g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 23 ottobre 2025 [10195379]

Provvedimento del 23 ottobre 2025 [10195379]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10195379]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 615 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito, regolamento del Garante n. 1/2019);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione

Nell’ambito di una serie di controlli effettuati d’ufficio da questa Autorità, da una verifica svolta in data XX non risulta che il Comune di Avola (di seguito, Comune) abbia effettuato la comunicazione dei dati di contatto del Responsabile della protezione dei dati (di seguito, RPD) all’Autorità – utilizzando l’apposito canale dedicato reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/ – richiesta dall’art. 37, par. 7, del Regolamento.

Inoltre, da un controllo contestuale effettuato sul sito web istituzionale del Comune, non è stato possibile reperire i dati di contatto del RPD, non rinvenendo, pertanto, elementi in grado di comprovare la designazione, da parte del Comune, del RPD.

Pertanto, con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto non aveva effettuato né la pubblicazione né la comunicazione all’Autorità dei dati di contatto del RPD, in violazione dell’art. 37, par. 7, del Regolamento, e in quanto, sulla base di ciò, non risultava comprovato che il Comune avesse effettivamente designato il RPD, in violazione dell’art. 37, par. 1, del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota inviata il XX (prot. n. XX), cui si rinvia integralmente, il Comune ha presentato i propri scritti difensivi, ove ha rappresentato:

- “di aver già assolto all’obbligo di designazione del Responsabile della protezione dati (RPD) […] come da determina N. XX del XX, allegando, al riguardo, la relativa documentazione;

- “che i dati del suddetto responsabile risultano disponibili sul sito web dell’Ente, all’indirizzo: http://www.comune.avola.sr.it/zf/index.php/trasparenza/index/index/categoria/318 ovvero reperibili attraverso il percorso Home->Amministrazione trasparente->Privacy e responsabile della protezione dei dati personali”;

- “che per mera dimenticanza non è stata fatta comunicazione al Garante della designazione e dei contatti del Responsabile protezione dati”;

- di aver provveduto “alla Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati – RPD (art. 37, par. 7, RGPD e art. 28, c. 4 del D.Lgs. 51/2018) in data XX attraverso l’apposito link predisposto dal Garante”;

- di aver semplificato “la rintracciabilità dei dati di contatto del RPD inserendo direttamente nella Home page del sito web il link “Privacy e Responsabile protezione dati”.

Sulla base di quanto rappresentato dal Comune è stata effettuata, in data XX, una verifica sul relativo sito web, ove è stata accertata la presenza di una deliberazione di designazione del RPD sottoscritta il 2 luglio 2019.

2. Esito dell’attività istruttoria

Ai sensi dell’art. 37 del Regolamento, il titolare (e il responsabile) del trattamento “[designa] sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (par. 1, lett. a)) e “pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo” (par. 7).

Inoltre, nelle Linee-guida sui responsabili della protezione dei dati (RPD), adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, si aggiunge, in particolare, che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).

Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa, in particolare, che “Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti”, e che “Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato. Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni e le relative FAQ: peraltro, si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento (l’ente complessivamente inteso, e non il legale rappresentante) e la compilazione del codice fiscale dell’amministrazione (e non della partita IVA, ovvero del codice fiscale di altro soggetto)” (par. 7).

Ciò premesso, si rileva che le dichiarazioni rese dal Comune nel corso dell’istruttoria – della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice – consentono solo in parte di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, potendo procedere con l’archiviazione del presente procedimento, ai sensi del combinato disposto di cui agli artt. 11 e 14 del regolamento del Garante n. 1/2019, solamente con riferimento alla violazione dell’art. 37, par. 1, lett. a) del Regolamento, in relazione alla mancata nomina del RPD e par. 7 in relazione alla pubblicazione dei dati di contatto del RPD.

Ciò in ragione del fatto che, nel corso dell’istruttoria, è emerso che il Comune, a far data dal 2 luglio 2019, aveva già provveduto alla nomina del RPD. Considerato che, ai sensi dell’art. 22, comma 13, del D.Lgs. n. 101/2018, recante le disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento, “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione di dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative […] della fase di prima applicazione delle disposizioni sanzionatorie” si osserva che la procedura per l’avvio della nomina in esame era stata avviata durante la predetta fase, e che essa si era conclusa, con la designazione del RPD, poco dopo il suo termine.

Altresì è emerso che la pubblicazione dei dati di contatto del RPD risultava comunque effettuata sul sito istituzionale del Comune, pur avendo successivamente lo stesso ritenuto di effettuarla mediante un altro link al fine di semplificarne la rintracciabilità, né sono emersi elementi tali da comprovare il mancato adempimento in una data anteriore all’avvio del procedimento.

Per il resto, si confermano le valutazioni preliminari dell’Ufficio in merito alla violazione dell’art. 37, par. par. 7 del medesimo articolo in relazione al solo profilo della comunicazione dei dati di contatto all’Autorità.

Ciò, in quanto la prima comunicazione dei dati di contatto riportata nei registri dell’Autorità è datata XX (prot. n. XX), per cui risulta accertato, in atti, che essa sia avvenuta diversi anni dopo la designazione del medesimo, ossia in seguito all’invio della nota, da parte dell’Autorità medesima, con la quale veniva contestato il predetto inadempimento.

Si conferma, pertanto, che il Comune, fino all’XX, non aveva effettuato la comunicazione dei relativi dati di contatto all’Autorità, in violazione dell’art. 37, par. 7, del Regolamento.

Avendo comunque il Comune provveduto a effettuare il predetto adempimento, non ricorrono i presupposti per l’adozione delle specifiche misure correttive di cui all’art. 58, par. 2, lett. d), del Regolamento.

3. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (art. 58, par. 2, lett. i), e art. 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi dell’art. 58, par. 2, lett. i), e dell’art. 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

La predetta sanzione amministrativa pecuniaria, inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva quanto segue.

La mancata comunicazione dei dati di contatto del RPD all’Autorità ha inciso negativamente sulla possibilità che l’Autorità contattasse il medesimo RPD in modo facile e diretto. Di contro, si osserva che il Comune si è attivato al fine di porre rimedio a quest’ultima violazione e che non risultano a carico della stessa precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento. Si rileva, altresì, il carattere colposo della violazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione dell’art 37, par. 7 (limitatamente al profilo della comunicazione dei dati di contatto del RPD), del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019, trattandosi del ritardato assolvimento ad adempimenti divenuti obbligatori fin dal 2018.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Avola, descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 37, par. 7 (limitatamente al profilo della comunicazione dei dati di contatto del RPD), del Regolamento;

ORDINA

al Comune di Avola, con sede in Corso Garibaldi, n. 82 - 96012 Avola (SR) – P. IVA 00090570896, ai sensi dell’art. 58, par. 2, lett. i), e dell’art. 83 del Regolamento, di pagare la somma di euro 2.000 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicata in motivazione;

INGIUNGE

al Comune di Avola di pagare la somma di euro 2.000 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. 689/1981.

Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento, sempre secondo le modalità indicate in allegato, di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150);

DISPONE

- ai sensi del combinato disposto di cui agli artt. 11 e 14 del regolamento del Garante n. 1/2019, l’archiviazione del procedimento con riferimento alla violazione dell’art. 37, par. 7, del Regolamento, limitatamente al profilo della pubblicazione dei dati di contatto del RPD

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, dell’art. 152 del Codice e dell’art. 10 del d.lgs. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza

Scheda

Doc-Web
10195379
Data
23/10/25

Argomenti

Enti locali Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)