g-docweb-display Portlet

Provvedimento del 18 giugno 2026 [10268606]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10268606]

Provvedimento del 18 giugno 2026

Registro dei provvedimenti
n. 459 del 18 giugno 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”); 

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi degli artt. 77 del Regolamento nei confronti della SanitaService Asl Le s.r.l. Unipersonale (di seguito, l’“Azienda”), la Sig.ra XX, lavoratrice dell’Azienda in servizio presso un Distretto Socio Sanitario della Provincia di Lecce, ha lamentato, per il tramite del proprio avvocato, una presunta violazione della normativa in materia di protezione dei dati personali.

In particolare, è stato rappresentato che in una bacheca aziendale, collocata presso la sede di lavoro, sarebbe stata affissa, in data XX, copia di un’email, datata XX, nella quale si dava conto di una sostituzione di turno a causa dell’assenza della reclamante per motivi di salute.

Sebbene l’interessata avesse già portato la questione all’attenzione del legale rappresentante e del responsabile di un ufficio dell’Azienda, opponendosi dunque all’ulteriore trattamento dei propri dati personali, tale email, quantomeno alla data del XX, risultava essere ancora affissa sulla predetta bacheca aziendale. 

La reclamante ha, inoltre, segnalato che non si sarebbe trattato di un episodio isolato, essendo annotati di prassi in detta bacheca informazioni puntuali in merito alle causali di assenza dei dipendenti da sostituire (“ferie, malattia, ecc.”).

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità, formulata ai sensi dell’art. 157 del Codice (v. XX, prot. n. XX), l’Azienda, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

- “la società svolge una serie di servizi e attività in favore dell’ASL di Lecce, quali, fra le altre, quelle di pulizia e ausiliariato. Gli operatori di pulizia, in particolare, sono assegnati a specifici reparti […]”;

- “presso ciascuna Struttura Ospedaliera e Distrettuale dell’ASL di Lecce operano anche le figure dei coordinatori […]”;

- “il sig. […] è il coordinatore del Distretto Socio Sanitario di […], struttura nei cui spogliatoi ad uso esclusivo del personale di servizio di Sanitaservice, è stata affissa la contestata email del XX. Il coordinatore […] ha il compito di assicurare l’organizzazione dei turni di servizio e la gestione del personale assegnato fra cui la [reclamante], dipendente addetta alle pulizie”;

- “il modus operandi del coordinatore […] è stato il frutto di un'iniziativa del singolo e può qualificarsi quale episodio isolato”;

- “il coordinatore […] ha dichiarato di aver esposto in bacheca tale email e di aver agito di propria iniziativa e in buona fede, in un eccesso di premura nel premiare i colleghi che hanno coperto l’assenza della collega in malattia, dimenticandosi però di oscurare i dati personali nell'email affissa in bacheca”;

- “il luogo di affissione dei documenti (bacheca situata negli spogliatoi) è accessibile esclusivamente ai soli dipendenti impiegati nelle operazioni e attività di pulizia all’interno di quella Struttura Distrettuale. Pertanto, non vi sono documenti accessibili a chiunque e la visibilità è stata limitata a un numero non elevato di persone, ovvero solo a pochi colleghi impiegati presso quel reparto”;

- “circa i tempi di permanenza, sulla base delle dichiarazioni rese dal coordinatore, è presumibile che sia stato affisso per circa una settimana, ma non si è in grado di affermare con certezza la durata se non che, ad oggi, il documento non è più presente […]”;

- “quale ulteriore misura organizzativa, affinché in futuro non si verifichino episodi di questo tipo, è stata programmata […] una specifica sessione formativa per tutti i coordinatori di struttura”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver lo stesso posto in essere un trattamento dei dati personali della reclamante e di altri lavoratori, anche relativi allo stato di salute, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2, lett. b), del Regolamento e 2-ter del Codice, nonché per non aver fornito riscontro a un’istanza della reclamante di esercizio del diritto di opposizione al trattamento dei propri dati personali, in violazione degli artt. 12, par. 3, e 21 del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Azienda ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “la Sanitaservice adotta una procedura standard che prevede la stampa dei turni degli operatori in servizio, con indicazione di nome, cognome e reparto di assegnazione […] Quindi, la procedura aziendale non prevede l’indicazione di alcuna informazione relativa ai motivi di assenza dei dipendenti”;

- “la Sanitaservice ha appreso dell’affissione, in una bacheca collocata in uno spogliatoio, il cui accesso è riservato ai soli dipendenti dell’Azienda […], dell’email del [coordinatore] del XX […] Con tale email, il [coordinatore] intendeva ringraziare [un lavoratore], anch’egli dipendente dell'Azienda, della disponibilità fornita per la copertura dei turni, considerate le assenze “per motivi di salute” di altri due dipendenti […tra cui la reclamante]. L’email è stata stampata ed affissa nella predetta bacheca, in cui è rimasta per alcuni giorni, sino al XX”;

- “l’episodio non può assolutamente considerarsi una prassi aziendale […] La violazione, ove ravvisabile, appare circoscritta ai dati riportati nell’email del [coordinatore], che rappresenta un’iniziativa personale ed eccentrica di tale dipendente […]”;

- “quanto, invece, ai turni di servizio, le foto prodotte in allegato al reclamo non consentono una visione sufficientemente chiara […] Si osserva, comunque, che gli stampati non contengono alcuna informazione sensibile relativa alle causali delle assenze. Le aggiunte manoscritte, presumibilmente apposte dallo stesso [coordinatore] non sono comprensibili”;

- “la Sanitaservice ha avuto conoscenza dell'accaduto solo alcuni mesi dopo […]. Ricevuta la nota dell'Autorità del XX, l’Azienda ha chiesto spiegazioni al [coordinatore…]. In tale data, comunque, l'affissione era stata già rimossa. Al riguardo, […] il coordinatore comunicò che le affissioni in bacheca normalmente non eccedono la durata di 7 giorni, sicché si può presumere che l'email fosse stata rimossa già da alcune settimane”;

- “al fine di prevenire il ripetersi di fatti analoghi, pertanto, la Società ha immediatamente adottato una serie di misure organizzative aggiuntive”;

- “le informazioni personali non necessarie, contenute nell’email affissa, erano comunque limitate all’assenza “per motivi di salute” di due dipendenti”;

- “l’asserita “opposizione” [al trattamento dei dati] non è stata proposta tramite un’apposita ed autonoma istanza, né appare riconducibile ai canali percorribili per l’esercizio dei diritti di cui agli artt. 15 e ss. del [Regolamento]. Essa, infatti, risulta inserita in modo meramente incidentale all’interno di un [documento redatto in relazione a una questione afferente al rapporto di lavoro in essere tra la reclamante e l’Azienda e] caratterizzato da finalità, oggetto e disciplina del tutto autonomi - se non inconferenti - rispetto alla protezione dei dati personali. Ciò si evince anche dall’organigramma aziendale […] da cui si evince la collocazione dell’area privacy sotto altra funzione aziendale […], nonché da una delle prime informative sul trattamento dei dati personali rese ai dipendenti […] (pubblicata nella intranet aziendale e disponibile a tutti i dipendenti nell’area riservata personale), nella quale vi è l’indicazione dei dati di contatto da utilizzare ai fini della presentazione delle richieste relative all’esercizio dei diritti […] [Inoltre, il predetto documento era…] intestat[o] al Rappresentante Legale dell’Azienda ed all’Ufficio competente […], ma non risultano inviate né tramite p.e.c., né a mezzo raccomandata, né in altro modo. [Tale documento] risulta unicamente depositat[o] dinanzi [all’organo competente a conoscere lo stesso]. Nel momento in cui [tale organo] ha ricevuto [il documento in questione], quest’ultim[o] è stat[o] allegat[o agli atti] e custodit[o] nel pieno rispetto dei dati personali della [reclamante] […]”. 

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 22 aprile 2026 (v. verbale prot. n. XX del XX), l’Azienda ha dichiarato, in particolare, che:

- “la politica aziendale e i sistemi informatici utilizzati per la gestione dei turni prevedono esclusivamente l’utilizzo di acronimi relativi alla fascia oraria di svolgimento del turno e alla fruizione del riposo (riposo, mattina o pomeriggio)”;

- “le annotazioni riportate a penna nel caso in questione sono, invece, il frutto di un’iniziativa estemporanea del singolo coordinatore, non conforme alle procedure aziendali, in un periodo - quello estivo - caratterizzato da particolare difficoltà nella gestione dei turni, fermo restando che le annotazioni in questione non sono comunque facilmente comprensibili in ragione della grafia utilizzata”;

- “l’interessata ha sollevato la questione di protezione dei dati soltanto incidentalmente nell’ambito [di una diversa questione afferente il rapporto di lavoro] e, dunque, non si è potuto avere immediata contezza [della richiesta]; l’interessata avrebbe dovuto, invece, esercitare i propri diritti in un atto distinto e facente specifico riferimento al tema della protezione dei dati, anche utilizzando i canali di comunicazione espressamente previsti per l’esercizio dei diritti in materia di protezione dei dati personali, come indicati anche nell’informativa sulla protezione dei dati personali messa a disposizione dei lavoratori; 

- “l’interessata ha depositato [il documento] in questione brevi manu e direttamente [all’organo competente ad occuparsi della diversa questione lavorativa], che ha acquisito il documento in questione esclusivamente ai fini [di detta questione]; pertanto, ancorché il documento fosse formalmente indirizzato all’Amministratore e al Responsabile [del competente] Ufficio […], l’azienda, e specialmente le sue articolazioni che si occupano della materia della protezione dei dati, non hanno mai avuto contezza della richiesta dell’interessata, se non, per la prima volta, dopo aver ricevuto la richiesta d’informazioni dell’Autorità in relazione al reclamo”. 

3. Esito dell’attività istruttoria.

All’esito dell’attività istruttoria è stato accertato che in una bacheca aziendale, collocata nella sede di lavoro della reclamante sarebbe stata affissa, in data XX, copia di un’email, datata XX, nella quale si dava conto di una sostituzione di turno a causa dell’assenza per motivi di salute della reclamante; in particolare, con tale email, indirizzata dal coordinatore a uno specifico operatore del servizio di pulizia, a tutti gli altri operatori di pulizia, al Direttore del servizio igiene sanitaria dell’Azienda e al Direttore del distretto socio sanitario interessato, si informava del fatto che “a seguito dell’assenza per motivi di salute dell’operatore Addetto alle Pulizia Sig. […] (dal […] al […]) che riguardava la presenza dello stesso in data […] per la pulizia delle […] si provvederà a garantire la normale pulizia e sanificazione delle strutture in oggetto con la pervenuta disponibilità dell’operatore […] ad effettuare la copertura del predetto servizio nella giornata di […]. Si precisa, altresì, che l’operatore […] ha dimostrato ulteriore e sincera disponibilità lavorativa, effettuando un’altra sostituzione già […] per assenza per motivi di salute dell’Operatrice [nome e cognome della reclamante]. Tanto si doveva, al fine di una corretta informativa specifica”.

Per effetto dell’affissione nella bacheca dell’email in questione, in cui si dava conto dell’assenza per malattia della reclamante e di un altro interessato, tutti i lavoratori che nel tempo hanno avuto accesso all’area ove è ubicata detta bacheca sono stati resi vicendevolmente edotti di dati personali che non avrebbero dovuto conoscere, essendosi, pertanto, configurate comunicazioni di dati personali relativi allo stato di salute, in assenza di un idoneo presupposto giuridico. 

I dati personali dei dipendenti non possono, infatti, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. le definizioni di “dato personale” e “interessato” di cui all’art. 4, par. 1, n. 1, del Regolamento) ovvero di coloro che, anche tenuto conto della definizione di “terzo” contenuta nell’art. 4, par. 1, n. 10, del Regolamento, non siano legittimati a trattarli, in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento.

Come chiarito dal Garante, qualora nei luoghi di lavoro si faccia ricorso a bacheche per veicolare informazioni d’interesse comune, non è lecito mettere nella reciproca disponibilità dei lavoratori dati personali relativi a vicende che attengono alla salute, alla sfera privata e familiare o allo specifico rapporto di lavoro di ciascun lavoratore (v. provv.ti 29 aprile 2026, n. 304, doc. web n. 10254256; 27 febbraio 2025, n. 101, doc. web n. 10123227; 27 maggio 2021, n. 214, doc. web n. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865 e 2 luglio 2020, n. 124, doc. web n. 9445567; v. anche provv.ti 3 luglio 2014, n. 341, doc. web n. 3325317; 31 luglio 2014, n. 392, doc web n. 3399423, ma v., già le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007”, doc. web n. 1417809, cfr., in particolare, i paragrafi 5.1, 5.2 e 5.3). Il Garante ha, infatti, precisato che “quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari)” (“Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, provv. 5 giugno 2019, n. 146, doc. web n. 9124510, all. 1, par. 1.5). 

Nel caso oggetto di reclamo, l’email inviata a molteplici destinatari e poi affissa in bacheca riportava un esplicito riferimento all’assenza della reclamante e di un altro lavoratore per motivi di salute, informazione questa che costituisce un dato personale appartenente alle categorie particolari di cui all’art. 9 del Regolamento. Nel quadro giuridico eurounitario e secondo il costante orientamento del Garante, nella nozione di dato personale relativo alla salute può, infatti, rientrare anche una informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi (v. provv.ti 27 febbraio 2025, n. 101, doc. web n. 10123227; 23 marzo 2023, n. 84, doc. web n. 9888113; 15 dicembre 2022, n. 420, doc. web n. 9853429; 16 settembre 2021, n. 319, doc. web n. 9704048; 25 febbraio 2021, n. 68, doc. web n. 9567429; 7 maggio 2015, n. 269, doc. web n.4167648; 10 ottobre 2013, doc. web n.2753605; 7 luglio 2004, doc. web n. 1068839 e 1068917; v. anche par. 8 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", adottate in vigenza del precedente quadro normativo in materia di protezione dei dati con provv. 14 giugno 2007, n. 23, doc. web n. 1417809). 

Ciò in conformità alla giurisprudenza della Corte di Giustizia dell’Unione europea, secondo la quale “occorre dare all'espressione «dati relativi alla salute» […] un'interpretazione ampia tale da comprendere informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona”, avendo la Corte ricondotto a tale nozione anche l’informazione relativa una persona che si era “ferita ad un piede e [si trovava] in congedo parziale per malattia” (sent. C-101/01, Lindqvist, 6 novembre 2003, parr. 13 e 50). Un’interpretazione ampia delle nozioni di “categorie particolari di dati personali” e di “dati sensibili” è, infatti, “suffragata dall’obiettivo della direttiva 95/46 e del [Regolamento] […], consistente nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali che li riguardano” (sent. C-184/20, Vyriausioji tarnybinės etikos komisija, del 1° agosto 2022, par. 125), considerato che i trattamenti di tali particolari categorie di dati “possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali” (sent. C-667/21, Krankenversicherung Nordrhein, del 21 dicembre 2023, par. 41; cfr. cons. 51 del Regolamento, ai sensi del quale “meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”). Anche nell’ordinamento nazionale, la giurisprudenza di legittimità ha affermato che “non può essere messo in dubbio che un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce” (Cass. civ., sez. I, 8 agosto 2013, n. 18980; v. anche Cass. civ., sez. I, ord. 11 ottobre 2023, n. 28417, ove si afferma che “il semplice riferimento ad un'assenza dal lavoro "per malattia" costituisc[e] un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce”).

L’email in questione, riportante tali dati sullo stato di salute, è stata prima inviata e poi affissa dal coordinatore al deliberato fine di premiare il personale che si era reso disponibile a coprire i turni di servizio. Tuttavia, le specifiche modalità della predetta comunicazione, volta a valorizzare il personale in servizio, ha comportato un’ingiustificata e non necessaria ingerenza nel diritto alla protezione dei dati della reclamante e dell’altro lavoratore assente dal servizio, con inevitabili conseguenze pregiudizievoli per i due interessati, anche sul piano reputazionale, all’interno del contesto lavorativo (quello interno e quello più ampio del distretto sanitario presso le cui strutture eseguivano la propria prestazione lavorativa). Infatti, come risulta dalla documentazione in atti, la nota del XX era già stata indirizzata e inviata non solo ai dipendenti coinvolti nelle sostituzioni ma a tutti gli altri operatori del servizio di pulizia, al Direttore del servizio igiene sanitaria dell’Azienda e al Direttore del distretto socio sanitario interessato, così dando corso a una comunicazione a terzi di dati personali relativi alla salute della reclamante e dell’altro lavoratore interessato. Ciononostante, la medesima nota è stata anche affissa in bacheca e ivi mantenuta per un periodo che l’Azienda non è stato in grado di quantificare con certezza (ma sicuramente non inferiore a una settimana e non superiore a un mese circa), “per la massima diffusione [della stessa]”, come si legge in calce a detta nota. Tale circostanza connota di ulteriore gravità la condotta posta in essere.

Alla luce di tutte le considerazioni che precedono, deve concludersi che l’Azienda, ancorché in conseguenza di un’iniziativa di un proprio coordinatore non conforme alle procedure aziendali, ha posto in essere un trattamento dei dati personali della reclamante e di un altro lavoratore, relativi allo stato di salute degli stessi, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2, lett. b), del Regolamento, nonché 2-ter del Codice.

Sulla base di quanto rappresentato dall’Azienda in sede di memoria difensiva e nel corso dell’audizione, devono, invece, considerarsi superate le contestazioni che attengono sia all’affissione nella medesima bacheca, da parte dello stesso coordinatore, di turni di servizio riportanti le causali delle assenze dei lavoratori, trattandosi di limitate annotazioni riportate a penna e con grafia non leggibile, sia al mancato riscontro a un’istanza della reclamante di esercizio dei propri diritti d’interessata; ciò considerato che la stessa aveva chiesto la rimozione dell’email oggetto di reclamo in maniera incidentale in un documento redatto in riferimento a una diversa questione afferente il rapporto di lavoro in essere con l’Azienda, che era solo formalmente indirizzata al legale rappresentante della stessa, essendo stata, invece, consegnato brevi manu all’organismo competente per tale diversa questione lavoristica, che ha acquisito il documento in questione esclusivamente per l’esercizio delle funzioni di propria competenza, che non riguardano la protezione dei dati.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva la violazione, da parte dell’Azienda, degli artt. 5, par. 1, lett. a), 6 e 9, par. 2, lett. b), del Regolamento, nonché 2-ter del Codice. 

Ciò premesso, considerato che il titolare del trattamento è una società c.d. in house dell’ASL di Lecce, nonché, tenuto conto che:

- la violazione ha riguardato soltanto due interessati e ha avuto luogo per un arco temporale che, ancorché non definito con certezza, è stato comunque limitato (cfr. art. 83, par. 2, lett. a), del Regolamento);

- la violazione ha carattere colposo, essendosi verificata a causa di un’iniziativa di un coordinatore degli operatori di pulizia non conforme alle procedure aziendali (cfr. art. 83, par. 2, lett. b), del Regolamento);

- i dati sulla salute degli interessati non contenevano riferimenti alla specifica patologia sofferta (cfr. art. 83, par. 2, lett. g), del Regolamento); 

- non risultano precedenti violazioni pertinenti commesse dall’Azienda (art. 83, par. 2, lett. e), del Regolamento);

- l’Azienda ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria e ha dichiarato di aver adottato misure per evitare il verificarsi di simili episodi in futuro (art. 83, par. 2, lett. f), del Regolamento); 

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene sufficiente ammonire l’Azienda per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’email in questione è stata rimossa dalla bacheca - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dalla SanitaService Asl Le s.r.l. Unipersonale, in persona del legale rappresentante pro-tempore, con sede legale in Via Miglietta, 5 - 73100 Lecce (LE), C.F. 04305080758, per violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2, lett. b), del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la SanitaService Asl Le s.r.l. Unipersonale, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9, par. 2, lett. b), del Regolamento, nonché 2-ter del Codice, come sopra descritto;

c) dispone, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) dispone, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 18 giugno 2026 

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori