[doc. web n. 10242571]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 201 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato in data XX, la XX, in servizio presso il Comune di XX in qualità di segretario generale, nel lamentare presunte violazioni della normativa in materia di protezione dei dati personali, ha rappresentato che, con nota del XX, prot. n. XX, recante in oggetto “richiesta sostituzione Segretario generale”, il predetto Comune avrebbe trasmesso copia integrale del suo certificato telematico di malattia relativo al periodo compreso tra il XX e l’XX, a tal fine estratto dalla banca dati di INPS, alla Prefettura di XX e al segretario generale del Comune di XX, quali destinatari che, secondo la reclamante, non avrebbero avuto titolo per accedervi. Con il medesimo reclamo è stato, altresì, lamentato che la citata nota del XX e l’allegato certificato di malattia della reclamante sarebbero stati acceduti da personale asseritamente non autorizzato e, in particolare, da un dipendente addetto al protocollo e dall’Ufficio di Segreteria del Comune.

2. L’attività istruttoria.

In merito ai fatti lamentati, nell’ambito dell’istruttoria, il predetto Comune, con nota del XX, ha dichiarato, in particolare, che:

con la citata nota del XX veniva richiesta “l’autorizzazione alla sostituzione del Segretario comunale titolare […], a causa dell’assenza per malattia”; nel caso di specie è stata “seguit[…a] la consueta procedura di richiesta di assegnazione di Segretari a scavalco” ed è stato “verificato, da un controllo effettuato su pregresse richieste simili, che non risultano essere mai state allegate in passato attestazioni telematiche di malattia”;

inoltre, è stato “commesso un errore nell’allegare il certificato, dovuto al fatto [… che il dipendente che ha effettuato la comunicazione era] assegnato ad altro ufficio [… ed è] intervenuto in sostituzione di personale assente in quel momento e per fare fronte a richiesta urgente da parte dell’amministrazione”;

“per quanto attiene al trattamento interno dei dati e alle modalità di protocollazione della predetta nota essa è stata protocollata […] dal dipendente […] addetto all’Ufficio personale e come tale abilitato al trattamento dei dati personali del Segretario comunale”; “la nota […] è stata assegnata solo all’Ufficio Segreteria, abilitato al trattamento dei dati del segretario”;

“per quanto attiene ai soggetti esterni all’ente la nota, con allegato il certificato, è stata inviata alla Prefettura di XX, deputata alla gestione dell’Albo dei Segretari comunali e in quanto tale competente alla gestione del rapporto di lavoro e alla tenuta dei relativi fascicoli del personale, e, pertanto, pienamente autorizzata al trattamento dei dati personali del Segretario comunale, mentre è stata inoltrata non all’indirizzo pec generale del Comune di XX, ma solo alla pec del segretario sostituto”;

“il certificato che è stato allegato, per sua stessa conformazione […] non contiene informazioni sulla sua salute, ma solo l’attestazione generica dell’assenza, senza alcun riferimento alla diagnosi”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune di XX, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che il trattamento dei dati della reclamante nel caso di specie fosse stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati” e in assenza di un idoneo presupposto normativo in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, il Comune, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

l’allegazione del certificato medico della reclamante alla comunicazione trasmessa alla Prefettura di XX e al segretario generale del Comune di XX, che è avvenuta “per mero errore materiale”, “non costituiva atto necessario né richiesto dalla procedura amministrativa; è avvenuta in un contesto di urgenza organizzativa; è stata effettuata da personale temporaneamente assegnato ad altro ufficio in sostituzione di personale assente”;

“l’evento costituisce episodio del tutto isolato, mai verificatosi in precedenza”;

“al fine di evitare il ripetersi di simili episodi, il Comune ha già adottato le seguenti misure: limitazione della consultazione del protocollo informatico ai soli soggetti autorizzati; nominato nuovo DPO e coinvolto immediatamente in qualità Responsabile della Protezione dei Dati; programmazione di specifiche attività formative in materia di privacy; revisione delle istruzioni operative interne. Tali interventi dimostrano la reale volontà dell’Ente di rafforzare la compliance e prevenire ogni futura criticità”.

3. Esito dell’attività istruttoria.

All’esito dell’attività istruttoria, è emerso in particolare che, nel richiedere l’autorizzazione della sostituzione della reclamante, quale segretario comunale titolare, a causa della sua assenza dal servizio per malattia (v., in particolare, artt. 97 e ss. del d. lgs. 18 agosto 2000, n. 267, recante “Testo unico delle leggi sull'ordinamento degli enti locali” – TUEL; d.P.R. 4 dicembre 1997, n. 465), il Comune, con nota del XX, ha trasmesso copia integrale del certificato telematico di malattia della reclamante relativo al periodo compreso tra il XX e l’XX, alla Prefettura di XX, quale autorità competente ad autorizzare la sostituzione, e al segretario generale del Comune di XX, ossia al soggetto che avrebbe rivestito la posizione di sostituto.

Al riguardo, deve ricordarsi in via preliminare che, nella cornice normativa del Regolamento e del Codice e secondo il costante orientamento del Garante, nella nozione di dato personale relativo alla salute “può rientrare anche una informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi” (v. provv.ti. 9 maggio 2024, n. 270, doc. web n. 10025870; 23 marzo 2023, n. 84, doc. web n. 9888113; 15 dicembre 2022, n. 420, doc. web n. 9853429; 25 febbraio 2021, n. 68, doc. web n. 9567429; 7 maggio 2015, n. 269, doc. web n.4167648;10 ottobre 2013, doc. web n.2753605; 7 luglio 2004, doc. web n. 1068839 e 1068917; v. anche par. 8 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, adottate in vigenza del precedente quadro normativo in materia di protezione dei dati con provv. 14 giugno 2007, n. 23, doc. web n. 1417809).

Ciò in conformità al consolidato orientamento della Corte di Giustizia dell’Unione europea, secondo il quale “occorre dare all'espressione «dati relativi alla salute» […] un'interpretazione ampia tale da comprendere informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona” (sent. C-101/01, Lindqvist, 6 novembre 2003, parr. 13 e 50). Un’interpretazione ampia delle nozioni di “categorie particolari di dati personali” e di “dati sensibili” è, infatti, “suffragata dall’obiettivo della direttiva 95/46 e del [Regolamento] […], consistente nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali che li riguardano” (sent. C-184/20, Vyriausioji tarnybinės etikos komisija, del 1° agosto 2022, par. 125), considerato che i trattamenti di tali particolari categorie di dati “possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali” (sent. C-667/21, Krankenversicherung Nordrhein, del 21 dicembre 2023, par. 41; cfr. cons. 51 del Regolamento, ai sensi del quale “meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”).

Anche nell’ordinamento nazionale, la giurisprudenza di legittimità ha affermato che “non può essere messo in dubbio che un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce” (Cass. civ., sez. I, 8 agosto 2013, n. 18980; v. anche Cass. civ., sez. I, ord. 11 ottobre 2023, n. 28417, ove si afferma che “il semplice riferimento ad un'assenza dal lavoro “per malattia” costituisc[e] un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce”).

In tale quadro, come affermato in molte occasioni dal Garante, la messa a disposizione dei dati a soggetti che non abbiano necessità di trattarli in base alla normativa applicabile o che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione e delle specifiche scelte organizzative del titolare, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, del Codice nonché, nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari, art. 9, par. 2, lett. b), del Regolamento).

Inoltre, in special modo nei casi in cui il datore di lavoro è chiamato a trattare, per finalità di gestione del rapporto di lavoro, informazioni relative alla salute dei lavoratori, al datore di lavoro è richiesto di osservare “cautele particolari”, avendo cura, tra l’altro, di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati (cfr. par. 8 delle Linee Guida citate).

Diversamente, nessuna violazione della disciplina di protezione dei dati personali può essere riscontrata nelle ipotesi in cui i soggetti, cui fanno capo specifiche mansioni o responsabilità, come nel caso dei dipendenti addetti al protocollo, vengano a conoscenza di dati personali degli interessati, quando, in base alle scelte organizzative e tecniche del titolare del trattamento, ciò risulti in concreto necessario per lo svolgimento delle funzioni loro attribuite.

Quanto al caso di specie, preso atto - anzitutto - che il dipendente addetto al protocollo e l’Ufficio di Segreteria, che hanno avuto accesso alla citata nota del XX e all’allegato certificato di malattia della reclamante, in base alle dichiarazioni rese dal Comune anche ai sensi dell’art. 168 del Codice, devono ritenersi autorizzati al trattamento dei dati ivi contenuti in ragione delle mansioni espletate e alla luce delle scelte organizzative e tecniche assunte in tale contesto dal Comune (artt. 29 del Regolamento e 2-quaterdecies del Codice), si evidenzia quanto segue.

La legittima esigenza di richiedere la sostituzione del segretario comunale titolare in presenza di suoi specifici impedimenti, anche nell’ottica di assicurare la regolare continuità dell’azione amministrativa comunale, non può giustificare la circolazione di informazioni relative alla salute degli stessi segretari interessati, come appunto le informazioni contenute nel certificato telematico attestante il periodo di assenza di malattia della reclamante, potendo la medesima finalità essere perseguita, nella prospettiva dei principi di “minimizzazione dei dati” e “protezione dei dati personali per impostazione predefinita”, facendo riferimento alla mera assenza dal servizio del segretario comunale e all’arco temporale di tale impedimento (v., ancorché con riferimento a contesti diversi e a fattispecie diversificate, provv. 9 maggio 2024, n. 270, doc. web n. 10025870, e provv.ti ivi citati).

Tale impostazione trova conferma anche nelle dichiarazioni rese dal Comune nell’ambito dell’istruttoria, per cui nel caso di specie il dipendente che ha curato la predisposizione e la trasmissione della citata nota del XX ha “commesso un errore nell’allegare il certificato” (cfr. nota del XX), posto che tale allegazione “non costituiva atto necessario né richiesto dalla procedura amministrativa” (cfr. nota del XX).

Tutto ciò premesso, risulta che il trattamento di dati personali in questione – consistente nella comunicazione alla Prefettura di XX e al segretario Generale del Comune di XX dei dati personali relativi alle assenze per motivi di salute della reclamante, pur senza indicazione della diagnosi, contenuti nel certificato telematico di malattia rilasciato dall’INPS e relativo al periodo compreso tra il XX e il XX - è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati” e in assenza di un idoneo presupposto normativo in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di XX, per aver trattato dati personali della reclamante, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la vicenda in questione ha riguardato una sola interessata e ha rappresentato, ad ogni modo, un evento a carattere isolato (art. 83, par. 2, lett. a), del Regolamento);

la violazione presenta carattere colposo, essendo la comunicazione stata trasmessa per mero errore materiale, stante l’urgenza di assicurare la continuità dell’azione amministrativa comunale, in un contesto caratterizzato da talune difficoltà sotto il profilo organizzativo (art. 83, par. 2, lett. b), del Regolamento);

le informazioni oggetto del trattamento nel caso di specie, ancorché attinenti alla salute dell’interessata (cfr. art. 9 del Regolamento), non davano evidenza della diagnosi sofferta dalla stessa (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente che il Comune è un ente di dimensioni contenute, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

il titolare ha dato atto di aver intrapreso numerose iniziative per prevenire il verificarsi di simili eventi in futuro (art. 83, par. 2, lett. c), del Regolamento);

ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare in tale specifico ambito (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che la comunicazione, effettuata in assenza di un’idonea base giuridica, ha comunque riguardato dati relativi alla salute della reclamante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di XX per violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

al Comune di XX, in persona del legale rappresentante pro-tempore, con sede legale in XX XX (XX), C.F. XX, di pagare la somma di euro 3.000,00 (tremila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000,00 (tremila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE 
Montuori