[doc. web n. 10262614]

Provvedimento del 28 maggio 2026

Registro dei provvedimenti
n. 384 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”); 

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato il XX ai sensi dell’art. 77 del Regolamento, la Sig.ra XX, in precedenza in servizio presso la Regione Autonoma della Sardegna, ha lamentato presunte violazioni della normativa in materia di protezione dei dati personali in ambito lavorativo.

In particolare, la reclamante ha rappresentato che la Direzione generale del personale e riforma della Regione avrebbe trasmesso la nota prot. n. XX del XX, concernente l’irrogazione di una sanzione disciplinare a suo carico, a unità organizzative interne alla Regione che, secondo la reclamante, non avrebbero dovuto accedere al contenuto di tale nota; peraltro, tale nota sarebbe stata “trasmessa da una dirigente non titolare, ratione temporis, di alcun ruolo quale componente [… dell’Ufficio Procedimenti Disciplinari] dunque anch’essa non legittimata [, secondo la reclamante,] a trattare i dati in parola”.

Dal reclamo si evince, altresì, che, in data XX, la Direzione generale del turismo, artigianato e commercio della Regione avrebbe trasmesso la nota di riscontro alla istanza di accesso agli atti presentata dalla reclamante ai sensi della l. n. 241/1990, oltre che all’interessata stessa, anche all’XX, quale Amministrazione presso cui la stessa aveva da poco preso servizio, così rendendo ad essa nota l’intera documentazione trasmessa, ossia le schede di valutazione della performance delle prestazioni svolte dalla reclamante nel XX presso l’Assessorato regionale del Turismo, artigianato e commercio.

2. L’attività istruttoria.

In merito alle vicende lamentate, la Regione, con nota del XX, ha dichiarato, in particolare, che:

- “ciascuna Direzione generale risponderà per quanto di propria competenza sui fatti oggetto del reclamo. A tal proposito si precisa che con decreto presidenziale n. XX, protocollo XX del XX […] il Presidente della regione ha delegato ai Direttori generali pro tempore le funzioni di titolare, per questa ragione, ciascuna direzione generale coinvolta risponde, come specificato, per la propria parte”;

- quanto alla trasmissione, da parte della Direzione generale del personale e riforma della Regione, in data XX, a soggetti asseritamente non legittimati della nota concernente l’irrogazione alla reclamante della sanzione disciplinare:

- “la succitata comunicazione del XX era stata inviata, per i rispettivi adempimenti di competenza, “alla Direzione generale del lavoro - in quanto direzione generale di appartenenza della dipendente al momento dell’esecuzione della sanzione a cui si riferisce l’azione disciplinare - e alla Direzione generale dei Servizi finanziari e al Servizio Personale - per il conseguente prelievo in busta paga e relativo trattamento economico – e comunicata all’interno della Direzione generale del personale al Servizio previdenza - per il versamento delle somme relative alla sanzione nel fondo FITQ, come previsto dalla L.R. n. 27/2011 art. 4, comma 1, lett. d)”;

- “dato che, però, nella nota non era specificato a quale Direzione generale appartenessero i due Servizi in indirizzo, il protocollista della Direzione Generale del Lavoro, indotto in errore dalla formulazione testuale dei destinatari, aveva assegnato la nota, in via riservata e personalmente, oltre che al Direttore Generale del Lavoro, anche al Dirigente del Servizio interno all'Assessorato del Lavoro che si occupava di personale e al funzionario competente del medesimo Servizio”;

- quanto alla trasmissione, da parte della Direzione generale del turismo, artigianato e commercio della Regione, in data XX, della nota di riscontro alla istanza di accesso agli atti presentata dalla reclamante ai sensi della l. n. 241/1990, all’indirizzo PEC dell’XX:

- la predetta nota è stata trasmessa anche all’indirizzo PEC dell’XX “al solo fine di avere certezza della ricezione della nota da parte dell’interessata”; ciò “considerato l’allora recente trasferimento della medesima all’XX”;

- il sistema di gestione documentale in uso presso l’XX “prevede l’ assegnazione ai suoi dipendenti di specifici privilegi di abilitazione che impediscono che la documentazione in ingresso sia accessibile indistintamente a tutti, e il Direttore generale dell’XX aveva, nel caso concreto, tempestivamente assegnato solo a se stessa, in modalità riservata, la nota indirizzata all’interessata, che a quel punto risultava visibile esclusivamente all’assegnatario Direttore generale”;

- inoltre, “per l’invio [alla reclamante] della scheda di valutazione, contenuta in allegato, era stato […] appo[…st]o il riservato nel documento digitale, che impediva la visione dello stesso all'interno della Direzione del turismo [che aveva curato la trasmissione della scheda in questione] ad eccezione dei soggetti autorizzati, nel caso di specie la Direttrice Generale e un’addetta alla segreteria”;

- “la scheda non era immediatamente visibile all'apertura del documento ma costituiva un allegato, come tale non visibile direttamente dal protocollista dell'XX destinataria”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che i trattamenti effettuati nel caso delle vicende oggetto di reclamo fossero avvenuti in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, la Regione, che non ha richiesto di essere audita, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- con riferimento alla sanzione disciplinare di cui alla nota prot. n. XX del XX, trasmessa anche al Servizio di Supporto alla gestione delle risorse comuni:

- la Regione ha “ritenuto imprescindibile procedere a un attento riesame delle circostanze dell’evento e del contesto organizzativo esistente alla data del XX”;

- “l’irrogazione della sanzione disciplinare deve essere comunicata alla Direzione generale di appartenenza del dipendente per i conseguenti necessari atti di competenza circa l’esecuzione del provvedimento (ivi compresa l’adozione di eventuali misure organizzative finalizzate a superare/prevenire le criticità emerse) e per i suoi riflessi sul procedimento di valutazione dei dirigenti ai sensi dell’art. 22 del “Codice di comportamento del personale del sistema Regione e delle società partecipate della Regione Autonoma della Sardegna”, adottato con la Deliberazione della Giunta regionale n. XX del XX”;

- all’epoca dei fatti in questione “vigeva il Decreto Assessoriale n. XX del XX […] che, in attuazione dell’art. 13 della Legge regionale 13 novembre 1998, n. 31, […prevedeva in capo al Servizio in questione] una funzione di supporto al Direttore generale sia con riferimento all’adozione degli atti di competenza in esecuzione del provvedimento disciplinare e in particolare delle misure organizzative necessarie od opportune in un’ottica di gestione e prevenzione delle criticità emerse a carico della dirigente, che per quanto concerne i riflessi del provvedimento stesso sulla valutazione della dirigente medesima [… configurandosi, pertanto, detto Servizio come] astrattamente legittimato ad essere assegnatario della nota prot. n. XX del XX e quindi a trattare i dati personali ivi contenuti”;

- “se è vero che, coerentemente con quanto dichiarato dall’allora Direttrice al Gruppo di intervento, il Servizio non aveva la competenza diretta sulla “gestione dei provvedimenti disciplinari”, spettante al Direttore generale, per poter adempiere alle funzioni di supporto in materia di valutazione del personale e di soluzioni organizzative individuali assegnate dai decreti assessoriali allora vigenti, doveva necessariamente acquisire conoscenza dell’esistenza dei provvedimenti disciplinari a carico del personale assegnato alla Direzione generale”;

- in particolare, “la dirigente assegnataria […], in ragione e nei limiti dell’ambito di competenza del Servizio a cui era preposta, anche tenuto conto del sistema di governance della privacy basato sulla delega di funzioni del Titolare ai dirigenti, doveva pertanto considerarsi legittimata a trattare i dati personali della reclamante asseritamente violati”; 

- “a cascata, per poter esercitare i compiti di supporto del Direttore generale, il Direttore del Servizio avrebbe dovuto avvalersi dell’apporto istruttorio dei funzionari assegnati al Servizio stesso, i quali a quel punto, una volta assegnata la pratica, per poter adempiere ai compiti assegnati e non incorrere in conseguenze negative in termini disciplinari e di produttività avrebbero dovuto necessariamente visionare i relativi dati”; le mansioni in concreto svolte del funzionario ricomprendevano, peraltro, proprio lo “svolgimento degli adempimenti amministrativi connessi all’organizzazione delle risorse umane del ruolo unico regionale in carico all’Assessorato” e il “supporto al Direttore generale, all’Ufficio del Direttore generale e agli altri Servizi della Direzione generale per la corretta gestione degli adempimenti in materia di valutazione delle risorse umane del ruolo unico regionale”; 

- con riferimento alla diversa comunicazione del XX, inviata all’XX, la stessa “riportava la dicitura “Riservato personale”; inoltre, preso atto dell’errore occorso, la Regione ha “contatta[…t]o per le vie brevi l’XX per accertarsi circa l’adozione da parte del Direttore generale dell’XX di opportune misure di contenimento dell’incidente”.
    

3. La disciplina in materia di protezione dei dati personali.

In merito ai fatti oggetto di reclamo, si osserva in via generale che, in ambito lavorativo, i dati personali non possono, di regola, essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che, di conseguenza, non siano stati espressamente “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento nonché art. 2-quaterdecies del Codice). Ciò in quanto, come affermato in molte occasioni dal Garante, la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, del Codice nonché, nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari, artt. 9 del Regolamento). 

Diversamente, come tradizionalmente affermato dal Garante, nessuna violazione della disciplina di protezione dei dati personali può essere riscontrata nelle ipotesi in cui i soggetti, cui fanno capo specifici compiti e poteri nonché prerogative o mansioni, vengano a conoscenza dei dati personali degli interessati, quando, alla luce della specifica disciplina applicabile e tenuto conto delle scelte assunte dal titolare del trattamento sul piano organizzativo e tecnico, ciò risulti in concreto necessario per lo svolgimento delle funzioni loro attribuite nonché delle eventuali responsabilità che in varia misura incombono su di essi nel quadro dell’organizzazione amministrativa.

Al datore di lavoro è, in ogni caso, richiesto di limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che effettivamente ne necessitino in ragione delle funzioni esercitate all’interno dell’organizzazione del titolare e di ciascuna singola unità o struttura organizzativa nonché di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati. 

In tal senso, per quanto in particolare rileva ai fini delle vicende oggetto di reclamo, si evidenzia che - come chiarito dal Garante all’interno delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, le quali, sebbene adottate nel contesto del previgente quadro normativo in materia di protezione dei dati personali, forniscono indicazioni e orientamenti ancora validi –  “il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attività di organizzazione e gestione del personale” (cfr. spec. punto 5.1 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161 e in www.garanteprivacy.it, doc. web n. 1417809). 

In tale quadro, le amministrazioni devono adottare le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali da parte di terzi o soggetti diversi dal destinatario, in particolare ricorrendo a “forme di comunicazione individualizzata con il lavoratore” (cfr. punto 5.3 delle predette Linee Guida).

A tali principi è stata data applicazione dal Garante con orientamento consolidato, in relazione a fattispecie diversificate, in numerosi casi concreti (cfr., tra i tanti, da ultimo, provv. 26 febbraio 2026, n. 110, doc. web n. 10232961).
    
4. L’esito dell’attività istruttoria.

Occorre evidenziare in primo luogo che gli specifici profili di non conformità alla normativa in materia di protezione dei dati personali emersi all’esito dell’attività istruttoria, ancorché posti in essere da persone fisiche operanti nell’ambito di Direzioni a cui la Regione avrebbe “delegato […] le funzioni di titolare” (cfr. decreto presidenziale n. 12, prot. n. XX del XX), risultano complessivamente e direttamente imputabili, sotto il profilo soggettivo della responsabilità amministrativa che ne deriva, alla Regione medesima, titolare del trattamento, avendo comunque agito le predette persone fisiche nell’esercizio delle funzioni che sono loro attribuite nell’ambito dell’organizzazione amministrativa regionale e nel quadro di un rapporto di immedesimazione organica rispetto ad essa (cfr. art. 4, n. 7), del Regolamento; v. anche “Linee Guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, versione 2.0, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021 - cfr. spec. parr. 88 e 89). 

Ciò restando salve le eventuali responsabilità addebitabili alle persone fisiche che materialmente pongono in essere trattamenti di dati personali nell’interesse e per conto dell’Amministrazione di appartenenza, ad esempio, sul piano civile o erariale, che possono essere fatte valere in regresso nelle sedi opportune (art. 28 Cost.), ovvero quelle eventualmente ravvisabili sul piano disciplinare (d. lgs. n. 165/2001).

Tanto premesso, con riferimento alla trasmissione della nota prot. n. XX del XX, concernente l’irrogazione di una sanzione disciplinare a carico della reclamante, le dichiarazioni da ultimo rese dalla Regione in corso d’istruttoria, con relativa assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, chiariscono che, in tal caso, i dati personali della reclamante sono stati oggetto di trattamento da parte di soggetti legittimati nel quadro della complessa organizzazione amministrativa regionale e, dunque, autorizzati ai sensi dell’art. 29 del Regolamento in ragione delle funzioni e delle mansioni concretamente espletate nonché tenuto conto della regolamentazione organizzativa vigente all’epoca dei fatti.

Si osserva, infatti, che, la Regione per il tramite della direttrice del Servizio Personale – “a cui, conformemente al quadro normativo e coerentemente all’assetto organizzativo, sono assegnate le attività di supporto amministrativo dell’UPD, il quale non dispone di una propria struttura servente e di un proprio protocollo e pertanto, [si avvale della struttura della Direzione generale del personale garantendo l’assoluta riservatezza degli atti del procedimento] come disposto dall’art. 2, ultimo capoverso, dell’allegato alla determinazione n. XX prot. n. XX del XX” - ha trasmesso la nota prot. n. XX del XX, concernente l’irrogazione di una sanzione disciplinare a carico della reclamante, alla Direzione generale del lavoro “in quanto direzione generale di appartenenza della dipendente al momento dell’esecuzione della sanzione a cui si riferisce l’azione disciplinare”, alla Direzione generale dei Servizi finanziari e al Servizio Personale “per il conseguente prelievo in busta paga e relativo trattamento economico”, al Servizio previdenza “per il versamento delle somme relative alla sanzione nel fondo FITQ, come previsto dalla L.R. n. 27/2011 art. 4, comma 1, lett. d)” nonché al dirigente e ad un funzionario del Servizio di Supporto alla gestione delle risorse comuni, investito quest’ultimo di “una funzione di supporto al Direttore generale sia con riferimento all’adozione degli atti di competenza in esecuzione del provvedimento disciplinare e in particolare delle misure organizzative necessarie od opportune in un’ottica di gestione e prevenzione delle criticità emerse a carico della dirigente, che per quanto concerne i riflessi del provvedimento stesso sulla valutazione della dirigente medesima” (cfr., in particolare, note del XX e XX).

Pertanto, come risultante dalle dichiarazioni rese ai sensi dell’art. 168 del Codice, alla luce delle scelte organizzative ed operative assunte dalla Regione, in qualità di titolare del trattamento, i destinatari della nota prot. n. XX del XX avevano titolo per conoscere le informazioni ivi contenute, tenuto conto in particolare delle specifiche mansioni, funzioni e responsabilità loro attribuite nel contesto della peculiare e strutturata realtà organizzativa dell’Amministrazione, dovendosi per l’effetto escludere la responsabilità della Regione in tal caso.

All’esito dell’attività istruttoria, è, tuttavia, emerso altresì che, facendo seguito in data XX ad un’istanza di accesso agli atti formulata dalla reclamante, la Regione ha trasmesso all’XX, presso cui l’interessata aveva da poco preso servizio, una nota di riscontro corredata della scheda di valutazione della performance individuale relativa alle prestazioni rese dalla stessa nel XX presso l’Assessorato regionale del Turismo, artigianato e commercio; ciò per “errore materiale” e, comunque, “al solo fine di avere certezza della ricezione della nota da parte dell’interessata”.

In assenza, dunque, di specifici motivi per cui la predetta nota, unitamente agli allegati, dovesse essere resa nota all’XX, si rileva che l’invio della predetta documentazione ha dato luogo ad una “comunicazione” di dati personali ad un soggetto “terzo” non autorizzato ad accedervi. 

Non risultano sufficienti ad escludere la responsabilità della Regione in tale contesto l’adozione di taluni accorgimenti a tutela della riservatezza dei dati della reclamante nell’ambito della vicenda in questione – quali, in particolare, l’apposizione della dicitura “Riservato personale” alla comunicazione pec del XX - né le successive iniziative, pur apprezzabili in un’ottica di “responsabilizzazione” (art. 5, par. 2, del Regolamento), volte a mitigare gli effetti della comunicazione occorsa – come la circostanza che, nel settembre XX, preso atto dell’errore dell’invio della scheda di valutazione della performance, la Regione abbia contattato per le vie brevi l’Amministrazione cui il documento era stato per errore trasmesso, richiedendo l’adozione di accorgimenti e misure di contenimento della circolazione dello stesso.

Né può essere invocata a tal fine neppure la separata circostanza che, in base a quanto dichiarato, nel caso della trasmissione della nota concernente la scheda di valutazione della performance all’XX, quest’ultima disponesse di un sistema di gestione documentale che, conformemente alla disciplina di protezione dei dati, impedisce “che la documentazione in ingresso sia accessibile indistintamente a tutti”.

In tale ambito, non rileva, infine, neppure l’asserita insussistenza di danni concreti subiti dall’interessata, la quale, secondo la Regione, non avrebbe subito pregiudizio per effetto del trattamento, avvenuto due anni prima della presentazione del reclamo. Il Regolamento e, più in generale, la normativa in materia di protezione dei dati personali si ispirano, infatti, ad una logica di prevenzione del rischio per i diritti e le libertà degli interessati, che prescinde dall’effettivo concretizzarsi di un danno in capo agli stessi (cfr., in tal senso, l’art. 83, par. 1, lett. a), del Regolamento, che fa riferimento al “livello del danno da essi subito” quale possibile criterio per determinare la gravità della violazione, che, pur potendo costituire un fattore attenuante o aggravante, non costituisce una condizione indispensabile ai fini dell’irrogazione di una sanzione amministrativa; v. al riguardo, da ultimo, provv. 9 ottobre 2025, n. 582, doc. web n. 10191660).

Deve, quindi, concludersi che il trattamento in questione sia stato posto in essere dalla Regione, ancorché – come dichiarato dalla stessa – per mero errore, in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, nei termini di cui sopra, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Sardegna, per aver trattato i dati personali della reclamante, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento del Regolamento, nonché 2-ter del Codice. 

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- il trattamento ha dato luogo ad una divulgazione non autorizzata, in favore dell’Amministrazione presso cui la reclamante aveva da poco preso servizio, di dati relativi al suo rendimento lavorativo presso la Regione, precedente datore di lavoro (art. 83, par. 2, lett. a), del Regolamento);

- la violazione presenta carattere colposo; la scheda di valutazione della performance della reclamante è stata, infatti, trasmessa all’indirizzo PEC dell’Amministrazione di nuova appartenenza della stessa, in data XX, a causa di un “errore umano, peraltro isolato” (cfr. nota del XX), e, comunque, in un contesto di particolare urgenza e al solo fine di assicurare la corretta ricezione della scheda stessa da parte dell’interessata; ciò benché l’interessata avesse espressamente indicato il proprio indirizzo PEC personale per la ricezione di comunicazioni individualizzate da parte della Regione in tale contesto (art. 83, par. 2, lett. b), del Regolamento);

- il trattamento, pur riguardando informazioni delicate relative al rendimento lavorativo della dipendente presso la Regione, non ha interessato dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento), 

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze: 

- nel corso dell’istruttoria, il titolare ha offerto un discreto grado di cooperazione con l’Autorità, che tuttavia ha inciso sulla durata complessiva del procedimento (art. 83, par. 2, lett. f), del Regolamento); 

- non risultano precedenti violazioni pertinenti commesse dal titolare (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00) per la violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, nel caso oggetto di reclamo, la Regione ha dato luogo alla comunicazione di dati personali relativi al rendimento lavorativo della reclamante ad un soggetto terzo non autorizzato ad accedervi, ossia l’Amministrazione presso cui l’interessata aveva da poco preso servizio. 

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal titolare per violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

alla Regione Autonoma della Sardegna, in persona del legale rappresentante pro-tempore, con sede legale in Viale Trento, 69 - 09123 Cagliari (CA), C.F. 80002870923, di pagare la somma di euro 3.000,00 (tremila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000,00 (tremila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 28 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori