g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 14 maggio 2026 [10259523]

Provvedimento del 14 maggio 2026 [10259523]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10259523]

Provvedimento del 14 maggio 2026

Registro dei provvedimenti
n. 344 del 14 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato da XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte del Comune di Mirabella Imbaccari per aver pubblicato diversi documenti sul sito web istituzionale, diffondendo i dati personali del reclamante ivi contenuti. 

Al riguardo, dalla verifica preliminare effettata dall’Ufficio, è emerso che all’url http://... indicato nel reclamo, si apre una pagina web in cui è possibile visionare atti pubblicati nell’area denominata «Accesso agli atti» e «Amministrazione trasparente» del sito web del predetto Comune.

In particolare, è stato verificato che nella sezione «Accesso agli atti»/«Delibere», compilando l’apposita maschera di ricerca, è possibile visualizzare e scaricare all’url http://...  la Delibera di Giunta n. XX del XX, avente a oggetto «XX» con i relativi allegati.

Al predetto url erano scaricabili i file come di seguito denominati:

1. «XXm» (url: http://...) e «XX» (url: http://...);

2. «XX» (url: http://...) e «XX» (url: http://...);

3. «XX» (url: http://...) e «XX» (url: http://...);

4. «XX» (url: http://...) e «XX» (url: http://...).

Analogamente, è stato verificato che nella sezione «Accesso agli atti»/«Amministrazione trasparente»/«Provvedimenti»/«Provvedimenti organi indirizzo politico»/«Tutti i provvedimenti», era possibile visualizzare e scaricare nuovamente gli allegati alla predetta delibera n. XX (url: http://...).

Al predetto url erano scaricabili i seguenti file:

- «XX» e «XX»;

- «XX» e «XX»;

- «XX» e «XX». 

I citati documenti (Delibera di Giunta n. XX e relativi allegati) riportavano in chiaro il nominativo della reclamante (o anche solo le iniziali) nel testo e nell’oggetto, nonché l’informazione dell’esistenza di un contenzioso per abuso edilizio nei confronti dell’Ente.

Il reclamante ha, inoltre, rappresentato di avere segnalato la questione al Comune con nota del XX, ma il problema non è stato risolto.

Inoltre, da un ulteriore verifica effettuata dall’Ufficio a campione nella medesima area del sito web, è emerso che, compilando l’apposita maschera di ricerca con i dati personali del reclamante XX, era possibile visualizzare e scaricare anche una seconda delibera di Giunta n. XX del XX avente a oggetto «Conferimento incarico per la difesa e tutela dell’Ente nel ricorso proposto dalla Sig.ra XX» (url https:/…), che analogamente conteneva dati personali in chiaro del reclamante nell’oggetto e nel testo dell’atto. 

A ciò si aggiunge che nel corso dell’istruttoria è emerso che i dati del Responsabile della protezione dei dati comunicati dal Comune al Garante con nota prot. n. XX del XX – ai sensi dell’art. 37, par. 7, del RGPD – tramite l’apposita procedura online non risultavano corretti, in quanto l’XX, indicato dal Comune come proprio RPD, con e-mail del 19/7/2024 ha comunicato a questa Autorità di non ricoprire più il ruolo dal 28/5/2021 e di avere informato l’ente della necessità di comunicare al Garante la cessazione dell’incarico e la nomina del nuovo RPD.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD). 

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

La normativa statale di settore prevede che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

Tuttavia come indicato fin dal 2014 da questa Autorità – proprio in riferimento alle pubblicazioni nell’albo pretorio online ai sensi dell’art. 124 del d. lgs. n. 267/2000 – la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali (cfr. parte seconda, parr. 1 e 3.2 del provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, in corso di aggiornamento, ma ancora attuale nella parte sostanziale). Anche in caso di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel sito web istituzionale è infatti «necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni» (ivi). 

Inoltre, proprio con particolare riferimento alle delibere di giunta comunale con le quali si autorizza la costituzione in giudizio dell’Ente, questa Autorità ha più volte indicato che, ai fini della pubblicazione sul sito web istituzionale, risulta «del tutto irrilevante, e dunque sproporzionato, diffondere su Internet anche i[l] nominativ[o] dell[a] part[e] in causa […]», essendo sufficiente, nel rispetto del principio di adeguata motivazione, indicare gli elementi essenziali della vicenda o «anche solo il numero di ruolo generale della causa» (cfr. i provvedimenti n. 245 del 20/4/2025, in www.gpdp.it, doc. web n. 10145821; n. 65 del 2/3/2023, ivi, doc. web n. 9874480; n. 212 del 9/6/2022, ivi, doc. web n. 9789037; n. 213 del 9/6/2022, ivi, doc. web n. 9789488; n. 149 del 28/4/2022, ivi, doc. web n. 9777127).

Nelle citate Linee guida, peraltro, oltre a essere ribadito il rispetto dei principi di pertinenza e non eccedenza (oggi confluiti nel citato principio di minimizzazione), con particolare riferimento all’albo pretorio, è indicato che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [….] Se gli enti locali vogliono continuare a mantenere nel proprio sito web  […] è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a). 

Inoltre, in relazione agli obblighi riguardanti la designazione del Responsabile della protezione dei dati (RPD), la disciplina europea in materia di protezione dei dati prevede che il «titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo» (art. 37, par. 7, RGPD). Tale comunicazione deve essere effettuata seguendo l’apposita procedura indicata sul sito istituzionale del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/. 

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

A seguito delle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX, successivamente integrata con nota prot. n. XX del XX, e con nota prot. n. XX del XX ha accertato che il Comune di Mirabella Imbaccari – diffondendo i dati e le informazioni personali prima descritti e non comunicando la variazione dei dati del RPD al Garante – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con le medesime note sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Mirabella Imbaccari, con le note prot. n. XX del XX e n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate. 

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, l’amministrazione con nota prot. n. XX ha evidenziato, fra l’altro, che:

- «l’articolo 9 comma 2 del Regolamento Europeo alla lettera F) recita “il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”»;

- Il reclamante «ha promosso azione legale al Comune di Mirabella Imbaccari [e] l’atto giudiziario con il quale si è promosso un’azione di accertamento è di fatto completo della generalità dei dati [del ricorrente, ossia] dati anagrafici, di residenza e codice fiscale, elementi necessari per promuovere l’azione legale e volta alla identificazione [del ricorrente]»;

- «la proposta deliberativa approvata dalla Giunta Municipale e pubblicata non riporta i dati anagrafici completi»;

- l’amministrazione «ha provveduto alla rimozione e alla modifica dei dati oggetto della richiesta, oscurandoli maggiormente»;

- il Comune «è attualmente afflitto da una significativa carenza di personale qualificato per la gestione tempestiva e adeguata di tali istanze. Tale situazione ha inevitabilmente comportato ritardi nella presa in carico e nella lavorazione della suddetta istanza»;

- in relazione alla mancata designazione del RPD, a causa di problemi legati alla contabilità e all’impegno delle risorse non è stato possibile «il nuovo impegno per indicare un nuovo Responsabile della Protezione dei Dati» e solo di recente è stato possibile «avviare una nuova procedura di affidamento» per il predetto incarico.

Con successiva nota n. XX, l’amministrazione, a integrazione di quanto già dichiarato, ha aggiunto, fra l’altro, anche che: 

- «la finalità del trattamento era la pubblicità legale degli atti, ma tale finalità poteva essere raggiunta senza l’indicazione nominativa» del ricorrente;

- «A seguito della prima comunicazione dell’Autorità, il Comune ha provveduto a intervenire sui documenti segnalati, avviando le operazioni di oscuramento dei dati personali. Ulteriori modifiche interne sono state avviate per individuare altri atti analoghi presenti negli archivi online e procedere alla loro rettifica».

5. Valutazioni del Garante

5.1. Sulla diffusione di dati personali online

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti in diverse Delibere comunali pubblicate online. Il riferimento è alla Delibera di Giunta n. XX con i relativi allegati e alla delibera di Giunta n. XX, aventi a oggetto la costituzione in giudizio da parte dell’ente e la nomina del proprio difensore legale, che riportavano in chiaro dati personali del reclamante XX nell’oggetto e nel testo degli atti, nonché l’informazione dell’esistenza di un contenzioso nei confronti dell’Ente.

Il Comune ha confermato l’avvenuta diffusione dei predetti dati, richiamando – a sostegno della legittimità della propria condotta – l’art. 9, par. 2, lett. g), del RGPD. 

Si rileva, tuttavia, che il citato articolo non risulta applicabile al caso in esame in quanto non consente di diffondere online i dati del reclamante oggetto di contestazione. Ciò anche considerando che l’art. 9, oltre a riferirsi al trattamento di «categorie particolari di dati personali» estranee al caso in esame, non consente la pubblicazione dei dati del reclamante contenuti nelle delibere di giunta oggetto di contestazione, la cui diffusione non risulta peraltro affatto necessaria per «accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali».

Inoltre, come indicato fin dal 2014 da questa Autorità, in presenza di un obbligo di pubblicazione nel sito web istituzionale sarebbe stato in ogni caso «necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se [potevano] ricorr[ere] i presupposti per l’oscuramento di determinate informazioni», non essendo accoglibile alcun automatismo rispetto alla diffusione online dai dati e informazioni personali (cfr. parte prima par. 2; parte seconda, parr. 1 e 3.2). 

Peraltro, proprio con riferimento a fattispecie analoghe alla presente e, in particolare, alle delibere di giunta comunale con le quali si procede alla nomina del difensore legale e si autorizza la costituzione in giudizio dell’Ente, questa Autorità ha più volte indicato che, ai fini della pubblicazione sul sito web istituzionale, risulta «del tutto irrilevante, e dunque sproporzionato, diffondere su Internet anche i nominativi delle parti in causa […]», essendo sufficiente, nel rispetto del principio di adeguata motivazione, indicare gli elementi essenziali della vicenda o «anche solo il numero di ruolo generale della causa» (cfr. i provvedimenti n. 245 del 20/4/2025, in www.gpdp.it, doc. web n. 10145821; n. 65 del 2/3/2023, ivi, doc. web n. 9874480; n. 212 del 9/6/2022, ivi, doc. web n. 9789037; n. 213 del 9/6/2022, ivi, doc. web n. 9789488; n. 149 del 28/4/2022, ivi, doc. web n. 9777127). Nel caso in esame, peraltro, oltre il nominativo sono stati diffusi anche ulteriori dati eccedenti come l’informazione dell’esistenza di un contenzioso nei confronti dell’Ente.

5.2. Sulla mancata designazione del RPD e sull’omessa comunicazione dei dati di contatto

Quanto all’ulteriore questione, emersa nel corso dell’istruttoria, riguardante la mancata designazione di un nuovo Responsabile della protezione dei dati e della comunicazione dei dati di contatto al Garante tramite l’apposita procedura online – ai sensi dell’art. 37, parr. 1, lett, a) e 7, del RGPD – l’ente ha ammesso tale mancanza, dovuta all’impossibilità di attivare le relative procedure per la nomina a causa di motivi contingenti indicati in atti. La situazione è stata sanata provvedendo a effettuare la corretta comunicazione al Garante, che risulta acquisita al prot. n. XX dell’XX. 

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze riportate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. 

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX, successivamente integrata con nota prot. n. XX del XX, e nella nota n. XX del XX. Si rileva pertanto – conformemente ai precedenti di questa Autorità in materia (provv. n. 245/2025, cit.; 65/2023, cit., n. 212/2022, cit.; n. 213/2022, cit.; n. 149/2022, cit.) – che il trattamento di dati personali effettuato dal Comune di Mirabella Imbaccari non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto il predetto Comune:

I) ha diffuso illecitamente i dati personali del reclamante contenuti nel testo e nell’oggetto della Delibera di Giunta n. XX del XX e nei relativi allegati (XX, XX), nonché nella delibera di Giunta n. XX del XX, pubblicate online:

a. in violazione del principio di «minimizzazione» dei dati, che non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», previsto dall’art. 5, par. 1, lett. c), del RGPD, con riferimento al nominativo e alle iniziali del reclamante riportato nel testo e nell’oggetto della Delibera di Giunta n. XX del XX e nei relativi allegati (XX, XX) e della delibera di Giunta n. XX del XX;

b. in violazione dell’art. 124, comma 1, del d. lgs. n. 267/2000; dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, in quanto i dati sono stati in ogni caso mantenuti online oltre il termine di quindici giorni previsto per la pubblicazione nell’albo pretorio e, quindi, in assenza di idonei presupposti normativi;

II) non ha provveduto a nominare il nuovo Responsabile della Protezione dei Dati (RPD) e a effettuare la comunicazione obbligatoria al Garante della variazione dei relativi dati di contatto, tramite l’apposita procedura online, in violazione dell’art. 37, parr. 1, lett, a) e 7, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, il Comune di Mirabella Imbaccari ha posto in essere due condotte distinte, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

7.1 La violazione di cui al par. 5.1 del presente provvedimento

In relazione alla illecita diffusione di dati personali descritta nel par. 5.1, il Comune risulta aver violato (cfr. par. 6, n. I.a. e I.b.) gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del RGPD nonché gli artt. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 124, comma 1, del d. lgs. n. 267/2000).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del RGPD, che si applica pertanto al caso in esame. 

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, si tiene conto del fatto che la condotta contestata risulta essere di natura colposa e ha avuto a oggetto l’illecita diffusione online di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un solo soggetto interessato, mantenuti sul sito web istituzionale almeno fino alla data dell’invio delle ultime memorie difensive del Comune (gennaio 2026) e quindi per diversi anni. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, oltre a tener conto della circostanza che il Comune di Mirabella Imbaccari è un ente di piccole dimensioni con poco più di 4000 abitanti, si prendono in considerazione anche le seguenti circostanze attenuanti: 

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi; dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati personali oggetto di contestazione dal sito web istituzionale;

- l’ente, secondo quanto dichiarato dal Comune, è attualmente interessato «da una significativa carenza di personale qualificato»;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del RGPD, nella misura di euro 1.200,00 (milleduecento) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del RGPD nonché gli artt. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 124, comma 1, del d. lgs. n. 267/2000), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

7.2 La violazione di cui al par. 5.2 del presente provvedimento

In relazione alla condotta descritta nel par. 5.2 riguardante la mancata nomina di un nuovo Responsabile della Protezione dei Dati (RPD) e l’omessa comunicazione obbligatoria al Garante della variazione dei relativi dati di contatto, tramite l’apposita procedura online descritta nel par. 5.2, il Comune risulta aver violato (cfr. par. 6, n. II) l’art. 37, parr. 1, lett, a) e 7, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

In ordine alla condotta in esame, pertanto, la violazione delle disposizioni citate è soggetta alla stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) del RGPD, che si applica pertanto al caso di specie. 

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a, del RGPD), si rileva che il Comune è un ente di dimensioni ridotte (con poco più di 4000 abitanti) e ha dichiarato di non avere avuto la possibilità di avviare una nuova procedura di affidamento per l’incarico di RPD a causa di problemi legati alla contabilità e all’impegno delle risorse. In ogni caso, tale situazione è stata sanata con la nomina del RPD e la comunicazione della variazione dei dati di contatto al Garante – ai sensi dell’art. 37, par. 7, del RGPD – tramite l’apposita procedura online con nota prot. n. XX dell’XX.

In tale contesto, si ritiene che, nello specifico caso in esame, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, «Guidelines 04/2022 on the calculation of administrative fines under the GDPR» del 23/5/2023, punto 60).

Ciò premesso, ai fini della quantificazione della sanzione, devono essere prese in considerazione le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando;

- l’ente, secondo quanto dichiarato dal Comune, è attualmente interessato «da una significativa carenza di personale qualificato»;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 4, lett. a) del RGPD, nella misura di euro 600,00 (seicento) per la violazione dell’art. 37, parr. 1, lett, a) e 7, del RGPD, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

7.3. La sanzione accessoria della pubblicazione

Considerate, le specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 2-ter, commi 1 e 3, del Codice; art. 5, par.1, lett. c, del RGPD) nonché la mancata nomina del RPD con l’omessa comunicazione dei dati di contatto a questa Autorità, si ritiene che debba essere applicata anche la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Mirabella Imbaccari nei termini indicati in motivazione per violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 37, parr. 1, lett. a) e 7, del RGPD nonché gli artt. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 124, comma 1, del d. lgs. n. 267/2000), ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD 

ORDINA 

al Comune di Mirabella Imbaccari, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Vespri, 1 - 95040 Mirabella Imbaccari (CT) – C.F. 82001750874 di pagare la somma complessiva di euro di euro 1.800,00 (milleottocento) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro 1.800,00 (milleottocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10259523
Data
14/05/26

Argomenti

Internet e social media Pubblica Amministrazione Trasparenza amministrativa

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)