti

Internet e social media Pubblica Amministrazione Informativa Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca