[doc. web n. 10213836]

Provvedimento del 16 gennaio 2026

Registro dei provvedimenti
n. 5 del 16 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota del XX, il sig. XX ha formulato un reclamo riguardante una presunta violazione della disciplina in materia di protezione dei dati personali da parte dell’Azienda sanitaria provinciale di Vibo Valentia (di seguito l’”Azienda”).

In particolare il reclamante ha lamentato una presunta comunicazione, da parte dell’Azienda Sanitaria Provinciale di Vibo Valentia del “risultato delle valutazioni diagnostiche e della bozza di relazione” relativa al Profilo di Funzionamento/Profilo Dinamico Funzionale (contenente dati personali del figlio minore) (unicamente) alla Scuola IC Vespucci-Murmura, senza aver trasmesso nulla alla famiglia e, soprattutto senza alcuna preventiva autorizzazione ai fini privacy, trattandosi di dati sensibili ed ultrasensibili”.

Successivamente a tale reclamo, l’Ufficio, con nota del XX (prot. n. XX), inviata a mezzo PEC, all’indirizzo XX  (risultante dall’IPA - Indice dei domicili digitali della Pubblica Amministrazione e dei Gestori di Pubblici Servizi), ha richiesto all’Azienda, ai sensi dell’art. 157 del Codice, informazioni utili alla valutazione del caso da fornire entro il termine di 30 giorni dalla ricezione della nota stessa.

L’Azienda non ha fornito riscontro entro il predetto termine, sebbene da una verifica effettuata presso l’Ufficio che gestisce il servizio di protocollo dell’Autorità, sia risultato che la di richiesta di informazioni è stata regolarmente consegnata all’indirizzo sopra indicato.

2. Valutazioni del Dipartimento e notifica della violazione di cui all’art. 166, comma 5, del Codice

L’Ufficio, con atto del XX (prot. n. XX), ha notificato all’Azienda, titolare del trattamento, l’avvio del procedimento, di cui all’art. 166, comma 5, del Codice, finalizzato all’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per la violazione dell’art. 157 del Codice.

Con il medesimo atto, il titolare del trattamento è stato invitato a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice e art. 18, comma 1, legge n. 689 del 24 novembre 1981), nonché a fornire riscontro alla richiesta di informazioni formulata dall’Ufficio con la citata nota del XX - prot. n. XX.

Con nota del XX (prot. n. XX), l’Azienda, “desiderando (...) dimostrare la buona fede per la mancata risposta entro i termini previsti”, in relazione alla contestata violazione dell’art. 157 del Codice, ha rappresentato, fra altro, quanto segue:

“l’Azienda e la scrivente hanno appreso della richiesta di informazioni inoltrata in data XX dal GPDP, solo al ricevimento della seconda nota prot. n. XX del XX. Dalle ricerche effettuate, risulta che la PEC del XX c.a., inoltrata dal Garante al Protocollo dell’ASP, è stata smistata, in data XX, al Titolare del trattamento dati e al DPO. Tuttavia, accade spesso che le pec, pur smistate, non siano visibili e/o rintracciabili, se non inserendo criteri di ricerca o di filtraggio ben specifici e dettagliati (…);

“Sussistono, pertanto, problemi tecnici o di configurazione del sistema di gestione del protocollo aziendale che talvolta impediscono la visualizzazione o la corretta gestione delle pec (…)”;

“Il disguido occorso con il Garante ha messo in evidenza l’assoluta necessità di intraprendere azioni per revisionare e migliorare le procedure di gestione delle pec nel protocollo aziendale (…)”;

“Al fine di evitare in futuro analoghi episodi e garantire un monitoraggio delle comunicazioni ricevute dal Garante, ci si sta adoperando per istituire una pec dedicata esclusivamente alla corrispondenza con il GPDP, invitando altresì gli operatori del protocollo a smistare tali pec anche sulle email istituzionali del Titolare del Trattamento e del DPO”;

“Si intende altresì verificare la possibilità di attivare sistemi di notificazione o di alert che segnalino la ricezione della posta certificata (…)”.

Con la medesima nota del XX (prot. n. XX), l’Azienda ha, altresì, fornito informazioni in ordine alla vicenda oggetto di reclamo e, sulla base di tali argomentazioni, l’Ufficio ha archiviato il reclamo per i profili di merito con nota del XX (prot. n. XX).

3. Esito dell’attività istruttoria

Preso atto delle risultanze istruttorie e delle dichiarazioni contenute nella memoria difensiva, si rileva preliminarmente che il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile, in particolare, delle disposizioni del Regolamento e del Codice.

L’Autorità di controllo, nell’ambito dei compiti e poteri attribuiti dal Regolamento, assicura, fra altro, assicura l’applicazione delle disposizioni in materia di protezione dei dati personali e svolge le opportune indagini, anche sulla corretta applicazione della disciplina di protezione dei dati personali da parte dei titolari (art. 57 par.1, lett. a), f) ed h) e 58 del Regolamento). A tale scopo l’Autorità ha il potere di ingiungere al titolare del trattamento di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti (art. 58 par.1, lett. a), del Regolamento).

L’art. 157 del Codice prevede, a tal fine, che “nell’ambito dei poteri di cui all'articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati” e che l’inosservanza di tale disposizione rende applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 del Regolamento (art. 166, comma 2, del Codice).

Con riferimento alla condotta omissiva dell’Azienda, si osserva che essa ha reso necessario un reiterato intervento dell’Autorità, incidendo negativamente sull’ efficienza dell’azione amministrativa, in violazione dei principi di buon andamento, efficacia ed economicità (art. 97 Cost., nonché art. 9, comma 1 e 10, comma 3, del Regolamento interno del Garante n. 1/2019 del 4 aprile 2019, doc. web n. 9107633).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, pur tenendo conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non risultano idonei a superare i rilievi notificati con l’atto di avvio del procedimento, non ricorrendo, alcuna delle ipotesi di cui all’art. 11 del Regolamento del Garante n. 1/2019.

Le argomentazioni sostenute dal titolare volte a “(…) dimostrare la buona fede per la mancata risposta entro i termini previsti”, non possono essere accolte, non emergendo una condotta incolpevole, tale cioè da non poter essere evitata neppure con l'ordinaria diligenza. Alla luce di consolidata giurisprudenza della Suprema Corte (Cass. n. 5426/2006, Cass. n. 7885/2011, Cass. n. 16320/2010, Cass. n. 19759/2015, Cass. n. 33441/2019 e Cass. n.17822/2021), ai fini dell’applicazione dell’art. 3 della legge n. 689/1981, è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nella vicenda in questione, il mancato riscontro alla richiesta di informazioni ai sensi dell’art. 157 del Codice è dipeso da problematiche di “(…) gestione delle pec nel protocollo aziendale” (cfr. memoria difensiva del XX (prot. n. XX)” criticità che risultano superabili mediante adeguate misure organizzative.

Si tiene conto, tuttavia, degli interventi migliorativi intrapresi dall’Azienda al fine di prevenire il ripetersi di analoghi disguidi.

È pertanto, accertato che l’Azienda sanitaria provinciale di Vibo Valentia ha posto in essere una condotta omissiva in violazione dell’art. 157 del Codice, in relazione all’art. 166, comma 2, del Codice.

Non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, tenendo conto che la condotta ha esaurito i suoi effetti, per aver il titolare fornito riscontro all’Autorità.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone, altresì, in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento.

Anzitutto, considerato che la violazione afferenti alla vicenda in questione rientra nelle fattispecie elencate dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a 20.000.000 di euro (massimo edittale cd “statico”).

Quanto alla valutazione della gravità della violazione di cui all’art.  83, par. 2, lett. a), b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”), si ritiene che il livello di gravità è da considerarsi lieve, non ricorrendo alcun profilo di dolo ed essendosi trattato di un unico episodio, avendo l’Azienda risposto all’Autorità appena venuta a conoscenza dell’evento occorso attraverso l’atto di contestazione dello stesso.

In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti del titolare del trattamento non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- quest’ultimo ha cooperato con l’Autorità (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 500,00 (cinquecento/00) per la violazione di cui all’art. 157 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione della tipologia della violazione accertata che ha riguardato l’obbligo di riscontrare la richiesta di informazioni del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara che l’Azienda sanitaria provinciale di Vibo Valentia, sita in via Dante Alighieri, 67 – c.a.p. 89900 - P.IVA 02866420793, titolare del trattamento, ha violato l’art. 157 del Codice, in relazione all’art. 166, comma 2, del Codice nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 500,00 (cinquecento/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento;

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 500,00 (cinquecento/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori