Provvedimento del 26 marzo 2026 [10244097]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10244097]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 199 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

In data XX l’Autorità ha ricevuto una segnalazione con la quale è stata lamentata una presunta violazione della normativa in materia di protezione dei dati personali, relativa alla pubblicazione, in data XX, sulla pagina Facebook https://..., riconducibile all’Azienda Speciale Messina Social City (di seguito anche “Azienda” o “Azienda Speciale”) di un post “corredato da circa 24 foto di minori intenti a mangiare e divertirsi nell’ambito di una manifestazione denominata “Street Food”, in cui, nello specifico, “sono fotografati minori assistiti dal Servizio comunale di “Educativa Domiciliare” perché bisognosi di supporto per compensare deficienze educative e/o accuditive, […] oltretutto con foto non schermate”.

2. L’attività istruttoria.

Con note del XX, XX e XX, (rispettivamente, prot. nn. XX, XX e XX), l’Autorità ha richiesto informazioni all’Azienda Speciale, ai sensi dell’art. 157 del Codice, la quale ha fornito riscontro con note del XX, XX e XX (rispettivamente, prot. nn. XX, XX e XX) cui si rinvia integralmente, dichiarando, in particolare, che:

- “La pubblicazione delle immagini su Facebook […] che riguardava minori assistiti che fruivano del servizio comunale di “Educativa Domiciliare”, è […] stata preventivamente autorizzata dagli interessati, in quanto sussisteva il preventivo consenso libero, specifico, informato e inequivocabile dei genitori” (cfr. nota del XX);

- “La Messina Social City è un’Azienda speciale, […] che eroga molteplici servizi socio-assistenziali, aggregabili in due macro tipologie ovvero: servizi “standard”, assegnati con un contratto di servizio in essere con il Comune di Messina, di cui l’Azienda Speciale rappresenta vera e propria articolazione organizzativa […e] servizi “non standard”, conseguenti ad attività progettuali finanziate da vari organismi finanziatori” (cfr. nota del XX);

- “Per quanto concerne i servizi standard, […] che […] il Comune di Messina già erogava al momento della costituzione dell’organizzazione, consistono nella totalità in attività assistenziali che erano precedentemente affidate a organizzazioni “di diritto privato” attraverso lo strumento dell’evidenza pubblica […] e nelle quali è poi subentrata l’Azienda” (cfr. nota del XX);

- “ad oggi, n.q. di Titolare, in continuità con le attività precedenti, è la stessa Messina Social City a occuparsi della presa in carico degli assistiti con conseguente accettazione e “prima acquisizione” dei dati degli stessi, eccezion fatta, per una piccola entità di dati che il Comune inoltra all’Azienda in relazione ai potenziali beneficiari dei servizi, per i quali in ogni caso viene effettuata una ricognizione/riconciliazione atta a verificare l’appropriatezza dei servizi richiesti” (cfr. nota del XX);

- “Si rappresenta in ogni caso che l’Azienda ha tempestivamente provveduto alla rimozione dai social delle foto oggetto della segnalazione” (cfr. nota del XX);

- “la comunicazione delle attività svolte dalla Messina Social City […] è prevista da tutte le progettualità che finanziano […gli] interventi [dell’Azienda]. In ogni progetto […] affidato viene richiesto espressamente di prevedere attività di informazione o divulgazione dei risultati ottenuti. Tali azioni sono parte integrante degli obiettivi finanziati” (cfr. nota dell’XX);

- “La Messina Social City, in qualità di azienda speciale del Comune di Messina, è un soggetto dotato di autonomia giuridica e gestionale […ed] è l’unica titolare del trattamento dei dati personali legati ai servizi [...che offre], acquisendo in autonomia dati dei possibili beneficiari attraverso avvisi pubblici. Di contro per alcuni servizi […il] Comune di Messina provved[e] alla sola comunicazione dei potenziali beneficiari” (cfr. nota dell’XX);

- il” modulo per il trattamento dei dati personali […che] consente di raccogliere il consenso informato per le diverse finalità di trattamento necessarie all’erogazione dei servizi, inclusa, laddove pertinente, l’autorizzazione alla pubblicazione di immagini o contenuti relativi alle attività svolte” (cfr. nota dell’XX).

Infine, in riscontro alla richiesta di informazioni del XX, prot. XX, con note del XX e del XX, (rispettivamente, prot. nn. XX e XX), cui si rinvia integralmente, il Comune di Messina (di seguito, il “Comune”) e l’Azienda Speciale hanno rappresentato, in particolare, che:

- “il Comune di Messina […è] totalmente estraneo alle attività comunicative poste in essere dalla azienda speciale Messina Social City, […e che] non vi è alcun collegamento tra la gestione dei servizi socio-assistenziali erogati nel territorio comunale e delegati alla azienda speciale Messina Social City, con le condotte contestate a quest'ultima (pubblicazione sul proprio profilo Facebook di foto ritraente minorenni o altri soggetti in condizione di fragilità) e da essa realizzate in totale autonomia ed al di fuori di ogni rapporto istituzionale e/o contrattuale con il Comune di Messina” (cfr. nota del Comune, del XX);

- “il Comune di Messina ha preso conoscenza delle contestazioni soltanto a seguito delle richieste avanzate […dall’] Autorità, non essendo stato informato dall'azienda speciale né della pubblicazione delle fotografie (in quanto non inerente alcun servizio delegato), né dell'istruttoria in corso”, specificando, inoltre, che “[…] tale attività di pubblicazione delle fotografie non solo non era stata concordata, ma neppure comunicata al Comune per vagliarne l'eventuale legittimità e rispondenza alle finalità di cui al contratto di servizio” (cfr. nota del Comune, del XX);

- “le attività delegate alla Messina Social City, in forza del contratto di servizio in vigore dall'anno XX, sono ben definite e tra queste non è in alcun modo previsto lo svolgimento di quelle contestate” (cfr. nota del Comune, del XX);

- “il Comune di Messina è, quindi, del tutto estraneo a quanto avvenuto e, pertanto, appare del tutto irrilevante anche valutare eventuali ruoli di titolare e responsabile del trattamento ai sensi del RGPD ritenuto che quanto compiuto dalla azienda speciale deve addebitarsi a condotta autonoma della stessa, non comunicata, né concordata con questo Comune” (cfr. nota del Comune, del XX);

- “Così come indicato dall’articolo 4, comma 2 dello Statuto […] l’Azienda […] può “svolgere, […], tutte le attività connesse, collaterali, complementari, accessorie, conseguenti ed ausiliarie ai servizi ed alle attività istituzionali […], volte alla piena valorizzazione dei servizi socio assistenziali, […]”. Tale disposizione è ripresa testualmente nell’attuale contratto di servizio all’art. 2, comma 2, intitolato “Servizi affidati”” (cfr. nota dell’Azienda, del XX);

- “La base giuridica dell’utilizzo di Facebook per valorizzare e promuovere le attività sociali dell’Azienda è costituita dalla legge 7 giugno 2000, n. 150; e giuste Linee Guida Agid; dallo Statuto aziendale e dal contratto di servizio stipulato con il Comune” (cfr. nota dell’Azienda, del XX).

Si rappresenta inoltre che, nell’ambito delle verifiche effettuate dall’Autorità in corso d’istruttoria, alla data del XX non risultava più reperibile sulla citata pagina Facebook (https://...) il post del XX, oggetto della segnalazione, mentre risultavano pubblicati, ulteriori post di analoga natura, contenenti foto e video relativi a interessati vulnerabili, quali minorenni o persone con disabilità (cfr., a titolo esemplificativo, post datati XX, XX (due post con tale data), XX e XX, XX (due post con tale data) e XX). Alla data del successivo accertamento effettuato dall’Autorità il XX, i predetti post erano ancora consultabili.

Con riferimento alla condotta del Comune, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, ha notificato al Comune l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), cui si rinvia integralmente, il Comune ha dichiarato in particolare, che:

- “il trattamento effettuato da Social City, oltre che sul consenso […] trova la propria base giuridica nell'art. 6 lett b) e 2-ter del codice la Social City, società speciale del Comune di Messina che gestisce i servizi sociali, rientra tra i soggetti espressamente contemplati nel predetto art. 2-ter del codice”;

- “è la stessa previsione dell'art. 2-ter del codice che contempla il trattamento dei dati da parte di Social City quale titolare del trattamento dei dati nell'ambito di un’attività di interesse pubblico o per l'esercizio di pubblici poteri alla stessa attribuiti, indipendentemente da un provvedimento ex art. 28 del Regolamento da parte del Comune. Pertanto, la predetta norma del codice estende la nozione di “adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri” anche alle società pubbliche che gestiscono servizi pubblici in affidamento in house, senza che sia necessario un provvedimento ex art. 28 del Regolamento”;

- “Le previsioni […del Contratto di servizi, di cui agli artt. 5, e 9] lasciano piena autonomia alla Social City sull'organizzazione e sulle attività da svolgere per la “valorizzazione dei servizi socio assistenziali, educativi e culturali e dei beni comuni connessi”. […] Quanto operato da Social City è stato reso in totale autonomia, sia nella determinazione dei mezzi {facebook) sia nella determinazione delle modalità (pubblicazione delle foto delle iniziative già svolte)”;

- “i dati acquisiti da Social City non vengono condivisi con il Comune di Messina il quale non può accedervi. Anche la pagina facebook è gestita esclusivamente dalla Social City ed il Comune di Messina, anche volendo non può acceder [vi …] in quanto non ha alcuna credenziale di accesso. Nel caso di specie, […] il soggetto titolare del trattamento per l'obbligo in questione non può che essere Social City”;

- “Il consenso reso dagli utenti in favore di Social City, […] è in grado di legittimare l'operato della predetta Società senza che debba ritenersi necessario un provvedimento ex art. 28 del Regolamento da parte del Comune di Messina”;

- “il Regolamento […] non esclude tout court la possibilità della formazione di un consenso in tutti i rapporti intercorrenti con un'autorità pubblica, ma lo ammette tutte quelle volte in cui lo squilibrio delle posizioni non preclude la formazione di una valida scelta sulla prestazione del consenso al trattamento dei propri dati”.

Nel corso dell’audizione, tenutasi in data XX (verbale prot. n. XX, cui si rinvia integralmente) il Comune ha inoltre precisato, in particolare, che:

- “In relazione alla fattispecie in esame, concernente fatti risalenti nel tempo, la Parte evidenzia la peculiarità di quanto avvenuto, atteso che l’attività in questione concerne un’iniziativa di comunicazione effettuata dall’Azienda Speciale […] in autonomia rispetto al servizio alla stessa affidatole con il contratto di servizio. […] e consiste in un’attività peraltro scollegata dall’erogazione vera e propria dei servizi socio-assistenziali affidati”;

- “rispetto al proprio rapporto con le società partecipate e aziende speciali e i conseguenti trattamenti di dati personali affidati a queste ultime, il Comune si è attivato per porre in essere dei miglioramenti, al fine di definire con maggiore chiarezza i rispettivi ruoli in materia di protezione dei dati personali”, nonché “al fine di verificare la conformità degli adempimenti in materia di protezione dei dati personali […] anche considerando che i relativi contratti di servizio con tali soggetti sono risalenti nel tempo, anche se gli stessi prevedevano comunque il rispetto degli obblighi di legge, inclusi quelli inerenti alla normativa in materia di protezione dei dati personali, nello svolgimento delle attività effettuate”.

3. Esito dell’attività istruttoria.

3.1. La normativa applicabile in materia di protezione dei dati personali.

In via preliminare, si rappresenta che ai sensi del Regolamento, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

Si evidenzia che, al fine di considerare identificabile una persona “è opportuno considerare tutti i mezzi [di cui] un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente” (cons. 26 del Regolamento). Con “identificare” non si intende “solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216). La diffusione di immagini di persone fisiche, anche nel caso in cui il cui volto non sia visibile o sia stato preventivamente oscurato può, in taluni casi, comunque consentire l’identificazione delle stesse, allorquando taluni elementi di contesto, considerati in associazione tra di loro, riconducano a uno specifico interessato (es. abbigliamento, situazioni o elementi di contesto, etc.).

Con riferimento alla base giuridica, si evidenzia che il trattamento di dati personali da parte di soggetti pubblici o gestori dei pubblici servizi è ammesso se necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso; in particolare, l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – è ammessa solo quando sia prevista da una idonea base giuridica (art. 2-ter, commi 1 e 3, del Codice, nonché 6, par. 1, lett. c) ed e), 2 e 3 del Regolamento).

Infatti, quando il titolare del trattamento è un soggetto pubblico il consenso non costituisce, di regola, un valido fondamento giuridico per il trattamento dei dati personali (cons. 43 del Regolamento), in considerazione dell’”evidente squilibrio tra l'interessato e il titolare del trattamento”.

Per quanto concerne i trattamenti aventi ad oggetto categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento, e in particolare, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, è espressamente previsto che “non possono essere diffusi” (artt. 2-sexies e 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).

Si ricorda, infine, che il trattamento deve avvenire nel rispetto dei principi di cui all’art. 5 del Regolamento, tra cui il principio di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento).

Nell’ambito delle operazioni di trattamento dei dati personali occorre poi inquadrare correttamente i ruoli di titolare e di responsabile del trattamento. Infatti, il Regolamento, da un lato, definisce quale «titolare del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (artt. 4, n. 7, 5, par. 2, e 24 del Regolamento) e, dall’altro, quale «responsabile del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (artt. 4, n. 8 e 28 del Regolamento).

Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e ai mezzi del trattamento dei dati personali degli interessati nonché la responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.

Il ruolo del responsabile del trattamento è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse - in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” Versione 2.0, Adottate il 7 luglio 2021).

3.2. Il ruolo del Comune e dell’Azienda Speciale nel trattamento dei dati personali degli interessati.

Dal quadro conoscitivo risultante dall’attività istruttoria effettuata, comprensiva di tutti gli elementi acquisiti dal Comune e dall’Azienda Speciale, anche in occasione delle audizioni è stato accertato che il trattamento di dati personali, connesso alle iniziative di comunicazione effettuate mediante la pubblicazione di specifici post sulla pagina Facebook di cui all’URL https://..., ha riguardato varie categorie di interessati vulnerabili, tra cui minori e persone con disabilità, beneficiari dei servizi socio-assistenziali .

Ciò posto, si evidenzia preliminarmente che l’oggetto della presente istruttoria riguarda i trattamenti concernenti le iniziative di comunicazione sopra menzionate, inerenti i progetti affidati all’Azienda Speciale dal Comune e come regolati, all’epoca dei fatti, con quest’ultimo e non riguarda, più in generale, i trattamento connessi all’intera erogazione dei servizi socio-assistenziali da parte dell’Azienda Speciale.

Dagli accertamenti effettuati dall’Ufficio in data XX, i post del XX (2 post con tale data) e XX e uno dei due post del XX relativo all’evento “XX”, contenente un video in cui sono presenti fotogrammi di interessati minorenni risultano tuttora pubblicato sulla predetta pagina Facebook.

Ai fini di un corretto inquadramento della questione risulta necessario analizzare, preliminarmente, il ruolo svolto nel trattamento dei dati personali rispettivamente, dal Comune e dall’Azienda Speciale.

Al riguardo, ai fini dell’individuazione dell’effettivo titolare del trattamento, le citate Linee guida, evidenziano che “Il fatto che la titolarità del trattamento sia stata definita specificamente per legge sarà determinante per stabilire chi agisce in quanto titolare. Ciò presuppone che il legislatore abbia designato come titolare del trattamento un soggetto che è effettivamente in grado di esercitare un controllo. […]. Tuttavia, più comunemente, anziché designare direttamente il titolare del trattamento o stabilire i criteri per la sua designazione, la legge definisce un compito o impone l’obbligo di raccogliere e trattare determinati dati. In tali casi, la finalità del trattamento è spesso determinata per legge. Il titolare del trattamento è di norma il soggetto cui la legge demanda la realizzazione di tale finalità, di tale funzione pubblica. […] In tal caso, la legge stabilisce, pur se indirettamente, chi è il titolare del trattamento. […]” (Linee guida 7/2020, cit. parr. 23-24).

Ciò posto, si ritiene che il Comune debba essere qualificato titolare del trattamento (artt. 4, par. 1, n. 7, e 24 del Regolamento) per quanto concerne, in primis, i trattamenti connessi allo svolgimento delle proprie funzioni istituzionali, tra cui rientrano, per quanto rileva ai fini del caso di specie, i servizi socio-assistenziali.

Gli stessi, infatti, rientrano tra le finalità istituzionali assegnate dalla legge al Comune, e sono suscettibili di essere erogati direttamente o indirettamente anche avvalendosi di uno o più soggetti terzi. Il ruolo di questi ultimi, oltre che definito nell’ambito del contratto di affidamento del servizio, richiede anche la regolamentazione dei connessi trattamenti di dati personali, che deve essere definita e formalizzata nell’ambito di un contratto o di altro atto giuridico, ai sensi dell’art. 28 del Regolamento. Tale regolamentazione risulta necessaria indipendentemente dalla natura (pubblica o privata) del soggetto affidatario del servizio. Le citate Linee Guida, precisano che “Le due condizioni fondamentali per la qualifica di responsabile del trattamento sono: a) essere un soggetto distinto rispetto al titolare del trattamento; b) trattare i dati personali per conto del titolare del trattamento” e che, con riferimento alla prima condizione, “Un soggetto distinto significa che il titolare del trattamento decide di delegare tutte o parte delle attività di trattamento a un soggetto esterno. […]” (Linee guida 7/2020, cit. parr. 76-77).

In tale contesto, l’Azienda Speciale, soggetto distinto e dotato di autonoma personalità giuridica - “ente strumentale del Comune di Messina [che] Provvede alla gestione e alla produzione dei servizi sociali sul territorio, per soddisfare il bisogno della collettività e promuovere lo sviluppo sociale, culturale, economico e civile della comunità locale” (cfr. https:...) - agisce per conto del Comune, e risulta pertanto inquadrabile come responsabile del trattamento ai sensi degli artt. 4, par. 1, n. 8, e 28, del Regolamento.

È il Comune stesso, infatti, che ha in concreto incaricato l’Azienda Speciale di erogare, per proprio conto, il complesso dei servizi socio-assistenziali - di natura permanente e continuativa (c.d. servizi “standard”) - che “il Comune […] già erogava al momento della costituzione dell’organizzazione” dell’Azienda Speciale, con ciò definendo i mezzi essenziali del trattamento, selezionando il soggetto terzo a cui affidare la gestione delle attività assistenziali (“precedentemente affidate a organizzazioni “di diritto privato” attraverso lo strumento dell’evidenza pubblica”) e fornendo istruzioni – come di seguito specificato - in merito al livello di qualità atteso nell’erogazione dei servizi mediante i due contratti di servizio stipulati, rispettivamente, il XX e il XX (di seguito i “Contratti di servizio”). Tali Contratti di servizio, infatti, hanno lo scopo di “disciplinare i rapporti tra il Comune di Messina e [l’] Azienda […] relativamente: - alla gestione dei servizi affidati dal Comune di Messina e ai connessi aspetti giuridici amministrativi e finanziari” – alla gestione dei servizi oggetto di programmazione nel Piano di Zona del DSS26 laddove affidati dal Distretto medesimo” (cfr. contratto di servizio sottoscritto in data XX, pp. 3 e 4, in atti).

Per quanto attiene, invece, ai servizi “non standard” (così definiti in quanto attinenti ad attività socio-assistenziali da svolgere sulla base di specifici progetti e finanziamenti attinenti a una o più annualità) – anche oggetto delle attività di comunicazione in esame - deve evidenziarsi che anche questi ultimi risultano riconducibili alla titolarità del Comune. Ciò in quanto sono erogati nell’interesse e per conto dello stesso, posto che fanno riferimento a diversi progetti e iniziative di cui il Comune stesso risulta capofila o promotore, attribuendone l’attuazione in affidamento diretto all’Azienda Speciale (cfr. progetto “XX” per le annualità XX-XX e XX-XX conferito con Determinazioni n. XX del XX e n. XX del XX, il progetto “XX”, di cui alle Determinazioni n. XX XX e seguenti, nonché le iniziative svolte nell’ambito del calendario di eventi natalizi del Comune, inerenti all’evento “XX” XX/XX, di cui alla Determinazione n. XX del XX; a tali fini, si veda anche quanto indicato nel documento reperibile al link in https://...).

Pertanto, non possono condividersi le argomentazioni avanzate dal Comune in merito al fatto che “è la stessa previsione dell'art. 2-ter del codice che contempla il trattamento dei dati da parte di Social City quale titolare del trattamento dei dati nell'ambito di un’attività di interesse pubblico o per l'esercizio di pubblici poteri alla stessa attribuiti, indipendentemente da un provvedimento ex art. 28 del Regolamento da parte del Comune. Pertanto, la predetta norma del codice […] estende[ndo] la nozione di “adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri” anche alle società pubbliche che gestiscono servizi pubblici in affidamento in house, senza che sia necessario un provvedimento ex art. 28 del Regolamento”. Ciò in quanto il fondamento dell’erogazione dei servizi socio-assistenziali da parte dell’Azienda Speciale deriva dai Contratti di servizio per quanto attiene ai servizi “standard” e dagli specifici atti di affidamento per quelli “non standard”, stipulati tra il Comune - al quale la legge assegna tali compiti istituzionali - e l’Azienda Speciale, alla quale ne è demandata la gestione dal Comune stesso.

Occorre considerare inoltre la legittima aspettativa degli interessati in merito alla riconducibilità al Comune dei servizi offerti, e conseguentemente dei relativi trattamenti di dati personali, posto che, come accertato dall’Autorità in data XX, sul sito dello stesso sono riportati gli avvisi e le informazioni sui servizi socio-assistenziali erogati dall’Azienda Speciale, tra i quali il supporto e assistenza scolastica ed extrascolastica agli alunni con disabilità della scuola dell’infanzia e della scuola primaria del territorio cittadino, (https://...), il servizio di trasporto scolastico (https://...), servizi d’informazione, accoglienza, accompagnamento, ascolto e orientamento sui diritti di cittadinanza (social counselling, https://...), centri estivi per disabili (Polo Blu – Summer Village, https://..., https://...), attività ricreative e sportive per minori nel periodo estivo (https://...), nonché tutte le informazioni sulle numerose iniziative in ambito sociale, formativo e culturale organizzate dal Comune con la partecipazione dell’Azienda Speciale e altre istituzioni pubbliche interessate, anche afferenti ai cosiddetti servizi “non standard”, quali ad esempio il progetto “XX” (cfr. https://...). La pubblicizzazione sul sito istituzionale del Comune dei servizi socio-assistenziali – sia di natura “standard” che “non standard” - rafforza nell’utente la legittima aspettativa che i predetti servizi siano erogati dal Comune – sebbene affidandone l’attuazione ad un soggetto terzo, quale è la propria società partecipata - e che, conseguentemente, il Comune sia il titolare dei relativi trattamenti. A tal riguardo, occorre ricordare che le Linee guida 7/2020 citate, precisano che “Poiché l’obiettivo di fondo nell’attribuzione del ruolo di titolare del trattamento è garantire il rispetto del principio di responsabilizzazione e una protezione efficace e completa dei dati personali, il concetto di «titolare del trattamento» dovrebbe essere interpretato in modo sufficientemente estensivo, favorendo il più possibile una tutela efficace e completa degli interessati, […] evitare lacune e prevenire elusioni potenziali delle norme, senza sminuire, al contempo, il ruolo del responsabile del trattamento” (punto 14).

In tale contesto deve rilevarsi, altresì, che le predette iniziative di comunicazione sui canali dell’Azienda Speciale, sono connesse all’attività istituzionale di natura socio assistenziale svolta dal Comune , sia per le immagini pubblicate nei predetti post (es. presenza del Sindaco di Messina nei post relativi al Servizio educativa domiciliare del XX e al progetto “XX” dell’XX) che per il contenuto degli stessi (es. rimando al Comune di Messina nei post relativi alle iniziative dell’evento “XX”).

Sotto altro profilo, non può condividersi l’inquadramento dell’Azienda Speciale quale titolare sul presupposto che il Comune sarebbe estraneo al trattamento sotteso alle predette iniziative di comunicazione in quanto l’“attività di raccolta e diffusione di fotografie non rientrava in alcuno dei compiti demandati” e che “Le previsioni […del Contratto di servizi, di cui agli artt. 5, e 9] lasciano piena autonomia alla Social City sull'organizzazione e sulle attività da svolgere per la “valorizzazione dei servizi socio assistenziali, educativi e culturali e dei beni comuni connessi” […non essendo] previsto che tale società debba avere una pagina facebook o che debba pubblicizzare le iniziative svolte mediante la pubblicazione di fotografie che ritraggono i soggetti beneficiari […]”.

Al riguardo, si osserva che le attività di comunicazione non possono ritenersi estranee a quelle indicate nel Contratto di servizio, prevedendo che “L’Azienda potrà svolgere […] tutte le attività connesse, collaterali, complementari, accessorie, conseguenti ed ausiliarie ai servizi ed alle attività istituzionali […indicati nel Contratto], volte alla piena valorizzazione dei servizi socio assistenziali, educativi e culturali e dei beni comuni connessi, nonché porre in essere tutte quelle operazioni ritenute necessarie per il conseguimento dei propri scopi sociali”. È proprio il Contratto di servizio che legittima l’Azienda Speciale allo svolgimento di tutte quelle attività connesse ai servizi di natura socio-assistenziale affidati, anche ai fini della piena valorizzazione degli stessi. Dalle previsioni contrattuali citate si rileva, infatti che l’Azienda Speciale, più che determinare mezzi e finalità del trattamento, debba individuare le concrete modalità con cui eseguire i trattamenti di dati personali connessi alle iniziative di comunicazione. Sul punto, si ricorda che anche le Linee Guida 7/2020 prevedono che “[…] se un titolare incarica un responsabile del trattamento di effettuare il trattamento per suo conto, ciò significa spesso che il responsabile del trattamento è in grado di adottare autonomamente determinate decisioni sulle modalità di effettuazione del trattamento in oggetto […] riconosce[ndosi] la sussistenza di un certo margine di manovra affinché anche il responsabile del trattamento possa prendere decisioni in relazione al trattamento” e che la titolarità non è esclusa anche nel caso in cui si riscontrino “decisioni […] che possono essere lasciate a discrezione del responsabile del trattamento […quali] i mezzi non essenziali [che] possono essere determinati anche dal responsabile del trattamento, […e che] riguardano aspetti più pratici legati all’esecuzione del trattamento” (Linee guida 7/2020, cit., parr. 37, 39 e 40).

Non possono, pertanto, condividersi le affermazioni dell’Azienda Speciale e del Comune, in merito al fatto che quest’ultimo non possa qualificarsi come titolare del trattamento in quanto non effettua direttamente i trattamenti dei dati personali degli interessati (beneficiari dei servizi socio-assistenziali), sul presupposto che ““il Comune non svolge alcun ruolo in merito agli stessi” e che “ al termine del progetto vengono trasmessi unicamente dati aggregati in merito al numero dei beneficiari fruitori dei diversi servizi socio-assistenziali” considerando, invece, l’Azienda Speciale, come “l’unica titolare del trattamento dei dati personali legati ai servizi [...che offre], acquisendo in autonomia dati dei possibili beneficiari attraverso avvisi pubblici […e che] per alcuni servizi gli uffici propri del Dipartimento dei Servizi alle persone e alle imprese del Comune di Messina provvedono alla sola comunicazione dei potenziali beneficiari”. Al riguardo, “Non è necessario che il titolare abbia effettivamente accesso ai dati oggetto del trattamento. Un soggetto che esternalizzi un’attività di trattamento e in tal modo eserciti un’influenza determinante sulla finalità e sui mezzi (essenziali) del trattamento stesso (ad esempio configurando i parametri di un servizio in modo tale da definire quali dati personali debbano essere trattati) è da ritenersi il titolare del trattamento anche se non avrà mai accesso effettivo ai dati” (Linee guida 7/2020, cit. par. 45).

Sulla base degli elementi sopra riportati, deve quindi ritenersi che, contrariamente a quanto sostenuto dal Comune e dall’Azienda Speciale, le operazioni sopra descritte, diano luogo a un trattamento di dati personali effettuato dall’Azienda per conto e nell’interesse del Comune, e dunque in qualità di responsabile del trattamento.

3.3. La diffusione online di dati personali e categorie particolari di dati e l’omessa regolamentazione del rapporto tra il Comune e l’Azienda Speciale.

Ciò posto, per quanto attiene alla diffusione dei dati personali degli interessati beneficiari dei servizi socio-assistenziali comunali, mediante la pubblicazione dei post oggetto di istruttoria sulla pagina Facebook https://..., si evidenzia che il riferimento alla legge 7 giugno 2000, n. 150, indicata dall’Azienda Speciale quale condizione di liceità del trattamento, non può ritenersi una base giuridica adeguata nel caso di specie, posto che la predetta normativa prevede che tutte le attività di informazione e comunicazione debbano essere effettuate “Nel rispetto delle norme vigenti in tema di […] tutela della riservatezza dei dati personali” (cfr. art. 1, comma 4 della legge 150/2000) e che tale base giuridica, contrariamente a quanto richiesto dall’art. 6, par. 3, del Regolamento non specifica “le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati e le finalità per cui i dati sono comunicati” nonché gli ulteriori elementi e presupposti previsti dalla disposizione del Regolamento citata.

In aggiunta, considerato che, in via generale, il trattamento di dati personali deve in ogni caso essere “necessario” rispetto alla lecita finalità perseguita (art. 6, par. 1 del Regolamento), e dato che, nel caso in esame, le finalità di informazione e comunicazione - volte a “promuovere la socialità, favorire il benessere collettivo e garantire una partecipazione democratica della comunità […e] ad incoraggiare una partecipazione attiva e consapevole […]” - potevano essere, comunque, efficacemente perseguite senza il trattamento di dati personali (a maggior ragione quando tali dati sono relativi ai beneficiari, soggetti vulnerabili, quali minori o persone con disabilità), la diffusione delle immagini di questi ultimi sul profilo Facebook dell’Azienda risulta effettuata in assenza di una base giuridica adeguata, ponendo in essere un trattamento non necessario rispetto alla finalità perseguita (artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e) del Regolamento). Ciò anche tenendo conto della capacità diffusiva – e dunque, potenzialmente altamente lesiva per gli interessati – dei cd. social network, quale è la piattaforma utilizzata nel caso in esame. A tal riguardo, occorre considerare, per quanto concerne le immagini relative a minori, che tale categoria di interessati in considerazione della loro particolare “vulnerabilità”, merita una specifica protezione allorquando siano trattati loro dati personali, stante la mancata o ridotta consapevolezza in merito ai rischi, alle conseguenze, nonché ai loro diritti in relazione al trattamento dei dati (cfr. cons. 38 e 75 del Regolamento). In particolare, la diffusione online delle immagini di minori può esporre gli stessi a rischi significativi risultando necessario, pertanto, ponderare attentamente i rischi per la libertà e i diritti degli interessati, anche con riferimento al superiore interesse del minore, giacché, una volta pubblicati, i dati rischiano di rimanere in rete per un tempo indefinito, anche considerando gli elevati rischi connessi alla maggiore esposizione delle immagini sul web e della riutilizzabilità delle stesse da parte di terzi, anche per possibili fini illeciti o reati a danno di minori (cfr., da ultimo, provv. del 23 ottobre 2025, n. 627, doc. web n. 10195910, dell'11 settembre 2025, n. 483, doc. web n. 10177128 e del 10 luglio 2025, n. 410, doc. web n. 10162731).

Analoghe considerazioni devono essere svolte in relazione alla diffusione di immagini concernenti soggetti che, seppur maggiorenni, si trovino in condizioni di particolare “vulnerabilità” – come in alcuni casi di disabilità – e che necessitano, pertanto, di specifica protezione allorquando siano trattati loro dati personali, stante la mancata o ridotta consapevolezza in merito ai rischi derivanti dall’utilizzo di piattaforme di condivisione di contenuti online. Come già evidenziato, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (artt. 4, par. 1, n. 15, e 9, nonché considerando 35 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento). Sul punto, si ricorda inoltre che è il Regolamento stesso ad attribuire rilievo alla considerazione dei “rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, [che] possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: […] se sono trattati […] dati relativi alla salute […]; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori (considerando 75 del Regolamento).

Per completezza, si ricorda che anche la normativa statale in materia di pubblicità e trasparenza prevede che “Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […]”e che, in ogni caso, “È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti […], qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, commi 2-4, del d. lgs. n. 33 del 14 marzo 2013). Si evidenzia inoltre che l’Autorità ha definito un quadro unitario di misure e accorgimenti che, in particolare, i soggetti pubblici sono tenuti ad applicare in occasione di attività di diffusione di dati personali online, fornendo specifiche indicazioni – tuttora valide - con il provvedimento generale n. 243 del 15 maggio 2014, recante le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436).

In secondo luogo, non possono ritenersi condivisibili i riferimenti al consenso e al contratto (art. 6, par. 1, lett. a) e b), del Regolamento), quali eventuali ulteriori presupposti di liceità del trattamento.

Il consenso, infatti, non può costituire un valido presupposto di liceità quando sussista un ”evidente squilibrio tra l'interessato e il titolare del trattamento” (cons. 43 del Regolamento), specie quando quest’ultimo sia un soggetto che agisce nell’esecuzione di un “compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par.1, lett. e) del Regolamento). In ogni caso, la previsione del consenso richiesto agli utenti per i trattamenti connessi alla fruizione dei servizi – come si evince dalla nota dell’XX dell’Azienda Speciale ove è precisato che la ”Azienda predispone per ciascun beneficiario dei propri servizi uno specifico modulo per il trattamento dei dati personali […che] consente di raccogliere il consenso informato per le diverse finalità di trattamento necessarie all’erogazione dei servizi, inclusa, laddove pertinente, l’autorizzazione alla pubblicazione di immagini o contenuti relativi alle attività svolte” - contrasta con quanto previsto dal Regolamento, che richiede la prestazione del consenso attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile consentendo il trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 4, par. 1, n. 11), 5, 6, par. 1, lett. a) e 7 del Regolamento; si veda, altresì, quanto previsto nelle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020) (al riguardo, si veda, in particolare, quanto recentemente affermato dal Garante nel citato provvedimento del 10 luglio 2025, n. 410, doc. web n. 10162731, i cui principi risultano applicabili anche al caso di specie). A tal riguardo, si evidenzia che le citate condizioni di validità del consenso, e in particolare il requisito della granularità, non risulterebbero comunque soddisfatte dalla generica previsione riportata nel modulo messo a disposizione degli interessati, nel quale è riportato che “Per quanto riguarda l’acquisizione di materiale fotografico e/o video durante l’esecuzione di attività programmate all’interno dei […] servizi strutturali, domiciliari, territoriali, ecc. può verificarsi con esclusiva volontà di documentare la riuscita ed eventuale ampia partecipazione delle attività, inserire del materiale foto e/o video (immagini e/o video che non devono assolutamente in alcun modo ledere l’immagine personale ed il decoro di nessuno) su piattaforme social quali WhatsApp e Facebook previo esplicito consenso […]” (modulo rev. XX del XX, in atti). Gli interessati possono apporre un'unica firma, senza avere la possibilità di decidere se esprimere o meno il consenso al trattamento in relazione a specifiche e distinte operazioni e finalità di trattamento (comunicazione delle immagini ad altri soggetti mediante canali Whatsapp, diffusione online delle immagini).

Con riferimento, inoltre, alla diffusione online di immagini concernenti interessati minorenni, occorre in ogni caso rilevare che neppure l’eventuale consenso degli esercenti la responsabilità genitoriale – essendo sempre richiesto da parte di entrambi, nei casi in cui la predetta diffusione sia ammissibile può considerarsi, per le ragioni sopra esposte, condizione legittimante il trattamento di cui si discute (cfr. provvedimento del Garante n. 681 del 13 novembre 2024, , doc. web n. 10076481, e la giurisprudenza ivi richiamata). Il potere-dovere i di prestare o negare il consenso al trattamento dei dati personali del minore, infatti, incontra il limite del perseguimento del superiore interesse del minore medesimo, certamente non ravvisabile nel caso in esame, in cui la pubblicazione delle immagini è stata ricondotta al perseguimento delle citate finalità di informazione e comunicazione. Non corrisponde, infatti, al superiore interesse del minore che fotografie che lo ritraggono in momenti ludici o di svago siano pubblicate su piattaforme ad accesso incondizionato o su canali WhatsApp allo scopo di promuovere le attività effettuate, seppure di natura istituzionale (e non commerciale).

Per tali motivi, la diffusione delle immagini relative ai soggetti beneficiari degli interventi sul profilo Facebook https://..., e in particolare, delle immagini relative a soggetti vulnerabili, di cui al post del XX oggetto della segnalazione, nonché delle immagini, di cui ai post del XX, 10 (2 post con tale data), XX e XX e XX (2 post con tale data), e XX (alcuni dei quali ancora reperibili), risulta effettuata in assenza di una adeguata base giuridica, in violazione degli artt. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) e 2-ter del Codice, e, per quanto riguarda le particolari categorie di dati personali, degli artt. 9 del Regolamento e 2-sexies e 2-septies, comma 8 del Codice, nonché in violazione del principio di liceità, correttezza e trasparenza del trattamento previsto dall’ art. 5, par. 1, lett. a), del Regolamento.
Sotto diverso ma connesso profilo, si rappresenta che la disciplina in materia di protezione dei dati richiede, come detto, una regolamentazione del rapporto tra il titolare e il responsabile, mediante contratto o altro atto giuridico in forma scritta, ai sensi dell’art. 28 del Regolamento (v. anche considerando 81 e art. 4, punto 8), del Regolamento), che, nel vincolare il responsabile al titolare, rechi, tra le altre cose, anche l’indicazione della “materia disciplinata” (ossia l’oggetto del trattamento, che “deve essere formulato con specifiche sufficienti affinché […] sia chiaro” - cfr. Linee guida 07/2020 citate), del “tipo di dati personali” e delle “categorie di interessati” nonché delle necessarie istruzioni documentate in merito al trattamento (art. 28, parr. 3 e 9, del Regolamento).

Si ricorda, inoltre, che con riguardo ai soggetti pubblici, l’art. 6, par. 1, lett. c) ed e), del Regolamento, ammette il trattamento se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” ovvero “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” e legittima, quindi, il solo titolare, e non altri soggetti, a trattare dati personali per tali finalità.

Tali soggetti, sebbene svolgano attività istituzionali per conto e nell’interesse del titolare (nel caso in esame, sulla base di un contratto di servizio o di affidamento), con riguardo ai dati personali, possono essere legittimati al trattamento solo in virtù dell’accordo previsto dall’art. 28 del Regolamento, che ne costituisce il presupposto di liceità. A tal proposito “[…] un rapporto titolare-responsabile del trattamento potrebbe sussistere anche in assenza di un accordo di trattamento per iscritto. Ciò implicherebbe, tuttavia, una violazione dell’articolo 28, paragrafo 3, del GDPR. Inoltre, in determinate circostanze, l’assenza di una definizione chiara del rapporto tra il titolare e il responsabile del trattamento può comportare il problema della mancanza di una base giuridica su cui qualsivoglia trattamento dovrebbe basarsi, ad esempio in merito alla comunicazione dei dati tra il titolare e il presunto responsabile del trattamento” (nota 42 delle citate Linee guida 07/2020).

Tale regolamentazione, come risulta dalle dichiarazioni e dalla documentazione prodotta in sede istruttoria, non risulta essere stata effettuata, né per i trattamenti inerenti all’erogazione dei servizi “standard” né per quelli “non standard”. Al riguardo, l’Azienda Speciale ha espressamente dichiarato che “non verrà trasmesso l’accordo ex art. 28 del Regolamento UE 2016/679 […], tra l’Azienda e il Comune, perché un tale “accordo” non è mai stato stipulato […]“ (cfr. riscontro del XX, p. 1).

Inoltre, nei Contratti di servizio è previsto unicamente che “L’Azienda Speciale, nello svolgimento delle attività affidate, si obbliga […] e). ad osservare gli obblighi in materia di trasparenza […], nonché, in materia protezione dati personale in applicazione del D.lgs. n. 196/2003, come modificato dal D.lgs. 10 agosto 2018 n. 101, […]” e “f) nominare il Responsabile della protezione dati in attuazione del Regolamento U.E. n. 679 del 27/4/2016 e delle eventuali disposizioni dell’ordinamento nazionale in merito” (cfr. art. 9 del contratto di servizio sottoscritto in data XX, così come modificato con delibera del Consiglio Comunale n. XX del XX e art. 10 del contratto di servizio sottoscritto in data XX).

Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’”articolo 28, paragrafo 3, del [Regolamento] e, considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo competente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (par. 103 delle citate Linee guida 07/2020).

Alla luce del quadro sopra richiamato, con riferimento alla fattispecie in esame, si ritiene che il Comune di Messina, titolare del trattamento dei dati trattati dall’Azienda Speciale, ente strumentale del Comune al quale è affidata da quest’ultimo la gestione di molteplici servizi socio-assistenziali (standard e non standard) di competenza dello stesso, avendo omesso di stipulare un accordo sulla protezione dei dati personali con la predetta Azienda Speciale, responsabile del trattamento, abbia agito in violazione dell’art. 28, par. 3, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), 9 e 28, par. 3, del Regolamento, nonché 2-ter, 2-sexies e 2-septies, comma 8 del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che alcuni dei post oggetto di istruttoria risultano tuttora pubblicati sulla pagina Facebook dell’Azienda Speciale (https://...), si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune, in osservanza degli obblighi di vigilanza di cui all’art. 28, par. 1, del Regolamento, di verificare l’avvenuta cancellazione da parte dell’Azienda Speciale dei post del 10 (2 post con tale data) e XX e uno dei due post del XX relativo all’evento “XX”, nonché in altri eventuali post aventi contenuto analogo, anche pubblicati in data successiva.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i, e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, tenuto conto che la diffusione online di dati personali di soggetti vulnerabili, quali minori e persone con disabilità, sulla pagina Facebook riconducibile all’Azienda Speciale, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in considerazione del fatto che la pubblicazione dei post contenenti i suddetti dati personali è stata effettuata con l’intento di fornire aggiornamenti rispetto ai progetti e/o alle iniziative socio-assistenziali effettuate), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie le violazioni di cui agli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter, 2-sexies e 2-septies, comma 8, del Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare la specifica natura del trattamento – concernente la diffusione di dati personali mediante una pagina Facebook, pubblicamente accessibile – nonché il fatto che la violazione abbia riguardato dati inerenti a interessati vulnerabili.

Per quanto concerne l’elemento soggettivo, deve considerarsi il carattere colposo della violazione, avendo il Comune agito nell’erroneo convincimento della sussistenza di un’autonoma titolarità in capo all’Azienda Speciale nonché di un presupposto di liceità, individuato nel consenso (art. 83, par. 2, lett. b) del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal Comune non sia da considerarsi alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, ai fini della quantificazione della sanzione, si ritiene che debba essere presa in considerazione, in senso favorevole al Comune, il grado di cooperazione con l’Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, avendo lo stesso rappresentato di essersi attivato per migliorare i rapporti contrattuali con le proprie aziende partecipate, al fine di definire con maggiore chiarezza i rispettivi ruoli in materia di protezione dei dati personali (art. 83, par. 2, lett. f), del Regolamento); deve tenersi conto, altresì, in senso favorevole, del particolare contesto di riferimento, essendo i trattamenti in questione stati effettuati nell’ambito di iniziative volta a garantire maggiori benefici agli interessati, in un contesto di erogazione di prestazioni socio-assistenziali agli stessi e nell’ottica di porre in essere strategie di comunicazione tese a sensibilizzare in modo esteso la popolazione in merito alle predette iniziative e avendo, altresì, il Comune rappresentato che è in corso una procedura di riequilibrio economico – finanziario (art. 83, par. 2, lett. k), del Regolamento). Deve, invece, considerarsi in senso sfavorevole, che risulta una precedente violazione pertinente commessa dal Comune (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000,00 (cinquemila/00) per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e) 9 e 28, par. 3, del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, data la particolare capacità diffusiva dello strumento di pubblicazione utilizzato (social network), la delicatezza dei dati oggetto di pubblicazione, e la vulnerabilità degli interessati (minorenni o affetti da disabilità) i cui dati sono stati pubblicati nei post oggetto di istruttoria.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Messina, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), 9 e 28, par. 3, del Regolamento, nonché 2-ter, 2-sexies e 2-septies, comma 8 del Codice

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Messina, con sede in Piazza Unione Europea, 98122 Messina (ME), Codice Fiscale: 00080270838, di pagare la complessiva somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Messina:

- di pagare la complessiva somma di euro 5.000,00 (cinquemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a verificare, in osservanza degli obblighi di vigilanza di cui all’art. 28, par. 1, del Regolamento, l’avvenuta cancellazione da parte dell’Azienda Speciale dei post del 10 (2 post con tale data) e XX e uno dei due post del XX relativo all’evento “XX”, nonché in altri eventuali post aventi contenuto analogo, anche pubblicati in data successiva;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

-ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10244097

Data
26/03/26

Argomenti

Pubblicazioni online Enti locali Comuni

Tipologie

Ordinanza ingiunzione o revoca

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

I miei diritti

Imprese ed enti

Servizi online

Podcast

GGpdp5SearchToggleBar

Menù di navigazione

Provvedimento del 26 marzo 2026 [10244097]

g-docweb-display Portlet