Provvedimento del 23 giugno 2025 [10161361]
Provvedimento del 23 giugno 2025 [10161361]
Condividi[doc. web n. 10161361]
Provvedimento del 23 giugno 2025
Registro dei provvedimenti
n. 361 del 23 giugno 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore l’avv. Guido Scorza;
PREMESSO
1. Introduzione
Questa Autorità ha aperto un’istruttoria nei confronti del Comune di XX con riferimento al reclamo presentato dall’ex consigliere comunale XX (di seguito “reclamante”).
In particolare, il reclamante ha rappresentato di essere stato consigliere comunale e di essersi dimesso dall’incarico istituzionale, ma che, ciò nonostante, fossero ancora diffusi online, sul sito web istituzionale del predetto Comune i propri dati personali, compreso il curriculum.
Dall’istruttoria preliminare effettuata da questo Dipartimento è emerso che sul sito web istituzionale del Comune, nella sezione «Amministrazione trasparente», presente in homepage, è possibile visualizzare nell’area «Organizzazione»/«Titolari di incarichi politici, di amministrazione, di direzione o di governo»/«Consiglio comunale» i dati personali del reclamante, compresi i seguenti documenti:
1) curriculum presente all’url:
https://...
2) Dichiarazione di insussistenza di cause di inconferibilità e incompatibilità del reclamante con lo svolgimento dell’incarico di amministratore locale, contenente dati personali, fra cui nominativo, data e luogo di nascita, residenza, domicilio e sottoscrizione autografa, presente all’url:
3) https://...
Il reclamante ha rappresentato, che prima della presentazione del reclamo al Garante, ha esercitato i diritti in materia di protezione dei dati personali, per sé e gli altri consiglieri dimissionari, inviando apposita istanza al Comune, chiedendo la cancellazione dei dati.
A ciò si aggiunge che nel corso dell’istruttoria è stata verificata l’area denominata «Informativa privacy» presente nell’home page del sito web istituzionale, con particolare riferimento ai dati del «Data Protection Officer» che risulta essere XX, ossia un soggetto diverso da quello che era stato comunicato dal Comune al Garante con nota prot. n. XX del XX – ai sensi dell’art. 37, par. 7, del RGPD – tramite l’apposita procedura web presente sul sito di questa Autorità.
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» nei casi previsti dall’art. 2-ter, commi 1 e 3, del Codice, nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (in corso di aggiornamento, ma ancora attuale nella parte sostanziale).
Inoltre, in relazione agli obblighi riguardanti la designazione del Responsabile della protezione dei dati (RPD), la disciplina europea in materia di protezione dei dati prevede che il «titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo» (art. 37, par. 7, RGPD). Tale comunicazione deve essere effettuata seguendo l’apposita procedura indicata sul sito istituzionale del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/.
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
Dalla documentazione in atti è emerso che il reclamante è stato eletto consigliere comunale in data XX e che ha presentato le dimissioni dalla carica in data XX.
In relazione alla diffusione online dei dati personali contestata dal reclamante, il Comune di XX, con nota prot. n. XX del XX, ha riscontrato la richiesta di informazioni dell’Ufficio e ha giustificato la propria condotta richiamando la necessità di rispettare gli obblighi di pubblicazione online in materia di trasparenza previsti dall’art. 14 del d. lgs. n. 33/2013.
Al riguardo, tuttavia, con nota prot. n. XX del XX l’Ufficio ha rappresentato al Comune che, ai sensi della disciplina statale in materia di trasparenza citata, le pp.aa. hanno l’obbligo di pubblicare – con riferimento ai consiglieri comunali in quanto titolari di incarichi politici – i documenti indicati nell’art. 14, comma 1, del d. lgs. n. 33/2013 e di mantenerli online per il periodo di «tre anni successivi dalla cessazione del mandato o dell'incarico dei soggetti […]» anche se dimissionari (cfr. FAQ ANAC n. 5.13 in materia di trasparenza sull’applicazione del d. lgs. n. 33/2013).
L’Ufficio ha fatto però presente al Comune che, fra i documenti oggetto di pubblicazione obbligatoria ai sensi della citata disciplina è compreso il curriculum vitae del consigliere, ma non anche la dichiarazione dell’insussistenza di cause di inconferibilità e incompatibilità, che risultava invece pubblicata online in forma integrale e con dati in ogni caso eccedenti come l’indicazione della residenza, del domicilio e della sottoscrizione autografa del consigliere.
Pertanto, dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con la citata nota prot. n. XX ha accertato che il Comune di XX – diffondendo i dati e le informazioni personali contenuti nella dichiarazione dell’insussistenza di cause di inconferibilità e incompatibilità presentata al tempo dal reclamante in qualità di consigliere comunale e non comunicando la variazione dei dati del RPD al Garante – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’ente a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive.
Il Comune di XX, con la nota prot. n. XX dell’XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
Nello specifico, in ordine alla contestata pubblicazione della dichiarazione dell’insussistenza di cause di inconferibilità e incompatibilità del consigliere reclamante, l’amministrazione ha evidenziato, fra l’altro, che:
- «stando all’art. 20, c. 1 e 2, d.lgs. 39/2013, i consiglieri comunali eletti, all’atto del conferimento dell’incarico, devono presentare una dichiarazione sull’insussistenza di una delle cause di inconferibilità o incompatibilità previste dal medesimo decreto. La stessa norma (art. 20, d.lgs. 39/2013), al terzo comma, specifica che le predette dichiarazioni devono essere pubblicate sul sito della pubblica amministrazione che ha conferito l'incarico»;
- «A tal proposito, l’ANAC ha ribadito che “le amministrazioni e gli enti a cui è resa la dichiarazione, ai sensi dell’art. 20, comma 3, del d.lgs. n. 39/2013, sono tenuti a pubblicarla nella sezione del sito istituzionale denominata “Amministrazione Trasparente”. La dichiarazione […] deve essere consultabile attraverso un link inserito sul sito dell’amministrazione o dell’ente cha ha conferito l’incarico”»;
- «Da quanto sopra, pertanto, deriva l’obbligo di pubblicare sul sito dell’amministrazione la dichiarazione di inconferibilità e incompatibilità rispetto all’assunzione di incarichi presso le pubbliche amministrazioni, tra i quali, ovviamente, quello di consigliere comunale. Pertanto, è certamente legittima la pubblicazione della dichiarazione di incompatibilità [del reclamante]»;
- «Quanto invece alla mancata tempestiva comunicazione della variazione dei dati di contatto del Responsabile della Protezione dei Dati (RPD) è stato aggiunto che […] Sul punto, in realtà, non si può che ammettere la mancanza, causata banalmente da un errore umano. Preme però specificare che a seguito della rilevazione da parte del Garante della mancata comunicazione della variazione dei dati di contatto del RPD designato dal Comune, quest’ultimo si è prontamente attivato in tal senso. Infatti, già alla data del XX, l’amministrazione provvedeva alla predetta comunicazione attraverso il sito dell’Autorità Garante per la Protezione dei Dati Personali»;
- «l’aver mancato nella comunicazione dei dati di contatto del Responsabile della Protezione dei Dati, in ogni caso, non ha inciso negativamente sulla possibilità che l’Autorità contattasse il RPD in modo facile e diretto»;
- «Rispetto alla asserita diffusione sul web dei dati personali […], si ribadisce che il Comune di XX ha provveduto alla cancellazione del documento intitolato “Dichiarazione Incompatibilità XX”».
- «l’amministrazione comunale organizzerà un corso di formazione in materia di protezione dei dati personali da sottoporre ai soggetti deputati alla gestione della sezione “Amministrazione Trasparente” del sito e ai propri dipendenti, anche allo scopo di sensibilizzare sul tema ed evitare futuri errori».
5. Valutazioni del Garante
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nella dichiarazione dell’insussistenza di cause di inconferibilità e incompatibilità presentata al tempo dal reclamante in qualità di consigliere comunale, pubblicati online.
La citata dichiarazione riportava in chiaro oltre il nominativo del consigliere, anche la data e il luogo di nascita, l’indirizzo di residenza e di domicilio, nonché la firma autografa.
Il Comune ha giustificato la propria condotta con la necessità di dover dare applicazione all’art. 20 del d. lgs. n. 39 dell’8/4/2013, che prevede l’obbligo di pubblicare nel sito della pubblica amministrazione le dichiarazioni sulla insussistenza di cause di inconferibilità o di incompatibilità previste dal predetto decreto (commi 1-3).
La ricostruzione offerta dall’Ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio.
Al riguardo, occorre infatti evidenziare che l’art. 20 del d. lgs. n. 39/2013, richiamato dal Comune per giustificare la diffusione dei descritti dati personali dell’ex consigliere, non è applicabile al caso in esame.
Ciò in quanto gli obblighi di pubblicazione ivi previsti si riferiscono unicamente alle dichiarazioni che devono presentare i soggetti chiamati a ricoprire gli incarichi amministrativi, dirigenziali, di vertice e di direzione elencati nel d. lgs. n. 39/2013, fra cui non rientrano i consiglieri comunali.
Tale interpretazione è confermata dall’ANAC laddove ha evidenziato che «scopo del d.lgs. n. 39/2013 è la tutela dell’indipendenza delle cariche amministrative da indebite influenze provenienti dalla politica o da interessi privatistici e che, pertanto, la normativa individua situazioni di incompatibilità/inconferibilità dei soli incarichi amministrativi. In nessun modo possono desumersi dal testo normativo in esame conseguenze decadenziali rispetto a cariche politiche, che non possono essere messe in discussione in virtù delle norme sopra richiamate» (Delibera n. 1007 del 23/10/2019, in https://www.anticorruzione.it/-/delibera-numero-1007-del-23-ottobre-2019).
Per tale motivo, si ritiene che l’art. 20 del d. lgs. n. 39/2013 – contrariamente a quanto sostenuto dal Comune – non possa costituire un’idonea base giuridica per giustificare la diffusione di dati personali online del reclamante contenuti nella dichiarazione dell’insussistenza di cause di inconferibilità e incompatibilità, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. A ciò si aggiunge che, in ogni caso, l’indicazione delle ulteriori informazioni riguardanti la data e il luogo di nascita, l’indirizzo di residenza e di domicilio, nonché la firma autografa dell’allora consigliere comunale, risulta contraria al principio di minimizzazione, in quanto i dati risultano eccedenti e non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, RGPD)
Quanto all’ulteriore questione, emersa nel corso dell’istruttoria, riguardante l’indicazione nell’informativa privacy, presente nell’home page del sito web istituzionale del Comune di XX, di un Responsabile della protezione dei dati (RPD) diverso da quello che era stato comunicato al Garante – ai sensi dell’art. 37, par. 7, del RGPD – con nota prot. n. XX del XX, l’ente ha ammesso «la mancata tempestiva comunicazione della variazione dei dati di contatto del Responsabile della Protezione dei Dati (RPD)» a questa Autorità. Tuttavia, al riguardo, è stato rappresento che tale condotta è stata «causata banalmente da un errore umano» e che la situazione è stata sanata provvedendo a effettuare la corretta comunicazione al Garante, che risulta effettivamente avvenuta e acquisita al prot. n. XX del XX.
6. Esito dell’istruttoria relativa al reclamo presentato
Le circostanze evidenziate riportate negli scritti difensivi del Comune di XX, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva che la condotta tenuta dal Comune di XX non è stata conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto il predetto Comune
1. ha diffuso i dati personali del reclamante (nominativo, data e luogo di nascita, residenza, domicilio e sottoscrizione autografa) contenuti nel documento intitolato «Dichiarazione Incompatibilità », pubblicato online:
a) in assenza di un’idonea base giuridica, in violazione delle disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice; negli artt. 7-bis, comma 3, e 14, comma 1, del d. lgs. n. 33/2013; nell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
b) in violazione del principio di «minimizzazione» dei dati, che non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;
2. non ha effettuato tempestivamente (ma solo a seguito della contestazione di questa Autorità) la comunicazione obbligatoria al Garante della variazione dei dati di contatto del Responsabile della Protezione dei Dati (RPD) designato dal Comune, in violazione dell’art. 37, par. 7, del RGPD.
Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso in esame, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che:
- il Comune di XX è un ente di piccole dimensioni con poco più di 400 abitanti e un numero estremamente esiguo di dipendenti;
- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi;
- la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali – considerato quanto dichiarato dal Comune – deriva dalla convinzione di dover pubblicare i documenti oggetto di contestazione ai sensi dell’art. 20 del d. lgs. n. 39/2013 (secondo un’ampia interpretazione del principio di trasparenza) e risulta quindi essere di natura evidentemente colposa;
- la predetta condotta ha coinvolto nel caso in esame un numero esiguo di soggetti interessati (il reclamante e altri due consiglieri comunali) di cui sono stati diffusi dati comuni non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD);
- il titolare del trattamento ha dichiarato che la condotta è cessata, provvedendo a eliminare dal sito web i dati personali contenuti della dichiarazione pubblicata online e a comunicare al Garante la variazione dei dati di contatto del RPD;
- nel riscontro al Garante sono state, inoltre descritte alcune misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD;
- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente;
- in relazione alla mancata comunicazione al Garante dell’aggiornamento dei dati di contatto del RPD – come in effetti rappresentato dal Comune – è stato in ogni caso possibile contattare il RPD in modo facile e diretto in quanto i dati erano correttamente pubblicati sul sito web istituzionale.
Le circostanze del caso concreto inducono pertanto a qualificare la presente fattispecie come «violazione minore», ai sensi del cons. 148, dell’art. 83, par. 2, del RGPD e delle «Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679», adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche cons. 148 del RGPD).
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità della condotta e del trattamento effettuato dal Comune di XX, in persona del legale rappresentante pro-tempore, con sede legale in XX – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD
AMMONISCE
il Comune di XX per aver violato gli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 37, par. 7, del RGPD nonché l’art. 2-ter, commi 1 e 3, del Codice
DISPONE
l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 23 giugno 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE REGGENTE
Filippi
