[doc. web n. 10184967]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 530 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento nei confronti del Comune di Isola del Gran Sasso (di seguito, il “Comune”), la sig.ra XX, dipendente di detto Comune all’epoca dei fatti, ha lamentato, mediante il proprio avvocato, la pubblicazione, sul sito web istituzionale del Comune, delle delibere di Giunta Municipale n. XX del XX e n. XX del XX, “aventi quale medesimo oggetto la “XX”, [al fine di] addivenire alla nomina di un nuovo responsabile finanziario”. Tali delibere contenevano informazioni riguardanti la reclamante e facevano riferimento, in particolare, alla circostanza che "XX avesse in corso un procedimento penale per reati contro la pubblica amministrazione”.

Con nota del XX la reclamante, tramite il proprio avvocato, richiedeva la cancellazione dei propri dati personali dalle predette delibere e, seppure il Responsabile della protezione dei dati (di seguito “RPD”) e il Segretario Comunale del Comune all’epoca dei fatti, rispettivamente con e-mail del XX e con nota del XX avessero consigliato di oscurare i dati personali contenuti nella delibera n. XX, tale suggerimento non veniva accolto, tanto che “così come la delibera n. XX anche la delibera n. XX restava pubblicata all’ Albo del Comune successivamente all'invio della richiesta di cancellazione”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), il Comune, con nota del XX (prot. n.XX), cui si rinvia integralmente, ha dichiarato, in particolare, che:

- “entrambe le proposte relative alle delibere citate sono state inserite nella procedura integrata [dall’] XX”;

- “nell’inserimento delle proposte, ciascun Istruttore incontra un flag da cliccare o non cliccare a seconda se la proposta è soggetta a privacy oppure no ”;

- “in fase di pubblicazione dell’atto - se è stato impostato dal soggetto proponente/istruttore il flag della riservatezza - il sistema pone un alert […], cioè, avverte il soggetto che sta per procedere alla pubblicazione che l’atto è soggetto a privacy (per come impostato dal proponente) e impone all’addetto di entrare nell’atto e visionarlo prima della pubblicazione. Se però l’istruttore/proponente non ha apposto il flag della riservatezza, il soggetto addetto alle pubblicazioni non riceve alcun alert dal sistema per ciò che riguarda la riservatezza dell’atto che sta per pubblicare, e quindi procede alla pubblicazione stessa”;

- “nel caso di specie, la pubblicazione delle delibere è stata effettuata da [un] dipendente […], il quale, verosimilmente, non avendo incontrato l’alert riferito alla riservatezza e avendo accertato che l’oggetto delle delibere era di tipo ordinario, ha pubblicato senza fare controlli ulteriori. La durata di pubblicazione di entrambe le delibere risulta evidenziata all’interno dei documenti di cui agli allegati sopra citati e cioè dal XX al XX per la delibera n. XX del XX; dall’XX al XX per la delibera n. XX del XX”.

Con nota dell’XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver diffuso dati personali e informazioni, anche relativamente a procedimenti penali riferiti alla reclamante, in maniera non conforme ai principi di “liceità, correttezza e trasparenza” in violazione degli artt. 5, par. 1, lett. a), del Regolamento e in assenza di un idoneo presupposto normativo in violazione degli artt. 6 e 10 del Regolamento, nonché 2-ter e 2-octies del Codice e, con riferimento al mancato riscontro alla richiesta di esercizio dei diritti, in violazione degli artt.12, par.3 e 4 e 17 del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n.XX), cui si rinvia integralmente, il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

- la pubblicazione all’Albo comunale dei dati giudiziari della […reclamante] ebbe la durata di quindici giorni e nessuno ritirò la pubblicazione anche se richiesto dal DPO dell’Ente e dal Segretario comunale”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX), il Comune ha dichiarato, in particolare, che:

- “il Comune riconosce di avere una responsabilità nell’ambito della vicenda oggetto di reclamo, ritenendo però opportuno evidenziare in primo luogo che sussiste in tale caso una responsabilità del vice segretario comunale e responsabile dell’Area finanziaria che aveva redatto le proposte di delibera contenenti i dati personali della reclamante e successivamente apposto il parere di regolarità tecnica e parere di regolarità contabile, pur in presenza del parere negativo dell’allora Segretario comunale, peraltro nell’ambito di un Comune di ridotte dimensioni;

- “gli organi di controllo del Comune, ossia l’allora Segretario comunale e il DPO avevano, successivamente alla segnalazione della XX, prontamente chiesto la cancellazione dei dati personali, richiesta a cui non si è attenuto il sopra indicato vice segretario comunale”;

- “ad oggi, stante la vicenda oggetto di reclamo, il Comune ha avviato un procedimento disciplinare nei confronti dell’allora vice segretario comunale;

- “per quanto riguarda la diffusione della delibera oggetto di reclamo, è stato verificato, attraverso specifici accertamenti tecnici, che della stessa non sono state rilevate tracce nel web e che la stessa è stata pubblica per soli 15 giorni sul sito del Comune, sezione Albo pretorio”.

3. Esito dell’attività istruttoria.

3.1.  La normativa applicabile.

Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati e, in particolare, delle disposizioni del Regolamento e del Codice.

Al fine di garantire un elevato livello di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata con riguardo al trattamento dei dati personali, sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea (v. art. 1 del Regolamento), qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi enunciati all’art. 5 del Regolamento e soddisfare le condizioni di liceità di cui all’art. 6 dello stesso (v. Corte di giustizia dell’Unione europea, sentenza C‑621/22, del 4 ottobre 2024, parr. 26 e 27, e i precedenti ivi richiamati).

In tale quadro, i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa di settore applicabile (artt. 5, par.1, lett. a), 6, paragrafo 1, lett. c) e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di trattamenti che consiste nella “diffusione” (art. 2-ter, comma 4, lett. b), del Codice) di dati personali è ammessa solo al ricorrere delle condizioni previste dall’art. 2-ter del Codice, quando previste da un’idonea base giuridica.

Con specifico riguardo al trattamento dei dati personali relativo a condanne penali e reati, si evidenzia che lo stesso è ammesso soltanto se avviene “sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati” (art. 10 del Regolamento; v. anche art. 2-octies del Codice).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati di cui al citato art. 5 del Regolamento, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, paragrafo 1, lett. a) e c) del Regolamento).

Ai sensi dell’art. 17 del Regolamento, l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare i dati, in particolare se “i dati personali sono stati trattati illecitamente” (par. 1, lett. c)).

In caso di esercizio del diritto alla cancellazione dei dati, il titolare del trattamento “fornisce all'interessato le informazioni relative all'azione intrapresa riguardo [alla] richiesta […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. […] Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale” (art. 12, parr. 3 e 4, del Regolamento).

3.2. La diffusione di dati personali.

Ciò premesso, all’esito dell’istruttoria relativa al reclamo, è emerso che il Comune ha pubblicato sul proprio sito web istituzionale, dal XX al XX, la delibera n. XX del XX e, dall’XX al XX, la delibera n. XX del XX, contenenti dati personali della reclamante, anche riferiti a procedimenti penali nei confronti della stessa.

Come più volte evidenziato dal Garante (v., tra i tanti, provv. n. 319 del 4 giugno 2025, doc. web n. 9760883), il trattamento di dati relativi a condanne penali e reati, anche nel contesto della pubblicazione online di atti e documenti da parte di Pubbliche Amministrazioni, può avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati, ovvero solo qualora il trattamento sia autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento.

Nel caso di specie la diffusione sul sito web del Comune di tali dati personali della reclamante è avvenuta a causa di un errore umano non essendo stato disposto ed effettuato il necessario oscuramento dei dati in questione prima della pubblicazione delle predette delibere non avendo utilizzato correttamente il sistema predisposto dal Comune, finalizzato a ridurre i rischi di diffusione online di dati personali. Da quanto rappresentato dal Comune tale errore è stato causato dal comportamento del XX quale proponente delle due delibere il quale, secondo quanto rappresentato dal Comune, non ha “apposto il flag della riservatezza” facendo cadere in errore il soggetto addetto alle pubblicazioni che, non ricevendo “alcun alert dal sistema per ciò che riguarda la riservatezza dell’atto che sta per pubblicare”, ha proceduto alla pubblicazione senza il previo oscuramento dei dati personali presenti nelle delibere.

A tale riguardo si evidenzia che nel contesto lavorativo il trattamento di dati personali di un dipendente, anche qualora sia stato effettuato da specifiche persone fisiche (nel caso di specie, il vice segretario comunale e responsabile dell’Area finanziaria) che abbiano agito in occasione dell’esercizio delle loro funzioni o comunque nell’ambito delle competenze loro attribuite all’interno dell’organizzazione del datore di lavoro, sarà ritenuto imputabile direttamente al datore di lavoro nel suo complesso, in quanto titolare del trattamento (nel caso di cui trattasi, il Comune).

Pertanto è il titolare del trattamento che, prima di diffondere online qualsiasi dato personale relativo agli interessati, è tenuto a verificare quali dati e informazioni pubblicare, assicurando in pari tempo il pieno rispetto della disciplina in materia di protezione dei dati personali con specifico riferimento alla pertinenza e non eccedenza dei dati diffusi. Il Garante ha nel tempo fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.a; v. anche le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” doc. web n. 1417809) chiarendo, anche attraverso numerose decisioni su singoli casi adottate nei confronti di specifiche amministrazioni, che la presenza di un regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online di dati personali né una deroga ai principi in materia di protezione dei dati personali, come confermato dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento debba mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto ai sensi degli artt. 5, par. 2, 24 e 25, par. 2, del Regolamento (cfr. tra i tanti, da ultimo provv. del 12 dicembre 2024, n. 768, doc web 10102355, del 27 novembre 2024, n. 729, doc. web n. 1009734, nonché provv. del 4 luglio 2024, n. 404, doc. web 10050145 e precedenti in esso citati).

In particolare, in numerose decisioni in merito agli obblighi derivanti proprio dall’art. 124 del d.lgs. 267/2000, in materia di pubblicazione all’albo pretorio delle deliberazioni dei comuni, il Garante ha ribadito che anche alle pubblicazioni sull’albo pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla previa verifica della sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti e alla minimizzazione dei dati (cfr., tra i tanti, da ultimo, provv.ti n. 729 e 730 del 27 novembre 2024, doc. web nn.  10097341 e 10100956, e precedenti ivi citati; v. anche parte II, par. 3.a. delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, cit.).

Nel caso di specie il Comune ha, invece, pubblicato le delibere n. XX del XX e n. XX del XX con specifico riferimento a informazioni riguardanti un procedimento penale nei confronti dell’interessata seppure indirettamente identificabile quale “precedente responsabile dell'Area Amministrativa e Finanziaria”. Occorre infatti considerare che per “dato personale” si intende, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”, dovendosi “considera[re] identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

Per quanto sopra rappresentato, deve concludersi che il Comune ha diffuso i dati personali della reclamante, anche riferiti a procedimenti penali, in maniera non conforme ai principi di liceità, correttezza e trasparenza dei dati, in violazione degli artt. 5, par. 1, lett. a) del Regolamento, nonché in assenza di un’idonea base giuridica, in violazione degli artt. 6 e 10 del Regolamento, nonché 2-ter e 2-octies del Codice.

3.3 Mancato riscontro alla richiesta di esercizio dei diritti dell’interessata.

Dagli elementi acquisiti nell’ambito dell’attività istruttoria, risulta inoltre accertato che il Comune non ha provveduto a fornire idoneo riscontro nei confronti dell’interessata rispetto alla richiesta di esercizio dei diritti avanzata dalla stessa in data XX.

Al riguardo, si rappresenta in via generale che il titolare del trattamento è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato nonché, in ogni caso, a fornire esplicito riscontro alla richiesta formulata dall’interessato ai sensi degli articoli da 15 a 22 del Regolamento, a prescindere dalla fondatezza o meno della stessa, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal suo ricevimento, nel contesto di un rapporto diretto tra l’interessato e il titolare del trattamento.

Il menzionato termine può essere prorogato dal titolare di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando il diritto dell’interessato ad essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta (art. 12, parr. 2 e 3, del Regolamento).

Inoltre, se il titolare del trattamento non ottempera alla richiesta dell'interessato, lo informa senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).
Nel caso di specie, seppure il Responsabile della Protezione dei Dati e il Segretario comunale in essere all’epoca dei fatti avessero ritenuto che i predetti dati personali contenuti nelle predette delibere dovessero essere oscurati, non emerge che sia stato fornito alcun riscontro all’interessata né che sia stata posta alcuna azione volta a dare seguito a quanto indicato dal responsabile della protezione dei dati e dal Segretario comunale all’epoca dei fatti. 
Alla luce delle considerazioni che precedono, deve concludersi che il Comune non ha fornito riscontro all’istanza di esercizio dei diritti dell’interessata del XX entro il termine massimo previsto dall’art. 12, par. 3, del Regolamento, omettendo di informare la stessa dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, avendo, pertanto, agito in violazione degli artt. 12, par. 3 e 4 e 17 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver diffuso dati personali del reclamante, mediante la pubblicazione sul sito web istituzionale di informazioni, anche con riguardo a procedimenti penali riferiti all’interessata, afferenti al rapporto di lavoro con il Comune, in violazione degli artt. 5, par. 1, lett. a),  6 e 10 del Regolamento, nonché dell’art. 2-ter e 2-octies del Codice e, con riferimento al mancato riscontro alla richiesta di esercizio dei diritti dell’interessata, in violazione degli artt.12, par.3 e 4 e 17 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni, relative agli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando che, con riguardo ai trattamenti posti in essere dal Comune, la condotta ha esaurito i suoi effetti - atteso che, allo stato attuale le delibere non sono più consultabili sul sito web dello stesso, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la violazione ha riguardato un solo interessato comportando la diffusione online di dati personali senza alcuna indicizzazione sui motori di ricerca e per un tempo limitato (15 gg per ciascuna delibera) (art. 83, par. 2, lett. a) del Regolamento);

la pubblicazione ha riguardato anche informazioni relative a procedimenti penali dell’interessata (cfr. art. 83, par. 2, lett. g), del Regolamento);

la violazione ha carattere colposo (art. 83, par. 2, lett. b), del Regolamento), considerando che il trattamento in questione, è avvenuto per un errore del dipendente che ha proceduto alla pubblicazione delle delibere;

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento, considerate le specifiche circostanze del caso sia basso (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un piccolo Comune (di circa 4.000 abitanti), si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

il Comune ha rappresentato di avere implementato, all’interno della propria organizzazione, misure atte a prevenire tali trattamenti non corretti (apposizione di “un flag da cliccare o non cliccare a seconda se la proposta è soggetta a privacy oppure no”) che nel caso di specie non sono state attivate (art. 83, par. 2, lett. c), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal Comune (art. 83, par. 2, lett. e), del Regolamento);

il Comune, ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

la violazione è avvenuta in un contesto caratterizzato da complessi e peculiari rapporti lavorativi all’interno dell’organizzazione comunale (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00) per la violazione degli artt. 5, par. 1, lett. a), 6 e 10 e degli artt.12, par.3 e 4 e 17 del Regolamento, nonché degli artt. 2-ter e 2-octies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra rilevato, la violazione è consistita nella diffusione online di dati personali, anche riguardanti informazioni su procedimenti penali riferiti alla reclamante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune Isola del Gran Sasso per violazione degli artt. 5, par. 1, lett. a) 6 e 10 e degli artt.12, par.3 e 4 e 17 del Regolamento, nonché degli artt. 2-ter e 2-octies del Codice, nei termini di cui in motivazione;

ORDINA

al Comune di Isola del Gran Sasso d’Italia, in persona del legale rappresentante pro-tempore, con sede legale in Piazza contea di pagliara 16 - Isola del Gran Sasso d'Italia (TE), C.F. 80003790674 di pagare la somma di euro 3.000,00 (tremila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000,00 (tremila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza