[doc. web n. 10192784]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 585 del 9 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la Sig.ra XX, professionista iscritta all’Ordine delle Professioni Infermieristiche di Pisa (di seguito, l’“Ordine”), ha lamentato la circostanza che nell’albo professionale pubblicato dall’Ordine sul proprio sito web istituzionale compare anche l’indirizzo di residenza di ciascun professionista.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni formulata ai sensi dell’art. 157 del Codice (v. nota prot. XX del XX), l’Ordine, con nota del XX (priva di numero di protocollo), ha dichiarato, in particolare, che:

- “l’albo è rimasto pubblicato online dal XX fino al XX”;

- “al momento della pubblicazione gli iscritti erano n. 3686”;

- “la valutazione sulla pubblicazione è stata eseguita analizzando la normativa di settore, DPR 221/1950”;

- “l[ea] ragion[e] per cui è stato riportato l’indirizzo [di residenza] [consisteva nella necessità di] dare completezza di informazione ai datori di lavoro che necessitavano di consultare l’Albo ed evitare errori nelle eventuali comunicazioni scritte con la contro parte interessata o comunicazioni al collocamento e altri uffici pubblici”;

- “attualmente [l’Ordine] ha aggiornato il proprio sito e il nuovo Albo Infermieri riporta la data del XX [;] i dati riportati sono: N.ro progressivo - Nominativo - Data di nascita - Luogo di nascita - Data iscrizione - N. posizione”.

In riscontro a una seconda richiesta d’informazioni (v. nota prot. n. XX dell’XX), l’Ordine, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

- “il domicilio [oggetto di annotazione all’albo è] quello di residenza e non quello ove il professionista presta la propria opera”;

- l’Ordine “ha ritenuto di aggiornare l’elenco pubblicato togliendo dalla visione in chiaro il domicilio degli iscritti”.

In relazione ai fatti oggetto di reclamo, l’Ufficio del Garante ha ritenuto di coinvolgere nell’istruttoria anche la Federazione Nazionale Ordini Professioni Infermieristiche (di seguito, la “Federazione”), in quanto ente di “rappresentanza esponenziale” a cui sono “attribuiti compiti di indirizzo e coordinamento e di supporto amministrativo agli Ordini” territoriali (v. art. 7 del d.lgs.C.P.S. 13 settembre 1946, n. 233). In risconto a una specifica richiesta d’informazioni (v. nota prot. n. XX del XX, inviata anche all’Ordine), la Federazione, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

- “nei dati dell’albo pubblicati sul sito [della] Federazione non è presente la residenza dell’iscritto in quanto tale informazione, alla luce di quanto indicato dall’art. 6, par. 3, del Regolamento, non è stata ritenuta necessaria al perseguimento dell’obiettivo d’interesse pubblico per l’identificazione dell’iscritto all’Albo di appartenenza”;

- “non sono pervenute [alla] Federazione indicazioni o comunicazioni da parte del Ministero della Salute in merito all’obbligo di pubblicazione nell’Albo della residenza dell’iscritto”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver l’Ordine annotato nell’albo professionale l’informazione relativa alla residenza dei professionisti e aver diffuso online tale informazione, ponendo in essere un trattamento di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e) e parr. 2 e 3, del Regolamento, nonché 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Ordine ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’albo, come previsto dalla legge ordinistica specifica in materia, DPR 221/1950, L. 675/1996, codice Privacy D.Lgs. 196/2003 e DPR 137/2012, è tenuto dal Consiglio dell’Ordine o dal Collegio Territoriale ed è pubblico e reca l’anagrafe di tutti gli iscritti con l’annotazione dei provvedimenti disciplinari adottati nei loro confronti. L’insieme degli albi territoriali di ogni professione forma l’albo unico nazionale degli iscritti, tenuto dal Collegio Nazionale competente (nello specifico FNOPI) il quale riceve tutte le informazioni rilevanti ai fini dell’aggiornamento dell’Albo Nazionale”;

“OPI Pisa provvede a dare pubblicità all’Albo dei propri iscritti tramite la pubblicazione nel proprio sito web di un file pdf”;

“[…] successivamente ad ogni Consiglio Direttivo, viene aggiornato l’elenco degli iscritti all’Albo”;

“Opi Pisa provvede ad aggiornare due elenchi: quello completo contenente tutti i dati personali degli iscritti, file denominato per convenzione interna “Albo completo”, seguito dalla data del Consiglio Direttivo a cui si riferisce, per uso esclusivamente interno di Opi e un secondo file, denominato “Albo ridotto”, anch’esso seguito dalla data del Consiglio dell’Ordine a cui si riferisce, contenente i dati minimi utili alla pubblicazione (nome, cognome, data e luogo di nascita, anno di iscrizione) ovvero emendato di tutti i dati non pertinenti alla stessa”;

“solo ed esclusivamente il file denominato “Albo ridotto” è quello che viene pubblicato nel sito dell’ordine, in aggiornamento del file relativo al Consiglio Direttivo del mese precedente”;

“OPI ha provveduto fino ad oggi a fornire risposte al Garante, che in parte, purtroppo, si sono rivelate solo parzialmente esatte. Infatti, […] solo a seguito dell’insediamento del nuovo Consiglio Direttivo e grazie anche alla preziosa collaborazione del personale dipendente, alle indagini accurate in merito alle informazioni tecniche fornite dal nuovo consulente informatico, è stato in grado di poter ricostruire in maniera corretta, dettagliata e documentata l’intera vicenda”;

“in data XX, a seguito del Consiglio Direttivo tenutosi in pari data, l’impiegata di OPI Pisa ha provveduto, come di solito, a pubblicare il file aggiornato dell’Albo”;

“a seguito dell’aggiornamento dell’Albo venivano creati due elenchi contenenti i dati personali degli iscritti, nello specifico uno nominato “XX” e l’altro “XX””;

“purtroppo, per mero errore, probabilmente indotto dalla simile denominazione dei due file, è stato pubblicato sulla pagina web del sito di OPI il file “XX” al posto di quello “ridotto”. L’impiegata, accortasi di lì a poco dell’errore in cui era occorsa, ha prontamente rimosso il documento “Albo completo” e pubblicato il file corretto, ovvero “XX””;

“i dati personali indicati non erano consultabili nel sito di OPI né presenti in quello di FNOPI e del resto anche la segnalazione della [reclamante] non fa riferimento alla presenza del file contestato sul sito di Opi Pisa, ma unicamente al reperimento del file a seguito della digitazione su Google di “Albo infermieri al XX”;

“ciò è potuto accadere in quanto il file “XX” al momento della pubblicazione è stato indicizzato su Google”;

“nel caso di specie il file cancellato dal sito web ha continuato ad apparire nei risultati di ricerca su Google e ciò può avvenire per diverse ragioni”;

“solamente dopo che OPI è venuta a conoscenza della presenza di tale pagina sul web […] ha provveduto a farla eliminare dal tecnico informatico, come si evince dal report del XX”;

“l’albo o, meglio, il file “XX” è rimasto pubblicato online per poche ore nella giornata del XX (e non, come erroneamente indicato in precedenza dal XX fino al XX), per poi essere sostituito con il file “XX”, contenente solo i dati personali minimi, quale aggiornamento del sito web e permettere così la consultazione dell’Albo”;

“non si ravvisa alcun danno rilevante a carico dell’interessato [, atteso che, …] il dato personale oggetto di contestazione è stato visibile solo per poche ore sul sito web e successivamente, in fase di indicizzazione del file, solo attraverso una ricerca puntuale e non generica del dato”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX della medesima data), l’Ordine ha dichiarato, in particolare, che:

“l’indicizzazione sui motori di ricerca avviene direttamente dal soggetto che scarica il documento o visualizza la pagina; di conseguenza, il motore di ricerca scansiona tale documento e lo rende disponibile nella cronologia di colui che lo ha visualizzato”;

“l’Ordine […] non ha mai disposto di inserire l’indirizzo di residenza tra le informazioni riportate nell’albo professionale”.

3. Esito dell’attività istruttoria.

Al fine di garantire un elevato livello di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del loro diritto al rispetto della vita privata e alla protezione dei dati di carattere personale, sancito dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (cfr. art. 1 del Regolamento), qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi enunciati all’art. 5 del Regolamento e soddisfare le condizioni di liceità di cui all’art. 6 dello stesso (v., tra le tante decisioni, Corte di giustizia dell’Unione europea, sentenza C-710/23, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), del XX, par. XX).

In tale quadro, i soggetti pubblici, possono, di regola, trattare dati personali se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “diffusione” (art. 2-ter, comma 4, lett. b), del Codice) di dati personali, da parte di soggetti pubblici, è ammessa solo alle condizioni previste dall’art. 2-ter, commi 1, 1-bis e 3, del Codice.

Per quanto più specificamente concerne la pubblicazione online degli albi di settore da parte degli ordini professionali, l’art. 61, comma 2, del Codice, prevede che “agli effetti dell'applicazione del presente codice i dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento, che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell'articolo 2-ter del presente codice, anche mediante reti di comunicazione elettronica. Può essere altresì menzionata l'esistenza di provvedimenti che a qualsiasi titolo incidono sull'esercizio della professione”.

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza” e “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ciò premesso, risulta accertato che, in data XX, l’Ordine ha pubblicato sul proprio sito web istituzionale una versione dell’albo professionale in cui comparivano gli indirizzi di residenza di tutti i professionisti iscritti, incluso quello della reclamante.

A tal riguardo, l’Ordine, nel corso dell’istruttoria, ha inizialmente rivendicato la liceità della diffusione online di tale informazione, sul presupposto che l’art. 3 del d.P.R. 5 aprile 1950, n. 221 prevede che “per ogni iscritto sono indicati”, tra le altre cose, anche il “domicilio”, sostenendo di aver, pertanto, agito in conformità alla predetta normativa ordinistica, al fine di evitare errori nei casi di omonimia, ove gli anni di nascita dei professionisti iscritti fossero stati ravvicinati.

Sebbene l’Ordine abbia successivamente radicalmente mutato la ricostruzione dei fatti occorsi e la propria linea difensiva, imputando la violazione occorsa a un mero errore commesso da una propria dipendente, occorre comunque affermare l’infondatezza di tale argomento difensivo.

Un trattamento di dati personali può rinvenire la propria base giuridica nell’art. 6, par. 1, lett. e), del Regolamento se e nella misura in cui esso sia “necessario” per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, condizione che deve essere esaminata unitamente al principio di minimizzazione dei dati sancito dall’art. 6, par. 1, lett. c), del Regolamento, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Ciò in quanto, conformemente all’art. 52, par. 1, della Carta dei diritti fondamentali dell’Unione europea, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, di cui agli artt. 7 e 8 della Carta, possono essere soggetti a limitazioni solo a condizione che le stesse siano previste dalla legge e rispettino il contenuto essenziale dei diritti fondamentali, nonché il principio di proporzionalità, espressamente richiamato dall’art. 6, par. 3, del Regolamento. In ossequio a tale principio, dette limitazioni devono essere necessarie e rispondere effettivamente a finalità d’interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta l’ingerenza deve prevedere norme chiare e precise che disciplinano la portata e l’applicazione della misura in questione.

Al fine di determinare se un trattamento sia necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri, occorre verificare, in particolare, se, alla luce della gravità dell’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, causata dal trattamento, la stessa risulti giustificata e, in particolare, proporzionata, ai fini della realizzazione degli obiettivi perseguiti. Come evidenziato dal cons. 39 del Regolamento, il requisito di necessità del trattamento non può ritenersi soddisfatto quando l’obiettivo di interesse generale considerato possa essere ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei diritti personali garantiti agli articolo 7 e 8 della Carta, atteso che le deroghe e le restrizioni a tali diritti devono avere luogo nei limiti dello stretto necessario (v. Corte di giustizia dell’Unione europea, sentenze C-184/20, Vyriausioji tarnybinės etikos komisija, del 1° agosto 2022, parr. 73, 82, 85, 93, 94, 98, 99; C-439/19, Latvijas Republikas Saeima, del 22 giugno 2021, parr. 99, 105, 106 e 113).

Pertanto, mutuando i richiamati principi di diritto formalizzati dalla giurisprudenza della Corte di giustizia dell’Unione europea, i titolari del trattamento, anche in presenza di disposizioni dell’ordinamento nazionale che contemplino un trattamento di dati personali, devono effettuare una valutazione in merito all’effettiva necessità e proporzionalità del trattamento ai fini del perseguimento della finalità d’interesse pubblico sottesa a tali disposizioni, specialmente nei casi in cui, come quello di cui trattasi, le norme nazionali siano risalenti, non più corrispondenti al mutato contesto sociale e antecedenti al quadro giuridico europeo in materia di protezione dei dati.

Con riguardo al caso di specie, deve osservarsi che l’indirizzo di residenza di una persona non è un’informazione generalmente nota al pubblico e, pertanto, dalla prospettiva di chi intenda verificare l’effettiva iscrizione all’albo di un soggetto che esercita una determinata professione, l’annotazione all’albo della stessa non può ritenersi necessaria per perseguire la finalità d’interesse pubblico sottesa alla disciplina ordinistica in materia di albi professionali (cfr. art. 61, comma 2, del Codice), che consiste nel tutelare i consociati che entrano in contatto a vario titolo con coloro che esercitano la professione, consentendo di verificare l’effettiva abilitazione professionale e l’iscrizione di tali soggetti al relativo albo (sul regime di piena pubblicità degli albi professionali, anche in funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti all´albo, v. il costante e risalente orientamento del Garante di cui, ex multis, alla note 30 giugno 1997, in Bollettino n. 1, pag. 33, doc. web n. 39320; 22 luglio 1997, in Bollettino n. 1, pag. 40, doc. web n. 39456; 4 agosto 1997, in Bollettino n. 1, pag. 46, doc. web n. 30843; 23 giugno 1998, in Bollettino n. 5, pag. 12, doc. web n. 39901; 26 ottobre 1998, in Bollettino n. 6, pag. 12, doc. web n. 41075).

Tale finalità - come, peraltro, confermato dalla stessa Federazione, che, proprio in considerazione di quanto previsto dall’art. 6, par. 3, del Regolamento, non riporta nell’albo nazionale l’informazione relativa alla residenza - può essere, invece, perseguita con modalità altrettanto efficaci ma meno pregiudizievoli per i diritti e le libertà degli interessati, vale a dire annottando esclusivamente i dati relativi al nome, al cognome, alla data e al luogo di nascita del professionista iscritto, dati questi pure contemplati dal richiamato art. 3 del d.P.R. del 5 aprile 1950, n. 221, fermo restando che soltanto l’indicazione del codice fiscale può risolvere eventuali casi di omonimia con coincidenza anche di luogo e data di nascita.

D’altra parte né l’Ordine né la Federazione annotano nell’albo professionale il dato relativo alla “paternità”, pure ancora formalmente previsto dall’art. 3 del d.P.R. del 5 aprile 1950, n. 221, avendo disapplicato tale disposizione in ragione dell’evidente carattere anacronistico e della palese irrilevanza della stessa per il perseguimento dell’obiettivo di tutelare i consociati nei rapporti con coloro che esercitano le professioni infermieristiche.

L’annotazione sull’albo del dato personale relativa alla residenza, oltre che inutile ai fini del perseguimento della predetta finalità d’interesse pubblico, comporta anche la diffusione online di tale informazione (cfr. art. 61, par. 2, del Codice), esponendo ingiustificatamente i professionisti interessati a possibili rischi per la propria sfera individuale, che, in determinati contesti - si pensi, ad esempio, ai casi di stalking o ai crescenti episodi di aggressioni a danno dei professionisti sanitari - possono anche compromettere l’incolumità fisica degli stessi. La diffusione online di dati personali “finisce [, infatti,] per rendere tali dati personali liberamente accessibili su Internet all’insieme del grande pubblico e, di conseguenza, a un numero potenzialmente illimitato di persone” (v. sent. C-184/20, cit., par. 102), con la conseguente esposizione degli interessati anche a potenziali rischi (ibidem, par. 104), costituendo così un’ingerenza sostanziale nel diritto alla protezione dei dati personali, alla luce della quale la necessità e la proporzionalità del trattamento deve essere attentamente ponderata, nell’ambito di un bilanciamento tra, da una parte, l’interesse pubblico perseguito e che giustificherebbe una siffatta ingerenza e, dall’altra, il diritto alla protezione dei dati personali degli interessati (v. ibidem, parr. 110 e 111; v. anche, da ultimo, provv. 26 settembre 2024, n. 588, doc. web n. 10076453, ove si evidenzia che la pubblicazione di dati personali online, a differenza delle tradizionali forme di pubblicità, costituisce una forma di diffusione di dati particolarmente invasiva, poiché consente a chiunque, anche per effetto dei comuni motori di ricerca, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni).

Ciò chiarito, deve osservarsi che, come sopra anticipato, l’Ordine, soltanto in sede di memoria difensiva, dopo aver asseritamente svolto ulteriori e più approfonditi accertamenti una volta insediatosi il nuovo Consiglio Direttivo, ha dichiarato, con assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, che la diffusione online dell’informazione relativa all’indirizzo di residenza si sarebbe verificata in conseguenza di un mero errore materiale commesso da una propria dipendente, la quale avrebbe involontariamente pubblicato sul sito web istituzionale dell’Ordine una versione dell’albo redatta ad uso interno dell’Ente, in cui comparivano gli indirizzi di residenza privata degli iscritti.

Secondo quanto dichiarato dall’Ordine, tale versione ad uso interno dell’albo sarebbe stata pubblicata sul sito web istituzionale soltanto “per poche ore nella giornata del XX”.

Successivamente, “il file cancellato dal sito web ha continuato [comunque] ad apparire nei risultati di ricerca su Google” per ragioni che non sono state appurate in maniera certa da parte dell’Ordine (“ciò può avvenire per diverse ragioni”), tanto che l’Ente, in sede di audizione, ha alluso anche alla possibilità che il file in questione sia stato consultato dalla reclamante alla data di proposizione del reclamo in quanto memorizzato nella c.d. cache del browser di navigazione utilizzato dalla stessa.

Tale ipotesi, tuttavia, non risulta supportata dalla documentazione in atti. L’Ordine ha, infatti, prodotto una schermata estratta da uno strumento online - presumibilmente messo a disposizione da Google per monitorare lo stato delle richieste di rimozione - dalla quale risulta che la richiesta di rimozione relativa a due URL specificamente riferibili al sito web istituzionale dell’Ente, tra cui quello corrispondente alla pagina “https://www.opipisa.it/...”, è stata formalizzata soltanto in data XX.

Pertanto, ancorché l’Ordine abbia dichiarato, sempre con assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, che il documento in questione era stato rimosso dal proprio sito web dopo alcune ore dalla sua pubblicazione, risulta comunque accertato che l’Ente non si è prontamente attivato al fine di impedire la consultazione online dello stesso tramite la versione memorizzata nella c.d. cache dei motori di ricerca, con la conseguenza che la versione dell’albo contenente gli indirizzi di residenza dei professionisti iscritti, ancorché non più pubblicata sul sito web istituzionale dell’Ordine, è rimasta comunque accessibile, per un esteso arco temporale, a chiunque abbia interrogato un motore di ricerca con parole chiave pertinenti.

Alla luce di tutte le considerazioni che precedono, deve concludersi che, dal XX e quantomeno fino al XX, l’Ordine ha posto in essere una diffusione online dei dati personali della reclamante e degli altri professionisti a esso iscritti, relativi all’indirizzo di residenza, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), e parr. 2 e 3, del Regolamento, nonché 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ordine, per aver trattato dati personali della reclamante e degli altri iscritti all’Ordine in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), e parr. 2 e 3, del Regolamento, nonché 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni di tutte le predette disposizioni del Regolamento e del Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, , atteso che la versione dell’albo contenete gli indirizzi di residenza non è più reperibile online, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la violazione ha riguardato dati personali relativi a un elevato numero di interessati (3606 professionisti, come emerge dalla copia dell’albo reperita online dalla reclamante e allegata al reclamo) e si è protratta per un esteso arco temporale, ovvero quantomeno dal XX al XX, ancorché, successivamente al XX, la versione dell’albo contenente gli indirizzi di residenza sia stata consultabile soltanto attraverso i motori di ricerca (art. 83, par. 2, lett. a), del Regolamento);

la violazione ha carattere colposo (art. 83, par. 2, lett. b), del Regolamento);

sebbene il trattamento non abbia riguardato dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, lo stesso, come sopra evidenziato, ha comportato la diffusione online di un’informazione comunque delicata, vale a dire l’indirizzo di residenza degli iscritti, esponendo gli stessi, oltre che al generale rischio di frode e furto di identità che può sempre conseguire dalla diffusione online di dati anagrafici, anche a potenziali rischi specifici per la loro incolumità, considerato il peculiare contesto lavorativo e professionale in cui gli stessi operano e i crescenti episodi di aggressione ai danni di professionisti sanitari (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un ente pubblico di limitate dimensioni, che opera su base provinciale, contando circa 3.600 iscritti, essendo, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

l’Ordine ha offerto una scarsa cooperazione con l’Autorità nel corso dell’istruttoria, atteso che lo stesso ha inizialmente rivendicato la liceità del trattamento e, soltanto in sede di memoria difensiva, ha, invece, imputato la violazione a un mero errore umano, con conseguente aggravio dell’azione amministrativa dell’Autorità finalizzata all’accertamento dei fatti occorsi, essendo, a tal riguardo, del tutto irrilevante che, come dichiarato dell’Ente, soltanto con l’insediamento del nuovo Consiglio Direttivo sia stato possibile effettuare delle indagini accurate in merito alle vicende oggetto di reclamo; l’Ordine ha, inoltre, insufficientemente contribuito alla ricostruzione, sotto il profilo tecnico, delle ragioni per le quali la versione dell’albo non destinata alla pubblicazione sia rimasta comunque accessibile tramite i motori di ricerca (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Ordine (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 16.000 (sedicimila) per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), e parr. 2 e 3, del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra evidenziato, la violazione si è protratta per un esteso arco temporale e ha riguardato numerosi interessati, esponendo gli stessi a potenziali rischi derivanti dalla diffusione dell’informazione relativa alla propria residenza.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Ordine delle Professioni infermieristiche di Pisa per violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. e), e parr. 2 e 3, del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

all’Ordine delle Professioni Infermieristiche di Pisa, in persona del legale rappresentante pro-tempore, con sede legale in Via P. Metastasio, 17 - 56017 San Giuliano Terme (PI), C.F. 80006830501, di pagare la somma di euro 16.000 (sedicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ordine, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 16.000 (sedicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza