[doc. web n. 10226138]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 77 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato da XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte del Comune di Tires per aver diffuso i propri dati personali online. 

Al riguardo, dalla verifica preliminare effettata dall’Ufficio, è risultato che erano liberamente visualizzabili e scaricabili da indirizzi web riferibili all’albo pretorio online del predetto Comune file contenenti i seguenti documenti:

1. Verbale di deliberazione del Consiglio Comunale n. XX del XX, avente a oggetto «Opposizione avverso la deliberazione del consiglio comunale n. XX del XX», all’url: https://...;

2. Verbale di deliberazione della Giunta Comunale n. XX del XX, avente a oggetto «Opposizione avverso la deliberazione del consiglio comunale n. XX del XX - approvazione della proposta di deliberazione per il Consiglio Comunale», all’url: https://...;

3. Verbale di deliberazione del Consiglio Comunale n. XX del XX, avente a oggetto «Opposizione avverso la deliberazione del consiglio comunale n. XX del XX», all’url: https://..;

4. Verbale di deliberazione della Giunta Comunale n. XX del XX, avente a oggetto «Opposizione avverso la deliberazione del consiglio comunale n. XX del XX - approvazione della proposta di deliberazione per il Consiglio Comunale», all’url: https://...;

5. Verbale di deliberazione della Giunta Comunale n. XX seduta del XX, avente a oggetto «Opposizione avverso la deliberazione del consiglio comunale n. XX del XX - approvazione della proposta di deliberazione per il Consiglio Comunale», all’url: https://...;

6. Verbale di deliberazione del Consiglio Comunale n. XX del XX, avente a oggetto «Opposizione avverso la deliberazione del consiglio comunale n. XX del XX - rigetto», all’url: https://...

Nei verbali sopradescritti risultavano riportati in chiaro i dati personali (nome e cognome) del reclamante e i motivi di opposizione da esso presentati a diverse deliberazioni del consiglio comunale.

Il reclamante ha rappresentato di essersi già precedentemente rivolto al Comune per chiedere la cancellazione dei dati pubblicati online, esercitando i diritti in materia di protezione dei dati personali, ma di non aver ricevuto riscontro. Al reclamo è stata allegata anche la nota del Responsabile della protezione dei dati dell’ente del XX nella quale lo stesso veniva sostenuto che il Comune era tenuto a indicare il nome del reclamante nel testo delle deliberazioni.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD). 

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

La normativa statale di settore prevede che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

Tuttavia, come indicato fin dal 2014 da questa Autorità, la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali (cfr. parte seconda, parr. 1 e 3.2 del provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, in corso di aggiornamento, ma ancora attuale nella parte sostanziale). Anche in caso di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel sito web istituzionale è infatti «necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni» (ivi). 

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha ritenuto che il Comune di Tires – diffondendo i dati e le informazioni personali prima descritti – ha assunto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto ente le presunte violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Tires, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda come, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «In materia di pubblicazioni on-line, agli enti locali della Regione Trentino-Alto Adige - Südtirol si applica la legge regionale n° 10 del 29 ottobre 2014 […]. Nella Regione Trentino-Alto Adige – Südtirol trova altresì applicazione, in luogo del dec. legisl. 267/2000, la legge regionale 3 maggio 2018, n. 2 (Codice degli enti locali della Regione autonoma Trentino-Alto Adige)»;

- «Le suddette normative locali, che nella gerarchia delle fonti hanno valore di legge ordinaria dello Stato, hanno modificato il dec. legisl. 33/2013 (cd. “decreto trasparenza”) introducendo novità di sostanza. L’art. 1, comma primo, lettera g) della succitata LR TAA 10/2014 stabilisce che: “l’articolo 23 del decreto (dec. legisl. 33/2013 ndr) si applica limitatamente al comma 1 e con esclusione della lettera b). In luogo degli elenchi dei provvedimenti possono essere comunque pubblicati i provvedimenti adottati dagli organi di indirizzo politico e dai dirigenti. Oltre a tali provvedimenti possono essere pubblicati tutti gli altri provvedimenti adottati dagli organi di indirizzo politico e dai dirigenti, fermo restando quanto disposto dal comma 3 del presente articolo; a decorrere dal XX, gli enti locali sono comunque tenuti, decorsi i dieci giorni di pubblicazione previsti dall'articolo 183 della legge regionale 3 maggio 2018, n. 2 (Codice degli enti locali della Regione autonoma Trentino-Alto Adige), e successive modificazioni alla ripubblicazione di tutti i provvedimenti adottati dagli organi di indirizzo politico nel rispetto di quanto previsto dall'articolo 8, comma 3, del decreto e dal comma 3 del presente articolo”. La LR TAA 10/2014 impone quindi agli enti locali ad ordinamento regionale una “ripubblicazione” di tutti i provvedimenti adottati dagli organi di indirizzo politico, nella specie le delibere del Consiglio comunale e della Giunta comunale»;

- «Sulla contestata violazione del principio di “minimizzazione”[, il] Comune non ritiene di aver violato le norme in materia di protezione dei dati personali. In via preliminare è opportuno ricordare che le pubblicazioni contestate (delibere del Consiglio e della Giunta comunale sopra evidenziate) si sono rese necessarie a seguito di opposizioni fatte dallo stesso interessato reclamante avverso delibere del Comune»;

- «Il regolamento comunale concernente l’opposizione a deliberazioni prescrive, infatti, che venga assunta una decisione in merito all’opposizione con una deliberazione formale della Giunta comunale e se l’opposizione riguarda una delibera del Consiglio Comunale anche una delibera del Consiglio comunale, dopo aver accertato l’ammissibilità dell’opposizione stessa. Questo Comune, quindi ha dovuto rispondere con atti formali (delibere di Consiglio e Giunta comunale) all’impugnazione proposta dallo stesso interessato»;

- «Nelle delibere in questione, questo Comune ha selezionato i dati personali da pubblicare ed ha scelto di diffondere unicamente nome e cognome dell’interessato senza indicarne il titolo di studio […], il luogo e la data di nascita, il luogo di residenza ed il codice fiscale. Il Comune ha cioè provveduto a minimizzare il trattamento, limitandolo al nome e cognome. La scelta di indicare nome e cognome è stata fatta in ragione del rilevante interesse pubblico dell’impugnazione (contestazione delle variazioni di bilancio), nell’ottica della massima trasparenza e della promozione del dibattito pubblico, così come indicato più volte dall’ANAC»;

- «Le delibere di approvazione dei bilanci e loro eventuali variazioni sono da considerarsi come provvedimenti di massimo interesse per la cittadinanza e devono sottostare al principio di massima trasparenza. Lo stesso corso devono, pertanto, seguire anche eventuali impugnazioni»;

- «Questo Comune ha ritenuto, in assoluta buona fede ed in ossequio al principio di massima trasparenza, la necessità di indicare almeno nome e cognome dell’interessato, il quale, si ribadisce, ha dato esso stesso impulso alle pubblicazioni»;

- «Sul lamentato mancato riscontro alla richiesta di cancellazione il reclamante sostiene che questo Comune non abbia dato riscontro alla sua richiesta di cancellazione dei dati personali che lo riguardano. La circostanza è smentita, per tabulas, dalle stesse produzioni dell’interessato. [Il reclamante] ha infatti allegato al ricorso la PEC del Responsabile della protezione dei dati personali del Comune in riscontro alla sua richiesta. In tale PEC (di data XX a distanza di sole 8 ore dalla richiesta) il RPD del Comune ha comunicato all’interessato che, ad avviso del Comune, non vi era stata violazione dei suoi dati personali»;

- «non si ritiene vi siano stati dolo o colpa, semmai una mera interpretazione estensiva del principio di minimizzazione»;

- «[il] Comune ha, comunque, provveduto a cancellare tutte le delibere contenenti nome e cognome dell’interessato dandone immediata notizia all’Autorità tramite il proprio RPD, mostrando la massima collaborazione ed un comportamento fattivo».

5. Esito dell’istruttoria relativa al reclamo presentato 

La questione sottoposta all’attenzione del Garante riguarda la condotta posta in essere dal Comune di Tires, il quale ha diffuso i dati personali del reclamante riportati in deliberazioni del consiglio comunale pubblicate online sul sito web istituzionale.

Nelle memorie difensive il Comune ha confermato l’avvenuta diffusione dei dati personali online, giustificando tale condotta alla luce delle disposizioni speciali contenute nelle leggi regionali nn. 10/2014 e 2/2018 nonché nel regolamento comunale concernente l’opposizione a deliberazioni (approvato con deliberazione consiliare n. XX del XX), alla luce dei quali sono state pubblicate online le delibere contenenti i dati personali del reclamante oggetto di contestazione.

Questa Autorità fin dal 2014 ha, tuttavia, evidenziato come la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali. Anche in caso di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel sito web istituzionale è infatti «necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni» (parte seconda, parr. 1 e 3.2, delle Linee guida del Garante in materia di trasparenza contenute nel provv. n. 243/2014, cit.). 

In tale contesto, occorre quindi verificare se – con specifico riferimento al caso in esame – il Comune ha applicato correttamente il principio di minimizzazione di cui all’art. 5, par. 1, lett. c), del RGPD con riferimento ai dati personali del reclamante contenuti nelle deliberazioni pubblicate online.

Al riguardo, il Comune, nelle proprie memorie difensive, ha rappresentato di avere effettuato la predetta valutazione, provvedendo a minimizzare il trattamento, limitando la pubblicazione al solo nome e cognome del reclamante che ha fatto opposizione alle delibere, senza indicare altre informazioni (es. titolo di studio, luogo e la data di nascita, residenza o codice fiscale). Ciò anche alla luce del regolamento comunale concernente l’opposizione a deliberazioni, in base al quale, secondo quanto sostenuto, è necessario «che venga assunta una decisione in merito all’opposizione con una deliberazione formale della Giunta comunale e se l’opposizione riguarda una delibera del Consiglio Comunale anche una delibera del Consiglio comunale, dopo aver accertato l’ammissibilità dell’opposizione stessa».

Ciononostante, si rileva che il predetto regolamento comunale disciplina il procedimento per presentare opposizioni, prevedendo, fra l’altro, che gli «interessati possono proporre opposizione alla giunta comunale avverso tutte le deliberazioni del consiglio comunale e della giunta comunale» e che si esprimano in merito, a seconda dei casi, la giunta e il consiglio comunale (artt. 3 e 5, commi 1 e 4). Il citato regolamento non richiede, invece, alcuna pubblicità del nominativo del soggetto che ha presentato opposizione, sancendo peraltro che debba essere il Sindaco a informarlo in ordine alle decisioni assunte al riguardo (art. 6, ivi).

In tale contesto, nella fattispecie sottoposta all’attenzione di questa Autorità – fermo restando l’obbligo previsto dalla disciplina speciale di settore di pubblicare la deliberazione comunale sul sito web istituzionale – dagli atti non emergono elementi sufficienti per poter ritenere che anche la diffusione online del nominativo del reclamante, in qualità di cittadino che ha presentato motivi di opposizione a una decisione comunale, sia un’operazione di trattamento necessaria e proporzionata, secondo l’art. 5, par. 1, lett. c), del d. lgs. n. 33/2013, rispetto alla finalità del trattamento e di trasparenza dell’attività amministrativa. 

Alla luce delle osservazioni presentate dal Comune nelle proprie memorie difensive, infatti, se la finalità della pubblicazione è quella di rendere trasparente le delibere comunali che decidono sull’opposizione presentata da un cittadino anche al fine della promozione del dibattito pubblico, la stessa risulta raggiunta con la relativa pubblicazione sul sito web istituzionale unitamente alle ragioni dell’opposizione stessa. L’ulteriore generale conoscenza del nominativo del soggetto che ha presentato opposizione alle delibere comunali, invece, non aggiunge in realtà alcun contenuto informativo rispetto all’esistenza dell’opposizione e alle relative ragioni, esponendo inutilmente l’autore della contestazione a forme di curiosità o a eventuali critiche da parte di terzi. Tali elementi potrebbero anche condizionare le iniziative partecipative dei cittadini e sortire l’effetto contrario di scoraggiare la collaborazione con le istituzioni e innescare un possibile effetto dissuasivo. 

Pertanto la necessità di rendere pubblico anche il nominativo del reclamante per il solo fatto che – come dichiarato dal Comune – lo stesso ha presentato motivi di opposizione a delibere comunali contenenti variazioni di bilancio a cui deve essere assicurata la massima trasparenza, risulta svincolata da obiettive ragioni giuridiche e contraria al principio di minimizzazione di cui all’art. 5, par. 1, lett. c), del RGPD in base la quale in base i dati personali devono essere «limitati a quanto necessario rispetto alle finalità per le quali sono trattati». Ciò tenendo conto che il Comune, titolare del trattamento, poteva raggiungere la medesima finalità di trasparenza mediante la pubblicazione del testo integrarle delle delibere online, previo oscuramento del nominativo del soggetto reclamante che aveva presentato opposizione.

In ogni caso, il Comune ha dichiarato di avere «provveduto a cancellare tutte le delibere contenenti nome e cognome dell’interessato» e, in relazione al lamentato mancato riscontro alla richiesta di cancellazione del reclamante, ha rappresentato che la «circostanza è smentita, per tabulas, dalle stesse produzioni dell’interessato [che ha] allegato al ricorso la PEC del Responsabile della protezione dei dati personali del Comune in riscontro alla sua richiesta [con la quale] il RPD del Comune ha comunicato all’interessato che, ad avviso del Comune, non vi era stata violazione dei suoi dati personali». 

Alla luce di tutto quanto sopra descritto, si ritiene che la ricostruzione offerta dal Comune, titolare del trattamento, chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non risulta sufficiente a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva che la condotta tenuta dal Comune di Tires non è stata conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione online del nominativo del reclamante contenuto nei verbali delle deliberazioni del Consiglio e della Giunta comunale sopra identificati al par. 1, pubblicati sul sito web istituzionale, è avvenuta in violazione del principio di «minimizzazione» dei dati previsto dall’art. 5, par. 1, lett. c), del RGPD. 

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso in esame, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che:

- il Comune di Tires è un ente di piccole dimensioni con poco più di 1000 abitanti;

- la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, deriva – secondo quanto dichiarato dal Comune – da una interpretazione estensiva del principio di minimizzazione, risultando quindi essere di natura colposa;

- la diffusione illecita riguarda dati personali (non appartenenti a categorie particolari né a condanne penali o reati di cui agli artt. 9 e 10 del RGPD) riferiti unicamente al soggetto interessato di cui è stato pubblicato il solo nome e cognome senza ulteriori dati, riportato in deliberazioni per le quali è previsto uno specifico regime di trasparenza;

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

Le circostanze del caso concreto inducono pertanto a qualificare la presente fattispecie come «violazione minore», ai sensi del cons. 148, dell’art. 83, par. 2, del RGPD e delle «Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679», adottate dal Gruppo di Lavoro Art. 29 il 3/10/2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25/5/2018. 

Alla luce di tutto quanto sopra rappresentato e dei termini complessivi della vicenda in esame, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche cons. 148 del RGPD). 

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità della condotta tenuta dal Comune di Tires, in persona del legale rappresentante pro-tempore, con sede legale in Via San Giorgio 79 - 39050 Tires/Tiers (BZ) – C.F. 00186560215– nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD

AMMONISCE

il Comune di Tires per aver violato l’art. 5, par. 1, lett. c), del RGPD

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori