Provvedimento del 17 aprile 2026 [10251130]
Provvedimento del 17 aprile 2026 [10251130]
Condividi[doc. web n. 10251130]
Provvedimento del 17 aprile 2026
Registro dei provvedimenti
n. 295 del 17 aprile 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTE le Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, pubblicate in G.U. il 4 gennaio 2019, n. 3, doc. web n. 9067692 (di seguito “Regole deontologiche”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
Con il reclamo presentato ai sensi dell’art. 77 del Regolamento il 28 dicembre 2023 ed integrato in data 3 aprile 2024, il signor XX - rappresentato e difeso dagli avvocati XX, XX e XX - ha lamentato la diffusione in rete di articoli relativi a vicende giudiziarie connesse allo scandalo dei rifiuti della Regione Sicilia rispetto alle quali il medesimo è risultato estraneo. In particolare, le condotte illecite narrate negli articoli lamentati fanno riferimento ad una società – la XX, già XX – nella quale il reclamante ha rivestito il ruolo di consigliere e presidente del consiglio di amministrazione “solamente nel marzo 2020 […]”, quindi successivamente ai “fatti […] oggetto di contestazione da parte dell’Autorità Giudiziaria” perpetrati sino al 2019. Il reclamante ha, altresì, sottolineato che dal 19 agosto 2020 non riveste più “alcun ruolo sociale che potrebbe potenzialmente giustificare un’ingerenza del pubblico interesse ad avere accesso alle informazioni a lui riferibili”.
Pertanto, nella prospettazione dei fatti fornita dall’interessato, i contenuti editoriali lamentati, nel riportare notizie “inattuali, inadeguate e non più pertinenti”, sono idonei ad ingenerare nei lettori una percezione distorta circa un suo coinvolgimento nelle vicende narrate, con conseguente “grave nocumento” arrecato alla sua persona dalla diffusione in rete dei richiamati articoli. Inoltre, secondo il reclamante, il “lasso di tempo intercorso tra la data di avvenimento dei fatti e il periodo di pubblicazione dei contenuti oggetto [di] contestazione”, fa ritenere insussistente l’interesse pubblico alla relativa notizia.
Con l’atto di reclamo l’interessato ha indicato l’URL rinviante all’articolo pubblicato il 5 giugno 2020 sul sito di informazione “Sicilia 5 Stelle” (http://www.sicilia5stelle.it/) riconducibile all’omonima Associazione (di seguito “Associazione” o “titolare”) chiedendone la deindicizzazione nonché la cancellazione dei suoi dati personali ivi riportati (http://...). Lo stesso ha, altresì, lamentato di non aver potuto esercitare il citato diritto di cancellazione in quanto l’indirizzo e-mail rinvenuto sul sito internet in parola e utilizzato per l’invio della relativa richiesta (XX) è risultato non funzionante, né è stato possibile per l’interessato individuare ulteriori recapiti. Pertanto, la richiesta di cancellazione avanzata in sede di interpello preventivo in data 17 aprile 2023 non è risultata essere stata recapitata al destinatario, rendendo vano il tentativo di preliminare interlocuzione con il titolare. Per l’effetto, l’interessato ha proposto reclamo all’Autorità.
La descritta circostanza ha reso necessario il coinvolgimento del Nucleo speciale privacy della Guardia di Finanza al fine di individuare ulteriori dati di contatto utili all’avvio dell’istruttoria preliminare da parte dell’Autorità.
Utilizzando i recapiti rinvenuti ad esito delle verifiche svolte dal citato organo accertatore, è stata formulata, in data 11 dicembre 2024, una richiesta di informazioni, ai sensi dell’art. 157 del Codice (rif. prot. n. XX), all’indirizzo e-mail del soggetto individuato quale gestore del sito internet “Sicilia 5 Stelle” (nello specifico, il signor XX: XX). Con la nota in parola è stato chiesto di fornire osservazioni riguardo a quanto rappresentato nel reclamo e “di offrire un riscontro anche in relazione alla segnalata circostanza che i dati di contatto presenti nel sito risulterebbero inesatti e non aggiornati e non consentirebbero l’esercizio dei diritti […] da parte degli interessati”.
Con il riscontro pervenuto in data 24 gennaio 2025, a seguito di un sollecito telefonico intercorso in pari data al recapito reperito nell’ambito della descritta operazione di verifica, sono state fornite le informazioni in merito alla gestione del sito internet in argomento; è stata, altresì, comunicata l’avvenuta rimozione dell’articolo lamentato nel reclamo, sebbene non si ravvisasse l’illiceità della relativa pubblicazione. Infine, in ordine all’eccezione sollevata nel reclamo circa l’inesattezza dei recapiti presenti nel sito internet in questione, è stato rappresentato che nello stesso sono presenti “diversi form di contatto, nonché un’apposita sezione dedicata ai contatti [disponibile] al link https://www.sicilia5stelle.it/contatti/”.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
In data 17 marzo 2025 è stato adottato l’atto di avvio del procedimento (rif. prot. n. XX) con il quale sono state contestate all’Associazione Movimento Cinque Stelle Sicilia, in qualità di titolare del sito internet www.sicilia5stelle.it, le seguenti presunte violazioni del Regolamento:
- artt. 12, parr. 1 e 2, e 13 del Regolamento per l’assenza di una “privacy policy” nel sito internet lamentato, nonché di idonei canali comunicativi dedicati alle istanze degli interessati, atti ad agevolare l’esercizio dei diritti in materia di protezione dei dati personali;
- artt. 5, par. 2 e 24 del Regolamento per non aver adottato misure tecniche e organizzative adeguate a garantire e a comprovare che il trattamento sia effettuato conformemente alla normativa in materia di protezione dei dati personali.
3. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DI ORDINE GIURIDICO DELL’AUTORITÀ
Con comunicazione del 15 aprile 2025 il titolare ha presentato le proprie memorie difensivedichiarando che il contestato mancato riscontro alla richiamata istanza del reclamante “si inquadra in un contesto di inefficienza organizzativa determinata da un concorso di fattori tecnici che esclude qualsivoglia intenzionalità lesiva dei diritti dell'interessato”. Nello specifico, il titolare ha rappresento che l’indirizzo e-mail utilizzato dal reclamante è risultato non funzionante a causa di un malfunzionamento di cui l’Associazione non era consapevole, impedendo la corretta ricezione della richiesta dell’interessato. Al riguardo, a suo discarico, ha precisato che, pur in presenza del citato malfunzionamento, il sito internet dell’Associazione risultava provvisto comunque di un form di contatto funzionante che avrebbe potuto essere utilizzato per richiedere la rimozione del contenuto.
Ad ogni modo, il titolare ha fatto presente che la notifica del procedimento dinanzi all’Autorità ha rappresentato per l’Associazione un’opportunità significativa di riesame critico delle proprie prassi organizzative in materia di protezione dei dati personali. In particolare, prendendo atto delle criticità evidenziate dall’Autorità, l’Associazione ha realizzato con tempestività molteplici interventi, tra i quali si annoverano, in via principale ma non esaustiva, le seguenti misure correttive:
- l’immediata rimozione del contenuto oggetto di contestazione;
- una verifica approfondita dell’operatività del canale di comunicazione “Contatti”, che risulta attivo e funzionante;
- l’elaborazione di un’informativa sul trattamento dei dati personali svolto dall’Associazione (comprensiva di dati di contatto del titolare), rinvenibile al link indicato nel footer della home page del relativo sito internet, rendendo così immediatamente fruibili agli interessati le informazioni essenziali per l’esercizio dei propri diritti.
Alla luce di quanto testé rappresentato, in base alle dichiarazioni rese ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.
Nel prendere atto dell’avvenuta rimozione dell’articolo lamentato – benché tale misura abbia ampiamente superato le richieste del reclamante di deindicizzazione e di cancellazione dei dati personali - si osserva che, da una verifica del sito internet dell’Associazione, la lacuna informativa emersa durante l’istruttoria è risultata essere stata sanata; infatti, a conferma di quanto dichiarato dal titolare nelle proprie memorie difensive, è possibile visualizzare il testo dell’informativa privacy mediante apposita sezione in calce alla home page.
Tuttavia, pur esprimendo un apprezzamento circa le misure correttive adottate a seguito della citata comunicazione di avvio del procedimento, non può escludersi una responsabilità in capo al titolare per aver precluso agli interessati di avere informazioni in merito al trattamento dei propri dati personali per un periodo di tempo potenzialmente più ampio di quello attenzionato dall’Autorità, confermando con ciò la violazione dell’art. 13 del Regolamento.
A ciò si aggiunge l’inidoneità dei canali comunicativi resi disponibili dal titolare per le istanze degli interessati nell’ambito del trattamento dei propri dati personali. L’art. 12, par. 2, del Regolamento richiede al titolare di agevolare l’esercizio dei diritti e, in base al successivo par. 3, di dare riscontro all’interessato entro un termine ragionevole e, al più tardi, entro trenta giorni dalla ricezione della relativa istanza. Tale riscontro, come sopra rappresentato, non è stato reso all’interessato neppure dopo la richiesta di informazioni dell’Autorità; né sono stati forniti chiarimenti in merito ai recapiti “inesatti” indicati nel relativo sito internet e che avrebbero impedito all’interessato di esercitare i suoi diritti. Pertanto, si ritiene integrata la violazione dell’art. 12, parr. 1 e 2, del Regolamento.
Dalla condotta sopra rappresentata discende una valutazione di complessiva negligenza da parte del titolare, tale da poter ritenere di confermare anche la violazione degli artt. 5, par. 2 e 24 del Regolamento, che inquadrano le competenze del titolare in un’ottica di necessaria valorizzazione del principio di responsabilizzazione (“accountability”) finalizzata a dimostrare gli adempimenti effettuati in materia di protezione dei dati personali, anche tenuto conto del principio di privacy by design (art. 25 del Regolamento).
4. CONCLUSIONI
Per quanto sopra esposto, si ritiene accertata la responsabilità del titolare in ordine alle seguenti violazioni:
- art. 5, par. 2, del Regolamento;
- art. 12, parr. 1 e 2, del Regolamento;
- art. 13 del Regolamento;
- art. 24 del Regolamento;
- art. 25 del Regolamento.
Accertata l’illiceità delle sopra descritte condotte del titolare:
a) si prende atto dell’avvenuta rimozione dell’articolo lamentato – benché tale misura abbia ampiamente superato le richieste del reclamante di deindicizzazione e di cancellazione dei dati personali - non sussistendo, pertanto, gli estremi per l’adozione di ulteriori interventi da parte dell’Autorità;
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, si rende necessario ingiungere di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze (artt. 15 e 17 del Regolamento); ciò anche attraverso il corretto presidio dei canali di comunicazione con gli interessati;
c) con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
In base a quanto sopra rappresentato, ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.
Quali circostanze da prendere in considerazione, nel caso di specie, devono essere valutati, sotto il profilo delle aggravanti:
- la gravità delle violazioni rilevate con particolare riferimento all’assenza, per un lungo periodo di tempo, di un’informativa sul trattamento dei dati personali e di canali di comunicazione dedicati alla gestione delle istanze di esercizio dei diritti degli interessati; tali inadempimenti hanno fatto emergere “condotte di sistema” interrotte soltanto a seguito dell’intervento dell’Autorità (art. 83, par. 2, lett. a, del Regolamento);
- il carattere negligente della condotta, tenuto conto che il titolare ha agito con noncuranza rispetto agli obblighi derivanti dalla normativa in materia di protezione dei dati personali, con particolare riferimento ai doveri di trasparenza e all’evasione delle istanze di esercizio dei diritti degli interessati (art. 83, par. 2, lett. b, del Regolamento).
Quali elementi attenuanti, si ritiene di dover tener conto:
- della natura isolata della condotta dal momento che il procedimento in parola è scaturito da un solo reclamo (art. 83, par. 2, lett. a, del Regolamento);
- delle finalità perseguite dal titolare, riconducibili all’esercizio del diritto di cronaca e alla libertà di informazione, secondo quanto stabilito dal Regolamento (art. 85) e dal Codice (artt. 136 e ss.) (art. 83, par. 2, lett. a, del Regolamento);
- dell’avvenuta rimozione dell’articolo lamentato – benché tale misura abbia ampiamente superato le richieste del reclamante di deindicizzazione e di cancellazione dei dati personali – oltreché dell’adozione di misure correttive avviate in sede istruttoria e dopo l’atto di contestazione (art. 83, par. 2, lett. c, del Regolamento);
- dell’assenza di precedenti procedimenti avviati a carico del titolare (art. 83, par. 2, lett. e del Regolamento).
In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività, di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, si ritiene debba applicarsi all’Associazione Movimento Cinque Stelle Sicilia, con sede in Corso Butera 169 90011 Bagheria (PA), C.F. 92062890857, la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila/00), pari a circa lo 0,025% della sanzione edittale massima di 20 milioni di euro.
Nel caso in argomento, si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito internet del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in ragione della gravità e del particolare disvalore della condotta oggetto di censura, con specifico riferimento agli obblighi di trasparenza e di evasione delle istanze di esercizio dei diritti degli interessati avendovi il titolare provveduto soltanto dopo l’intervento dell’Autorità.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dall’ dall’Associazione Movimento Cinque Stelle Sicilia, di conseguenza:
a) prende atto dell’avvenuta rimozione dell’articolo lamentato – benché tale misura abbia ampiamente superato le richieste del reclamante di deindicizzazione e di cancellazione dei dati personali - non sussistendo, pertanto, gli estremi per l’adozione di ulteriori interventi da parte dell’Autorità;
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze (artt. 15 e 17 del Regolamento); ciò anche attraverso il corretto presidio dei canali di comunicazione con gli interessati;
c) ai sensi dell’art. 157 del Codice, ingiunge al citato titolare di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;
ORDINA
all’Associazione Movimento Cinque Stelle Sicilia, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
a) ai sensi degli artt. 154-bis del Codice e 37 del regolamento n. 1/2019, la pubblicazione del presente provvedimento nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;
b) ai sensi dell’art. 17 del regolamento n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 17 aprile 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
