[doc. web n. 10195910]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 627 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Premessa.

In data XX è pervenuta all’Autorità una segnalazione, successivamente integrata con note del XX e XX, con la quale è stata lamentata la pubblicazione, sul profilo Facebook ”XX” (https://...), dei dati personali relativi a numerosi cittadini residenti nel Comune di Calvi Risorta (di seguito “Comune”) risultati positivi al COVID-19, nonché di dati personali e foto di minori all’atto della vaccinazione.

Sulla base di quanto indicato nella segnalazione, sul predetto profilo Facebook risultavano pubblicati numerosi post, quali:

- post contenenti nome e cognome, nonché stato di positività al Covid-19 di cittadini residenti nel Comune, anche minorenni, mediante 17 post pubblicati nel XX (XX, XX, XX, XX, XX e XX, XX – 2 post in tale data – XX, XX, XX, XX, XX, XX, XX e XX e XX), 24 post pubblicati nel XX (XX, XX e XX, XX e XX, XX, XX, XX, XX, XX e XX, XX, XX – 2 post in tale data - XX, XX, XX e XX, XX, XX, XX, XX – 2 post in tale data – e XX), nonché 2 post pubblicati nel XX (XX e XX);

- 6 post, pubblicati nel XX (in data XX, XX, XX, XX, XX e XX, contenenti “foto e nomi di 27 bambini minori di 12 anni intenti alla vaccinazione anti-COVID”.

2. L’attività istruttoria

Con nota del XX, prot. n. XX, cui si rinvia integralmente, il sindaco del Comune di Calvi Risorta, Dott. Giovanni Rosario Lombardi, in carica all’epoca dei fatti (di seguito, il “Sindaco”), ha fornito riscontro alla richiesta di informazioni formulata dall’Autorità con nota del XX (prot. n. XX), ai sensi dell’art. 157 del Codice, dichiarando, in particolare, che:

- la pubblicazione dei dati personali di cittadini risultati positivi al Covid-19 era avvenuta “esclusivamente su richiesta degli interessati (tutti amici, conoscenti o parenti)” che hanno inteso in tal modo utilizzare il “profilo pubblico” del Sindaco per “divulgare un dato che […] hanno ritenuto di non mantenere riservato e rendere pubblico […] nell’ottica di un comportamento responsabile volto alla riduzione del contagio”, per consentire alle persone con le quali erano stati in contatto “di adottare a [loro] volta le necessarie misure precauzionali […]”. Per quanto concerne le modalità di acquisizione dei predetti dati, è stato precisato che gli stessi sono stati trasmessi “unicamente dai diretti interessati”, sia tramite messaggi SMS o Whatsapp, ovvero telefonicamente, con la richiesta di renderli pubblici;

- con riferimento, invece, alla pubblicazione delle foto di minori intenti alla vaccinazione, anche in questi casi, la stessa è stata effettuata “unicamente su richiesta e con il consenso, sebbene informale, dei genitori e con la finalità di promuovere l’importanza della vaccinazione […] per divulgare un messaggio che gli interessati […] hanno ritenuto utile per la collettività in situazione di emergenza sanitaria”.

Congiuntamente alla predetta nota, il Sindaco ha provveduto a trasmettere, altresì, evidenza di alcune chat di whatsapp (cinque chat), in cui alcuni cittadini lo autorizzavano a pubblicare il proprio nominativo e la propria positività al Covid-19 sul profilo Facebook.

Con nota del XX (prot. n. XX), cui si rinvia integralmente, in riscontro ad un’ulteriore richiesta di informazioni avanzata con nota del XX (prot. n. XX), il Sindaco ha rappresentato, in particolare, che:

- nel contesto dell’emergenza epidemiologica i Sindaci, quale livello di Governo più vicino ai cittadini, si sono dovuti attivare “mediante poteri straordinari, che consentissero di prevenire la diffusione dal contagio”, nel quadro normativo delle funzioni loro assegnate dagli artt. 50 e 54 del d.lgs. 267/2000, richiamando, in particolare l’art. 50, comma 5, che prevede che “in caso di emergenze sanitarie o di igiene pubblica a carattere esclusivamente locale le ordinanze contingibili e urgenti sono adottate dal sindaco, quale rappresentante della comunità locale. […] La base giuridica su cui [il] Sindaco ha agito è stata la tutela dell’art. 32 della Costituzione, con i poteri straordinari che la legge gli riconosceva”. Lo stesso, “ha ritenuto di procedere a dette pubblicazioni, anche facendo forza sull’art. 17-bis del D.L. 17/03/2020, n. 18 che, fino al termine dello stato di emergenza, ha previsto che solo i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti attuatori, nonché altri soggetti tra cui quelli deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’art. 2 del d.l. n. 19/2020, possono effettuare trattamenti, ivi inclusa la comunicazione reciproca, dei dati personali, anche relativi alla salute, che risultino necessari all’espletamento delle funzioni ad essi attribuite nell’ambito dell’emergenza”;

- “La straordinarietà della situazione […] è stata resa ancora più palese ed evidente dal cattivo funzionamento dei circuiti ordinari [di tracciamento]”. In tale contesto, “la conoscenza del territorio e il “filo diretto” con i cittadini ha consentito [al] Sindaco di appurare che l’elenco dei nominativi trasmesso dalla ASL […] spesso era notevolmente incompleto.  [A] fronte di una esplosione totale dei contagi e della insufficienza delle forme ordinarie di tracciamento dei positivi, ha ritenuto di porre in essere ogni utile misura per prevenire il contagio […]”;

- nel ribadire che la pubblicazione dei nominativi è sempre avvenuta su “richiesta e/o autorizzata dai diretti interessati”, è stato precisato, altresì, che questi ultimi “essendo saltato il tracciamento istituzionale per il tramite delle ASL” richiedevano al Sindaco “di rendere noti i propri nominativi sul profilo personale [dello stesso] così da allertare coloro i quali avessero avuto i contatti ad assumere le dovute precauzioni […]”. Analogamente, con riguardo alla diffusione delle foto, è stato ritenuto che “il più utile strumento di comunicazione e diffusione della importanza del vaccino [fosse] una campagna di sensibilizzazione […] per convincere tutta la cittadinanza a vaccinarsi […]. Le foto dei minori venivano trasmesse direttamente dai genitori o, comunque, autorizzate dai genitori sempre senza osservare particolari forme autorizzative in considerazione della straordinarietà della situazione”. È stato, al riguardo, evidenziato che “il Comune di Calvi Risorta ha raggiunto una percentuale di vaccinati elevatissima […] anche e soprattutto nella fascia dei minori”.

Nella medesima nota, infine, nel rappresentare di aver rimosso i dati dal citato profilo Facebook, il Sindaco ha precisato che “se ciò non è avvenuto nella immediatezza è da riferirlo al fatto che lo [stesso] gestisce in prima persona il proprio profilo facebook, contestualmente all’espletamento di una complessa funzione di Sindaco, oltre all’esercizio della professione medica”.

A tal proposito, sulla base dei successivi accertamenti svolti dall’Ufficio, è stato rilevato che, alla data del XX, digitando nella barra del motore di ricerca le parole “XX”, risultava attiva una pagina Facebook, ugualmente denominata “XX” (URL https://...) nella quale risultavano ancora consultabili alcuni dei post pubblicati nell’intervallo temporale tra il XX e il XX (nel XX, i post del XX, XX, XX e XXe, del XX, XX, XX, XX, XX, X e XX, e del XX nel XX i post del XX, XX, e XX, del XX e XX, del XX e del XX).

Pertanto, l’Ufficio, con nota del XX (prot. n. XX), ha richiesto ulteriori elementi necessari al completamento del quadro istruttorio, a cui il Sindaco ha fornito riscontro con nota del XX (prot. n. XX), cui si rinvia integralmente, rappresentando, in particolare, che:

- “il profilo facebook https://..., è attivo, i post in esso pubblicati sono stati cancellati e non sono più visibili. Si precisa che sono stati aperti n. 2 profili facebook in quanto uno di essi ha raggiunto il limite massimo di capienza”;

- “i dati personali dei soggetti risultanti positivi al Covid-19 sono stati preventivamente resi pubblici dagli stessi mediante i profili social” e “le richieste di rendere noto i propri stati di positività [anche tramite il profilo Facebook del Sindaco] furono dovute alle restrizioni [alla circolazione] stabilite e alle conseguenti difficoltà di comunicazione […] al fine di informare immediatamente tutti i soggetti con cui erano stati preventivamente a contatto”.

Con riferimento alla condotta del Sindaco, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, ai sensi dell’art. 166, comma 5, del Codice, con nota del XX (prot. n. XX), l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e 9 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8 del Codice.

Il Sindaco, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

A seguito della suddetta notifica, il predetto Comune non ha presentato memorie difensive; tuttavia, con nota del XX ha chiesto di essere audito. Nel corso dell’audizione del XX, il Sindaco ha fornito ulteriori elementi istruttori, rappresentando, in particolare, che:

- “i fatti oggetto di contestazione si sono verificati nella primissima fase emergenziale, in cui non era ancora possibile fare affidamento sui flussi informativi successivamente strutturati tra le ASL e il Sindaco in qualità di Autorità sanitaria comunale […] In quel periodo era necessario fornire alle persone con cui si era stati in contatto notizia della propria positività”. In tale contesto, “inizialmente pochi cittadini del Comune, poi successivamente in molti, avevano quindi adottato la prassi di far conoscere tale informazione per il tramite del profilo Facebook del Sindaco”;

- Nel ribadire che tali comunicazioni avvenivano “sempre ed esclusivamente su impulso degli interessati”, fa presente di aver “fornito evidenze in corso d’istruttoria di richieste inviate mediante SMS o via WhatsApp mediante contatto al cellulare del Sindaco [mentre] altre richieste sono pervenute al [medesimo] mediante contatto telefonico (non SMS o WhatsApp e, pertanto, di alcune richieste non è possibile fornire evidenza documentale)”. Ciò anche con riguardo alle le immagini di minori intenti nella vaccinazione, le cui immagini da pubblicare “raccolte dagli stessi genitori, venivano inviate via WhatsApp al [Sindaco] al medesimo numero di telefono, con la richiesta di pubblicarle sul profilo Facebook del Sindaco, sempre nell’ottica di quell’attività di diffusione e sensibilizzazione alla vaccinazione svolta dallo stesso”, precisando, altresì, “che le stesse immagini erano state in molti casi già rese pubbliche da parte dei genitori sul proprio profilo Facebook”;

- Con riguardo, infine, al fatto che parte dei post "rimossi, inizialmente dal profilo Facebook ”XX” siano rimasti consultabili sul web anche successivamente, ha ulteriormente precisato che all’atto “del caricamento sul profilo “gli stessi venivano pubblicati automaticamente sulla pagina Facebook ugualmente denominata “XX” ma non venivano automaticamente cancellati dalla stessa a seguito della cancellazione dei post/immagini dal predetto profilo”, e di essere venuto a conoscenza di tale ulteriore problematica solo a seguito delle rilevazioni effettuate dall’Autorità, a seguito delle quali ha provveduto tempestivamente a rimuoverle.

Nell’ambito dell’audizione, il Sindaco ha nuovamente ribadito non di non aver ricevuto “segnalazioni o lamentele da parte degli interessati né da altri cittadini in merito all’iniziativa svolta, che invece ha riscosso un grande apprezzamento e partecipazione nella comunità”.

Si segnala, da ultimo, che con nota del XX, il Sindaco, oltre a trasmettere la propria accettazione del verbale di audizione, ha provveduto, altresì, a trasmettere delle ulteriori evidenze quali, in particolare, screenshot di due post pubblicati direttamente dai genitori di due minori, contenenti immagini di questi ultimi intenti alla vaccinazione.

3. Esito dell’attività istruttoria.

3.1. La normativa applicabile in materia di protezione dei dati personali.

Ai sensi della disciplina in materia, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

Si ricorda, altresì, che il Regolamento attribuisce rilievo nella considerazione dei “rischi per i diritti e le libertà delle persone fisiche, […che] possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: […] se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori” (considerando 75 del Regolamento).

Per quanto concerne il trattamento dei dati personali effettuato da soggetti pubblici, lo stesso è, di regola, lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento). È inoltre previsto che “Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento), con la conseguenza che al caso di specie, nell’ordinamento italiano, risulta applicabile l’art. 2-ter, del Codice.

Per quanto concerne le categorie particolari di dati, sono considerati tali “i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9, par. 1, del Regolamento). Con particolare riferimento al caso in esame, si ricorda che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa, ai sensi dell’art. 2-ter, commi 1 e 3 del Codice, solo quando prevista da un’idonea base giuridica, e per quanto concerne i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (artt. 4, par. 1, n. 15, e 9, nonché considerando 35 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).

Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, tra cui quello di “liceità, correttezza e trasparenza”, in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento).

3.2. La diffusione online di dati personali e categorie particolari di dati

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, è stata rilevatala diffusione da parte del Sindaco di Calvi Risorta di dati personali – incluse categorie particolari di dati - di numerosi interessati, anche minorenni, mediante pubblicazione di post contenenti nome e cognome con l’indicazione dello stato di positività al Covid-19, e di post contenenti nome, cognome e immagini di minori intenti nella vaccinazione anti Covid-19. In particolare, dagli accertamenti effettuati dall’Ufficio è stato rilevato che i predetti post sono stati pubblicati sul profilo Facebook ”XX” (https://...) e che alcuni dei post relativi ai casi di positività al Covid-19 risultavano pubblicati, altresì – almeno fino a XX - sulla pagina Facebook ugualmente denominata “XX” (https://...).

Ciò premesso, si evidenzia preliminarmente che, in relazione al trattamento in esame, il Comune di Calvi Risorta non risulta aver svolto alcun ruolo nel trattamento oggetto di istruttoria, non essendo il profilo e la pagina social utilizzati riferibili al predetto Comune, ma unicamente, al Sindaco, ma soprattutto la gestione del profilo – e della pagina – risulta effettuata unicamente da quest’ultimo, senza alcun intervento da parte del Comune.

Al riguardo, si osserva che il trattamento dei dati personali effettuato da quest’ultimo mediante la pubblicazione dei post sul profilo pubblico e sulla pagina Facebook - entrambi denominati “XX” - è inequivocabilmente riconducibile, con riguardo alla fattispecie in esame, all’ambito istituzionale e non privato (familiare o domestico). Rilevano, a tal proposito, come emerso in corso d’istruttoria, sia l’occasione e le modalità dell’acquisizione dei dati personali degli interessati, essendo stati trasmessi da parte degli stessi interessati al Sindaco, proprio ai fini di rendere nota quanto più possibile – utilizzando gli spazi social e la visibilità ad essi collegata in ragione del ruolo istituzionale ricoperto - la loro positività,  sia il contenuto dei post stessi, volti a fornire informazioni alla cittadinanza in merito a nuovi concittadini risultati positivi al Covid-19, ai fini di contenimento del contagio nonché, per quanto concerne i post relativi ai minori intenti nella vaccinazione, per sensibilizzare la cittadinanza sul tema. Risulta, pertanto accertato che il trattamento dei dati personali è stato effettuato dal Sindaco di Calvi Risorta in ragione della carica rivestita nel Comune e nell’ambito, quindi, dello svolgimento delle funzioni istituzionali.

Ciò posto, con riferimento alla vicenda in esame, non può condividersi quanto eccepito dal Sindaco nell’ambito dell’istruttoria, in relazione al fatto che la pubblicazione dei dati sia avvenuta sulla base di su “richiesta e/o autorizzata dai diretti interessati” – di cui, in corso d’istruttoria, sono state acquisite alcune limitate evidenze, considerato che in alcuni casi erano state presentate informalmente.

Come sopra accennato, infatti il trattamento di dati personali effettuato nello svolgimento di compiti istituzionali è lecito solo se necessario “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e, del Regolamento), e la diffusione è ammessa solo “quando prevista da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, commi 1 e 3, del Codice). Pertanto, la diffusione dei dati personali, sia sul profilo che sulla pagina Facebook “XX”, per il perseguimento dei fini istituzionali evidenziati nel corso dell’istruttoria (limitazione dei contagi e sensibilizzazione alla vaccinazione nel contesto pandemico), avrebbe dovuto essere, comunque, sorretta da una idonea base giuridica. Per quanto di interesse ai fini del caso in esame, si ricorda inoltre che, al fine di adempiere i predetti “obblighi legali” o “compiti di interesse o connessi all’esercizio di poteri pubblici”, il consenso o l’autorizzazione degli interessati, tendenzialmente, non può costituire “un valido fondamento giuridico per il trattamento dei dati personali”, considerando che “quando il titolare del trattamento è un’autorità pubblica”, esiste un “evidente squilibrio tra l’interessato e il titolare del trattamento” (considerando n. 43 del Regolamento).

Il titolare del trattamento, è poi, in ogni caso, tenuto a rispettare i principi di cui all’art. 5 del Regolamento, tra i quali, il suindicato principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento).

In aggiunta, i trattamenti di categorie particolari di dati personali, di cui all'articolo 9, par. 1, del Regolamento, per i motivi di interesse pubblico rilevante ai sensi del par. 2, lett. g), del medesimo articolo, “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno” siano previsti da un’idonea base giuridica che specifichi “i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice). In ogni caso, i dati relativi alla salute “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).

Parimenti non può condividersi quanto eccepito dal Sindaco in relazione alla circostanza i trattamenti oggetto dell’istruttoria, nel contesto dell’emergenza epidemiologica, potevano trovare fondamento nel quadro normativo delle funzioni assegnate ai Sindaci dagli artt. 50 e 54 del d.lgs. 267/2000, ritenendo, altresì, di poter “procedere a dette pubblicazioni, anche facendo forza sull’art. 17-bis del D.L. 17/03/2020, n. 18 che, fino al termine dello stato di emergenza, ha previsto che solo i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti attuatori, nonché altri soggetti tra cui quelli deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’art. 2 del d.l. n. 19/2020, possono effettuare trattamenti, ivi inclusa la comunicazione reciproca, dei dati personali, anche relativi alla salute, che risultino necessari all’espletamento delle funzioni ad essi attribuite nell’ambito dell’emergenza”.

Con particolare riguardo a tali profili, si evidenzia, infatti, che, nell’ambito della gestione dello stato di emergenza legato all’epidemia da COVID-19, deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottate numerose disposizioni che implicano il trattamento di dati personali. Tali disposizioni prevedono, da un lato, che i soggetti pubblici possano effettuare i trattamenti di dati personali che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del Covid-19, dall’altro, che siano, comunque, adottate le misure necessarie a garantire il rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui all’art. 5 del Regolamento (cfr. art. 5 dell’ordinanza del Capo del Dipartimento della protezione civile del 3 febbraio 2020, n. 630; art. 17 bis del decreto-legge 17 marzo 2020, n. 18, convertito con modificazioni, dalla legge 24 aprile 2020, n. 27).

Come già evidenziato, la disciplina in materia di protezione dei dati personali vieta la diffusione dei dati relativi alla salute, e tale divieto non è stato derogato dalla normativa d’urgenza sul Covid-19 (art. 9 del Regolamento; artt. 2-septies, comma 8, del Codice e 166, comma 2 del Codice; art. 14 del decreto-legge 9 marzo 2020, n. 14 e art. 17-bis del citato d.l. 17 marzo 2020, n. 18, convertito con modificazioni, dalla l. 24 aprile 2020, n. 27). Tale trattamento, oltre che vietato, nel contesto della gestione dell’emergenza aggiunge agli interessati e ai loro familiari, oltre alla pena per l’esposizione alla malattia, anche quella derivante da un’inaccettabile diffusione di aspetti assai delicati relativi alla propria vita privata. Con specifico riferimento alla diffusione sui social e sugli organi di stampa, anche online, di dati personali come quelli sopra citati, il Garante ha precisato che “anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica” (Comunicato stampa del 31 marzo 2020, in www.gpdp.it, doc. web n. 9303613).

In ragione delle considerazioni che precedono, e pur prendendo atto delle circostanze rappresentate dal Sindaco di Calvi Risorta, meritevoli di considerazione ai fini della valutazione della condotta, il trattamento dei dati personali effettuato mediante la diffusione online di dati personali - incluse categorie particolari di dati relativi, alla salute - risulta essere stato effettuato in contrasto con la normativa in materia di protezione dei dati personali, in quanto attuato in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e 9 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8 del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Sindaco, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Sindaco del Comune di Calvi Risorta, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e 9 del Regolamento e degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, tenuto conto che la diffusione online di dati personali, anagrafici e immagini, nonché di dati relativi alla salute, sulla pagina e sul profilo Facebook del Sindaco, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in considerazione del fatto che la pubblicazione dei post contenenti i suddetti dati personali è stata effettuata in uno specifico arco temporale, nella prima fase di gestione e contenimento dell’emergenza epidemiologica relativa al virus SARS CoV-2, con l’intento di fornire aggiornamenti rispetto alla situazione emergenziale nel Comune, al fine di limitare i contagi e sensibilizzare la cittadinanza alla vaccinazione), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate – artt. 5, 6 e 9 del Regolamento, nonché 2-ter, 2-sexies e 2-septies, comma 8, del Codice - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare la specifica natura del trattamento – concernente la diffusione di dati personali mediante una pagina e un profilo Facebook, pubblicamente accessibili, del Sindaco – la durata dello stesso, nonché il fatto che la violazione abbia riguardato anche dati inerenti a soggetti vulnerabili, quali interessati minorenni. Si ritiene che debba, altresì, essere presa in considerazione la delicatezza dei dati in questione (art. 83, par. 2, lett. g), del Regolamento), trattandosi di dati relativi alla salute degli interessati.

Per quanto concerne l’elemento soggettivo, deve considerarsi il carattere colposo della violazione, avendo il Sindaco agito nell’erroneo convincimento della sussistenza di un presupposto di liceità, individuato nel quadro normativo delle funzioni assegnate ai Sindaci dagli artt. 50 e 54 del d.lgs. 267/2000 nonché nelle disposizioni adottate per la gestione dello stato di emergenza da Covid-19, nonché  dalle  richieste di pubblicazione e dalle autorizzazioni fornite dagli interessati per i trattamenti in esame (art. 83, par. 2, lett. b) del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, ai fini della quantificazione della sanzione, si ritiene che debba essere presa in considerazione, in senso favorevole, con riferimento alle misure adottate dal Sindaco per attenuare il danno subito dagli interessati, la rimozione di tutti i post contestati dall’Autorità (art. 83, par. 2, lett. c), del Regolamento); deve tenersi conto, altresì, in senso favorevole, del particolare contesto di riferimento, essendo il trattamento avvenuto, in particolare, durante la fase inziale di gestione e contenimento della situazione emergenziale (art. 83, par. 2, lett. k), del Regolamento).

In senso sfavorevole al titolare deve considerarsi, invece, che risulta una precedente violazione pertinente commessa dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille/00) per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), e 9, del Regolamento e degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, data la particolare capacità diffusiva dello strumento di pubblicazione utilizzato dal Sindaco (social network), la delicatezza dei dati oggetto di pubblicazione, e la vulnerabilità di alcuni degli interessati (minorenni) i cui dati sono stati pubblicati nei post oggetto di istruttoria.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Dott. Giovanni Rosario Lombardi, in qualità di Sindaco, all’epoca dei fatti, del Comune di Calvi Risorta, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e 9, del Regolamento e degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8, del Codice

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Dott. Giovanni Rosario Lombardi, C.F. XX, residente in XX, di pagare la complessiva somma di euro 1.000 (mille/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Dott. Giovanni Rosario Lombardi:

- di pagare la complessiva somma di euro 1.000 (mille/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza