Provvedimento dell'11 settembre 2025 [10177237]
Provvedimento dell'11 settembre 2025 [10177237]
Condividi[doc. web n. 10177237]
Provvedimento dell'11 settembre 2025
Registro dei provvedimenti
n. 485 dell'11 settembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione
Con reclamo il sig. XX, dipendente del Ministero dell’Interno- Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile - Comando provinciale di Firenze (di seguito “Ministero”) tramite il proprio avvocato, ha lamentato la circolazione, all’interno di un canale social “creato per la comunicazione per e tra i Vigili del Fuoco del Comando Ufficio Provinciale di Firenze” di dati personali a sé riferiti.
In particolare ha rappresentato che in data XX “venivano pubblicate alcune immagini […] rappresentative di un indice o elenco […] inviato e leggibile a tutti gli aderenti al canale (circa 260 membri)”, in cui erano riportati il nome e il cognome degli interessati, la data in cui era stata inviata la raccomandata di sollecito per regolarizzare l'obbligo vaccinale, il numero di dosi effettuate dal singolo, e, nella parte delle annotazioni, l'indicazione sullo stato di salute, sulla durata del green pass e sulla presenza di eventuali esenzioni.
Come emerso nel corso dell’istruttoria il predetto canale social media era stato istituto “durante il periodo della pandemia” con disposizione di servizio n. XX del XX, e ancora oggi in uso (v. nota in atti del Comando dei Vigili del Fuoco di Firenze, prot. n.XX del XX).
2. L’attività istruttoria.
In riscontro alle richieste di informazioni dell’Autorità (v. nota prot. n. XX del XX e nota prot. n. XX del XX) con note del XX (prot. n. XX) e del XX (prot. n. XX), il Ministero ha dichiarato, in particolare, che:
“il file erroneamente oggetto di pubblicazione sul canale social [del Comando provinciale di Firenze] ed i dati personali in esso contenuti, sono stati raccolti al fine di adempiere alle indicazioni contenute nella circolare XX n. XX dell’XX […] con la quale si dava attuazione alle disposizioni contenute nel decreto-legge 26 novembre 2021, n. 172”;
“al fine di dare attuazione alle disposizioni impartite e rispettare le tempistiche previste nella circolare, è stato creato un apposito foglio di lavoro che riepilogava, in formato tabellare, per ciascun dipendente assente per uno dei motivi indicati dalla circolare o sprovvisto di valido green-pass, la situazione dello stesso (es. la data notifica a mano o di notifica avvenuta per compiuta giacenza, i termini di scadenza per i vari adempimenti, la data invio documento di prenotazione della vaccinazione etc.): tale file consentiva all’amministrazione di monitorare il rispetto degli adempimenti previsti dalla normativa ed, eventualmente, procedere tempestivamente alla sospensione del soggetto risultante inadempiente dell’obbligo vaccinale”;
“sulla base di tale prospetto, infatti, l’Ufficio Risorse Umane del Comando provvedeva alla registrazione delle assenze per sospensione sull’apposito programma ministeriale […], utilizzando le causali appropriate come richiesto dalla circolare in argomento”;
“il foglio di lavoro elettronico riepilogava le posizioni di ciascun dipendente non vaccinato e, pertanto, oltre ai nominativi, recava una serie di informazioni, quali: date prenotazioni del vaccino, eventuali comunicazioni ostative e quant’altro. […] Tale elenco risulta riportare le posizioni di numero 67 dipendenti”;
"si ribadisce che i dati sensibili erano trattati unicamente dal medico competente del Comando, mentre erano gestiti dagli uffici interessati i soli dati necessari per la gestione del cartellino del dipendente e la corretta registrazione delle assenze e/o l’adozione dei provvedimenti di sospensione dal servizio (es: la data di inizio e fine malattia per COVID-19 era un dato indispensabile per inserire correttamente l’apposita causale, considerando che le malattie per Covid non comportavano una decurtazione stipendiale e, allo stesso tempo, determinavano la non necessità del rispetto dell’obbligo vaccinale e rientravano tra la “documentazione attestante l’insussistenza dei presupposti per l’obbligo vaccinale” […] e, per consentire la composizione delle squadre al fine di garantire il servizio di soccorso tecnico urgente”;
“la pubblicazione sul canale social del Comando è avvenuta in modo del tutto accidentale da parte di un collaboratore addetto anche all’Ufficio Segreteria del Comando. Il dipendente, infatti, avendo aperto sul computer di servizio il programma Telegram per la pubblicazione degli ordini del giorno e disposizioni di servizio, ha inavvertitamente inserito e pubblicato il documento riportante i dati di alcuni dipendenti relativi al rispetto dell’obbligo vaccinale”;
“peraltro, occorre precisare che, seppur in genere in questo canale siano pubblicati unicamente ordini del giorno e disposizioni del Comando, nel caso di specie il file non era nominato né come ordine del giorno né come disposizione di servizio, a riprova del fatto che si è trattato di una mera distrazione da parte di un dipendente”;
“si evidenzia inoltre che il “gruppo” creato sul canale Telegram non era aperto a tutto il personale ma solo ad un numero limitato di esso: le comunicazioni ivi veicolate, dunque, non venivano portate a conoscenza di una generalità indifferenziata di soggetti. Tanto si riferisce poiché all’epoca dei fatti il trattamento in questione fu organizzato insieme ad altri fattori relativi al contesto generale del trattamento dati”;
“avvedutasi prontamente dell’accaduto, il dipendente ha immediatamente proceduto a rimuovere il file allegato dal canale Telegram in questione. Nella nota del Comando VVF di Firenze n. XX del XX, […] infatti, risulta che il file in questione sia rimasto disponibile sul canale solo per un tempo di circa 5 minuti (dunque non “pubblicato” o aperto a tutti i dipendenti), durante i quali non si esclude, tuttavia, che esso possa essere stato letto, aperto, o scaricato da altri soggetti”.
Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Ministero, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato numerosi dati personali inseriti in un “foglio di lavoro” associati al nominativo di circa 60 dipendenti riguardanti informazioni relative allo stato vaccinale e alle causali di assenza di ognuno e successivamente messi accidentalmente a disposizione sul canale social del Comando di Firenze, presso cui tali lavoratori prestano la propria attività lavorativa, utilizzato, come detto, esclusivamente per comunicazioni di servizio, in assenza di una idonea base giuridica, in violazione degli artt.5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n.XX) il Ministero, che non ha chiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:
“si riferisce essersi trattato di incidente sulla sicurezza che ha coinvolto dati di tipo comune (qualifica del personale, turno di appartenenza) e dati di tipo sanitario di cui all’art. 9 GDPR 679/2016 (inerenti al possesso del Green Pass, le relative calendarizzazioni dei vaccini, la casistica di esclusione dall’obbligo vaccinale) trattati durante il periodo emergenziale conseguente la pandemia da COVID 19 ai fini del controllo sul possesso del Green Pass”;
“su un totale di 700 unità di personale in forza al Comando di Firenze all’epoca dei fatti il file in questione conteneva unicamente 58 nominativi (è stato analizzato nello specifico il numero esatto) […]. Si evidenzia, inoltre, un ulteriore elemento che concorre a determinare in termini quantitativi l’evento. Il canale Telegram in questione conteneva, infatti, solo 260 contatti […]. Anche riguardo tale ultimo numero occorre effettuare una corretta quantificazione dal momento che il personale del CNVVF è suddiviso in 4 turni di servizio il che comporta che il numero dei presenti nel canale deve essere ulteriormente ridotto; i 260 iscritti, infatti, vanno suddivisi per il numero dei turni, il che comporta che la comunicazione è intervenuta a sole 65 unità”;
“altro elemento che ha concorso a ridurre l’entità della violazione è da individuare nel brevissimo lasso di tempo durante il quale il file è stato veicolato sul canale Telegram. Come specificato, il personale dipendente si è avveduto prontamente dell’errore di caricamento file ed ha immediatamente eliminato dal canale il documento che, dunque, è stato visibile per circa 5 minuti. In tal senso è ragionevole pensare che non tutti gli utenti presenti in quel momento hanno avuto modo di avere contezza il documento”;
riguardo alla base giuridica del trattamento è stato rappresentato che “la norma di cui all’art. 2 del citato decreto 172/2021 nell’imporre precisi obblighi di verifica ai dirigenti responsabili precisa che : i responsabili delle strutture… assicurano il rispetto dell'obbligo… ed ancora ….I soggetti di cui al comma 2 verificano immediatamente l'adempimento dell'obbligo vaccinale di cui al comma 1 acquisendo le informazioni necessarie “anche” secondo le modalità definite con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52”;
“la norma impone l’obbligo di acquisire informazioni e di farlo “anche” secondo le modalità definite con il DPR 52/2021. Con il termine ANCHE si voleva, cioè, indicare che le informazioni potevano trovare modalità di acquisizione ulteriori rispetto a quelle definite come standards”;
“la necessità di organizzare il trattamento, presso il Comando VF di Firenze, con dati ultronei rispetto a quelli standardizzati di tipo Booleano nasceva tuttavia dal presupposto di legge (DL 172/2021) che non solo non escludeva ulteriori modalità di acquisizione delle informazioni necessarie, ma fondava l’obbligo di “acquisire informazioni” al fine di consentire l’applicazione della norma sul Green Pass per categorie particolari di dipendenti pubblici, fra cui il personale del CNVVF, caratterizzato da specificità di attività e di impiego”;
“il quadro normativo di settore dell’epoca era dunque caratterizzato da obblighi di raccolta informazioni da effettuarsi con diverse modalità non tutte standardizzate, e la relativa disciplina stabiliva limiti e condizioni per la verifica dell’adempimento da parte dei lavoratori interessati, regolando molteplici aspetti fra cui: le modalità di comprova, i casi in cui la vaccinazione del personale poteva essere o differita; le conseguenze (anche relative al rapporto di lavoro) in caso di mancata sottoposizione alla vaccinazione”;
“quanto alla fonte di tali informazioni, […] il foglio di lavoro fa riferimento solo ad informazioni già presenti nelle banche dati del personale utilizzate per la normale gestione, fornite di idonee misure di sicurezza ed utilizzate unicamente da personale a ciò deputato. Non informazioni, dunque, acquisite “aliunde”, ma dati già in possesso dei Comandi VF per la ordinaria gestione del personale. In particolare, si precisa che il Comando VF Firenze provvedeva a verificare il rispetto dell’obbligo vaccinale tramite sistemi automatizzati, avvalendosi dei soggetti appositamente incaricati dei controlli, utilizzando la piattaforma disponibile su Noipa, come risulta dalla nota di conferimento incarico ai verificatori n. prot. XX del XX”;
“una serie di doveri […] imponevano un “facere” al dirigente e […] richiedevano l’adozione di banche dati riportanti tutti gli elementi necessari per interpolare le informazioni e adottare i provvedimenti del caso senza rischiare di contravvenire al principale degli obblighi posto dal primo articolo della norma “la prosecuzione delle iniziative di carattere straordinario e urgente intraprese al fine di fronteggiare adeguatamente possibili situazioni di pregiudizio per la collettività”. Si tenga a riguardo conto del fatto che gli obblighi posti in capo al dirigente erano a loro volta sanzionati in caso di mancato adempimento”;
“tra i documenti […] relativi all’“attestazione relativa all’omissione o al differimento della [vaccinazione]” rientrava, ad esempio, anche l’insorgenza di una malattia, anche diversa dal COVID-19, che giustificava il differimento dell’obbligo vaccinale; mentre, tra la “[…] documentazione attestante l’insussistenza dei presupposti per l’obbligo vaccinale”, comprendeva l’aver contratto la malattia COVID-19, in quanto consentiva al dipendente di ottenere l’esenzione dalla somministrazione della dose di vaccino per un periodo di 180 giorni, dovendo comunque prenotare la successiva dose vaccinale. Pertanto, anche la patologia era rilevante ai fini della verifica del rispetto dell’obbligo vaccinale e dell’adozione del successivo provvedimento di sospensione dal servizio”;
“la pubblicazione del file di lavoro contenente dati relativi a dipendenti su un canale social del Comando, è avvenuta in modo del tutto accidentale, per un tempo limitatissimo, e per un numero di interessati ridotto rispetto all’entità numerica del personale in forza al Comando VF di Firenze. L’accadimento non poteva che avere natura accidentale, da momento che per sua stessa natura non poteva esservi alcuna prefigurazione dolosa (dolo specifico) degli scopi da perseguire con la pubblicazione del file”;
“immediatamente dopo l’evento è stata inoltre disposta la protezione del foglio di lavoro mediante password che di fatto ha reso non leggibile il contenuto a soggetti non autorizzati. Il file, inoltre, non era statico e veniva aggiornato con cadenza pressoché giornaliera per cui l’incidente si è determinato su dati che già il giorno successivo potevano essere vetusti ed inutilizzabili rendendo vane le eventuali interpolazioni ed utilizzi da parte di terzi su dati superati”.
3. Esito dell’attività istruttoria.
3.1 La liceità del trattamento.
Con specifico riferimento al trattamento dei dati personali nell’ambito del rapporto di lavoro, si evidenzia che il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), nonché art. 9, par.2, lett. g) del Regolamento e 2-ter e 2 -sexies del Codice). Sotto altro profilo, il datore di lavoro può trattare i dati personali dei lavoratori se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, regolamenti e dalla normativa di settore (artt. 6, paragrafo 1, lett. c), 9, paragrafo 2, lett. b) e 4; 88 del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo al ricorre delle condizioni previste dall’art. 2-ter, commi 1, 1-bis, 2 e 4, par. 1, lett. a), del Codice.
Il datore di lavoro, quale titolare del trattamento, è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati (artt. 5 e 25 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).
3.2. La comunicazione di dati personali dei dipendenti.
All’esito dell’attività istruttoria è emerso che, nell’ambito degli adempimenti finalizzati alla verifica degli obblighi vaccinali del personale in servizio il Ministero, Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile, Comando provinciale dei Vigili del fuoco di Firenze, ha creato un “foglio di lavoro” che riportava diverse informazioni su circa 60 lavoratori anche con riferimento a dati relativi alla salute degli stessi. In particolare dalla documentazione in atti è emerso che, oltre al nome e al cognome di ciascun interessato, erano indicati la data in cui era stata inviata la raccomandata di sollecito per regolarizzare l'obbligo vaccinale, il numero di dosi effettuate da ciascuno, nonché specifiche ulteriori annotazioni di dettaglio quali: lo stato di salute di alcuni di essi o comunque l’indicazione specifica delle causali di assenza dal servizio in determinati periodi (malattia, malattia Covid, malattia per infortunio, congedo parentale, ferie etc.). Il predetto “foglio di lavoro”, inoltre, è stato pubblicato in data XX, seppure per alcuni minuti (circa 5), sul canale social del predetto Comando mettendo a disposizione dei lavoratori che avevano accesso al canale social (circa 260) tali delicate informazioni, compreso lo stato vaccinale, riferite ad alcuni colleghi, in assenza di una idonea base giuridica, in violazione degli artt.5 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.
Preliminarmente si rappresenta che, come noto, il decreto legge 26 novembre 2021, n. 172, (“Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali”) aveva introdotto l’art. 4-ter nel decreto-legge n. 44 del 2021 prevedendo, con decorrenza 15 dicembre 2021 e come già previsto per il personale medico, che la vaccinazione anti-SARS-CoV-2 avrebbe costituto “requisito essenziale per lo svolgimento delle attività lavorative”, anche per altre categorie di lavoratori (quali, tra gli altri, il personale del comparto difesa, sicurezza e soccorso pubblico), mantenendo per tali categorie di lavoratori l’obbligo della vaccinazione fino al 15 giugno 2022 (v. art.4-ter.1 comma 1 lett. b) del d.l. 44/2021, così come modificato dall’art.8 comma 4 del d.l. n.24 del 24 marzo 2022). Come chiarito dal Garante con il parere del 13 dicembre 2021 (doc. web n. 9727220) sebbene, anche nel periodo emergenziale, il datore di lavoro non fosse di regola legittimato a trattare i dati personali relativi alla vaccinazione anti-SARS-CoV-2 dei dipendenti, tale limite non ricorreva tuttavia con riguardo a quelle categorie di lavoratori per i quali, come in questo caso, il legislatore nazionale aveva stabilito specifici requisiti professionali ritenuti essenziali per accedere e per svolgere determinate attività lavorative.
Il predetto quadro normativo - allo stato non più in vigore per effetto di successivi interventi normativi (v. da ultimo, d.l. 31 ottobre 2022, n.162) - a differenza di quanto sostenuto dal Ministero, aveva disciplinato, tra gli altri, le modalità, anche automatizzate, di verifica dell’adempimento del predetto obbligo da parte dei datori di lavoro, nonché specifiche garanzie a tutela dei diritti e delle libertà degli interessati ritenute appropriate per assicurare che il trattamento fosse proporzionato rispetto all’obiettivo di interesse pubblico perseguito, avuto riguardo alle specifiche esigenze di sanità pubblica e di sicurezza dei luoghi di lavoro. Il decreto e i relativi allegati descrivevano le operazioni e le modalità di trattamento, specificando, in particolare, il ruolo assunto dai soggetti a vario titolo coinvolti nelle verifiche.
Il legislatore aveva, quindi, introdotto un complesso sistema di verifica del requisito professionale per tali categorie di lavoratori, che coinvolgeva diversi soggetti istituzionali, e prevedeva flussi di dati tra di essi, nonché le conseguenze, anche in termini di sospensione dall’esercizio della professione e dall’eventuale rapporto di lavoro, per il lavoratore sprovvisto del predetto requisito. I trattamenti di dati personali necessari alle verifiche del predetto requisito professionale, pertanto, dovevano essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste da tale cornice legislativa di riferimento che ne costituiva la base giuridica e perimetrava, in modo uniforme a livello nazionale, l’ambito del trattamento consentito a ciascuno dei predetti soggetti.
Con specifico riguardo alle modalità automatizzate di verifica, effettuate mediante funzionalità messe a disposizione del Ministero della salute e specifiche funzionalità del Portale istituzionale INPS (o della Piattaforma NoiPA, ove disponibile), era infatti assicurata l’interazione con la Piattaforma nazionale-DGC del Ministero della Salute. Tali funzionalità consentivano ai datori di lavoro di effettuare le predette verifiche in relazione ai lavoratori effettivamente in servizio mostrando l’informazione di tipo booleano relativa al rispetto dell’obbligo vaccinale (semaforo verde: lavoratore vaccinato o esente; semaforo rosso: lavoratore non vaccinato). In ogni caso, non venivano rese disponibili ai soggetti che effettuavano le verifiche del rispetto dell’obbligo vaccinale dei lavoratori le ulteriori informazioni conservate, o comunque trattate, nell'ambito della PN-DGC (cfr. provv. 13 dicembre 2021 sopra richiamato; v. anche comunicato stampa del 14 dicembre 2021, doc. web n. 9727103).
A tale complessivo quadro giuridico - che aveva definito l’ambito del trattamento consentito per la predetta finalità - dovevano necessariamente fare riferimento ed essere conformi anche eventuali atti organizzativi, circolari o note interne, recanti indicazioni operative in merito allo svolgimento delle verifiche.
Sotto diverso ma connesso profilo si ricorda che come da tempo chiarito dal Garante con provvedimenti a carattere generale e decisioni su singoli casi, le amministrazioni devono adottare le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali da parte di terzi o soggetti diversi dal destinatario al fine di evitare la indebita circolazione di informazioni personali - nel caso di specie riguardanti informazioni particolarmente delicate come, tra le altre, lo stato vaccinale del lavoratore - non solo verso l’esterno, ma anche all’interno dei contesti lavorativi in capo a soggetti non autorizzati (cfr. punto 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161 e in www.garanteprivacy.it, doc. web n. 1417809).
I dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, infatti, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento; ciò anche con riferimento alla corretta gestione delle comunicazioni tra uffici del personale nel contesto emergenziale. Diversamente, nessuna violazione della disciplina di protezione dei dati personali può essere riscontrata nelle ipotesi in cui i soggetti, cui fanno capo specifiche mansioni, vengano a conoscenza di dati personali degli interessati, quando sia necessario per lo svolgimento delle funzioni loro attribuite. A tali principi è stata data applicazione dal Garante con orientamento consolidato in numerosi casi concreti (cfr., tra i tanti, provv.ti 27 febbraio 2025, n. 101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; del 30 gennaio 2025, n.35 doc web 10112709; del 30 gennaio 2025, n. 36, doc. web n. 10112750; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).
Ciò in quanto, come confermato dal Garante, anche la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, per il ruolo svolto e le funzioni esercitate, non possono essere considerati “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento, nonché art. 2-quaterdecies del Codice), può dare luogo a una comunicazione di dati personali in assenza di base giuridica.
Tanto premesso, con riguardo al caso di specie, risulta che il Ministero - Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile, Comando provinciale di Firenze - sebbene per sole esigenze organizzative connesse alla “ prosecuzione delle iniziative di carattere straordinario e urgente intraprese al fine di fronteggiare adeguatamente possibili situazioni di pregiudizio per la collettività “ – abbia creato un “foglio di lavoro” contenente numerose e delicate informazioni anche con riferimento a dati relativi alla salute dei lavoratori quali lo stato vaccinale di ognuno, disattendendo quanto più volte indicato dal Garante nel periodo emergenziale. Il Garante, infatti, aveva reiteratamente invitato i titolari, anche qualora operassero in qualità di datori di lavoro, a non intraprendere iniziative autonome che prevedessero la raccolta di dati, anche sulla salute, che non fossero normativamente previste o disposte dagli organi competenti.
Tale indicazione era stata recepita nella circolare “XX n. XX” dell’XX del Capo del Corpo Nazionale dei Vigili del Fuoco che richiamava “l’attenzione sulla delicatezza della tipologia dei controlli e sulla necessità di rispettare scrupolosamente le disposizioni vigenti in materia di trattazione dei dati sensibili”.
Tanto più che successivamente tale “foglio di lavoro”, come detto contenente una quantità di delicate informazioni relative a numerosi dipendenti, è stato messo a disposizione da un “collaboratore addetto anche all’Ufficio Segreteria del Comando”, pertanto svolgente funzioni di segreteria, seppure per alcuni minuti (circa 5), sul canale social del predetto Comando.
A riprova che tale foglio di lavoro fosse a disposizione di soggetti che, anche se facenti parte dell’organizzazione del predetto Comando, non fossero specificatamente autorizzati al trattamento dei dati in esso contenuti, si riporta quanto dichiarato dal Ministero in merito al fatto che solo “immediatamente dopo l’evento [avrebbe disposto] la protezione del foglio di lavoro mediante password che di fatto ha reso non leggibile il contenuto a soggetti non autorizzati”.
Pertanto, impregiudicata la necessità per l’Ufficio Risorse Umane di conoscere le informazioni riferite ai propri dipendenti con riferimento all’indicazione specifica delle causali di assenza dal servizio in determinati periodi (malattia, malattia Covid, malattia per infortunio, congedo parentale, ferie etc.), si deve ritenere che la creazione del predetto “foglio di lavoro” e la messa a disposizione dello stesso sul canale social del Comando, ha determinato una comunicazione di dati, anche relativi alla salute, riferiti a numerosi dipendenti e allo stesso tempo ha reso gli stessi vicendevolmente edotti dello stato vaccinale di ognuno.
Alla luce delle considerazioni che precedono, il Ministero dell’Interno - Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile - Comando provinciale di Firenze ha dato corso, pur ritenendo per errore di adottare la soluzione preferibile nel contesto di riferimento, alla raccolta e alla comunicazione di dati personali, anche relativi alla salute, in modo ingiustificato, in favore di soggetti che non erano autorizzati a trattarli, in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Ministero dell’Interno - Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile, Comando provinciale di Firenze, per aver posto in essere un trattamento di dati personali di circa 60 lavoratori contenuti nel “foglio di lavoro” che riportava diverse informazioni anche con riferimento a dati relativi alla salute degli stessi e successivamente messi a disposizione sul canale social del predetto Comando rendendo edotti i lavoratori che avevano accesso al canale social (circa 260) di tali delicate informazioni compreso il relativo stato vaccinale, in assenza di una idonea base giuridica, in violazione degli artt.5 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, tenuto conto delle assicurazioni fornite dal Ministero in merito alle misure organizzative successivamente adottate, finalizzate ad evitare che simili situazioni possano verificarsi in futuro, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
con specifico riguardo alla natura, alla gravità e alla durata della violazione occorre evidenziare che la raccolta di tali dati è avvenuta in riferimento a circa 60 interessati e, ancorché per un errore umano, è stata effettuata la messa a disposizione sul canale social del Comando provinciale di Firenze a cui avevano accesso circa 260 dipendenti (art. 83, par. 2, lett. a), del Regolamento);
con specifico riguardo al profilo soggettivo la violazione è stata effettuata al solo scopo organizzativo, per un errore di valutazione da parte di una singola articolazione del Ministero (Comando provinciale dei Vigili del Fuoco di Firenze) (art. 83, par. 2, lett. b), del Regolamento);
il trattamento ha riguardato anche dati appartenenti alle categorie particolari di cui l’art. 9 del Regolamento, in particolare, con riferimento all’avvenuta vaccinazione in quanto prestazione sanitaria (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:
il Ministero ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
risultano precedenti violazioni di alcune disposizioni del Regolamento e del Codice, ancorché in un contesto di trattamento dei dati differente (cfr. art. 83, par. 2, lett. e), del Regolamento);
la violazione è avvenuta in un periodo caratterizzato da numerose difficoltà sul piano organizzativo, anche con particolare riferimento alle attività proprie del Corpo dei Vigili del Fuoco, connesse alle problematiche del periodo emergenziale caratterizzato dalla diffusione del virus Sars-Cov 2 (art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che sono state comunicate delicate informazioni di circa 60 lavoratori che hanno comportato la circolazione, sul posto di lavoro, anche di dati personali relativi a categorie particolari tra cui lo stato vaccinale.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Ministero dell’Interno - Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile per la violazione degli artt. 5,6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, nei termini di cui in motivazione;
ORDINA
al Ministero dell’Interno - Dipartimento dei Vigili del Fuoco, del Soccorso Pubblico e della Difesa Civile, in persona del legale rappresentante pro-tempore, con sede legale in Roma, Piazza del Viminale, n.1 - 00184, C.F. 97149560589, di pagare la somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
Al predetto Ministero in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 12.000,00 (dodicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 settembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Fanizza
