[doc. web n. 10210489]

Provvedimenti del 27 novembre 2025

Registro dei provvedimenti
n. 703 del 27 novembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, la XX, dipendente del Comune di Pogliano Milanese e all’epoca dei fatti in comando presso la Prefettura XX, ha lamentato una presunta violazione della normativa in materia di protezione dei dati personali con riguardo alla divulgazione a soggetti terzi di informazioni riguardanti taluni accertamenti svolti dall’ANAC in merito al suo pregresso operato.  

In particolare, in base a quanto rappresentato nel reclamo, a fronte dell’invio, da parte della reclamante, di una nota di sollecito del pagamento di incentivi per talune prestazioni rese in favore del Comune, quest’ultimo, in data XX, ha trasmesso il riscontro anche al protocollo della Prefettura del XX, ivi esplicitando la circostanza che il XX era stata inoltrata ad ANAC una verifica sul suo operato, ritenuto dal Segretario Comunale, nella sua funzione di responsabile dell’anticorruzione, passibile di rilievi, in tal modo mettendo la reclamante nella condizione di dover giustificare alla predetta amministrazione le responsabilità ipotizzate a suo carico.

2. L’attività istruttoria.

In merito ai fatti lamentati, nell’ambito dell’istruttoria, il Comune di Pogliano Milanese, con nota del XX, ha rappresentato in particolare che:

- “la richiesta-sollecito avanzata dalla [… reclamante] in data XX […] è stata intestata dall'interessata come "XX - Funzionario Amministrativo - PREFETTURA XX - Ufficio di Gabinetto - XX - tel. […]” e “contiene diverse espressioni 'imperative' […] e 'direttive'”;  tali circostanze, “associate al fatto che la [… reclamante] non facesse, nella sua nota di sollecito, alcun riferimento a recapiti privati ma intendesse qualificarsi esplicitamente come Funzionario di quella Prefettura, […] ha evidentemente fatto propendere gli Uffici a destinare la nota di risposta all'interessata presso il domicilio PEC riferibile all'interessata presso la Prefettura XX”;

- “la comunicazione contestata faceva riferimento esclusivamente alla intervenuta necessità di investire l'Autorità Anticorruzione (ANAC) circa i contenuti del sollecito del XX senza, in alcun modo, entrare nel merito né formulare valutazioni o giudizi circa l'operato della dipendente ma esclusivamente segnalando che la mancata liquidazione era da imputare ad un'esigenza di approfondimento tecnico (che, fino ad allora, non aveva neanche dato un esito e che, pertanto, era in un limbo di indeterminatezza). Si trattava, dunque, di una comunicazione interlocutoria che rassicurava circa la presa in carico del sollecito, subordinandolo agli esiti di una valutazione di cui non erano ancora conoscibili gli esiti (positivi o negativi) e, pertanto, si trattava di informazioni del tutto inidonee a circoscrivere colpe, accuse, etc. o a formare un dato che si potesse qualificare come tale, come invece ipotizzato dalla dipendente, né tantomeno riferire alcunché di personale attribuibile alla [… reclamante]”;

- “si è ritenuto dunque che la Prefettura assumesse la veste di soggetto formalmente autorizzato dalla stessa interessata a ricevere le informazioni richieste (come espresso nel testo in qualità di "autorità sovraordinata" e, pertanto, garante del procedimento amministrativo di liquidazione degli incentivi tecnici avviato con l'istanza (vista anche l'integrazione funzionale-organizzativa sulle poste stipendiali tra i due Enti formalizzata con il comando dato alla [… reclamante])”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune di Pogliano Milanese, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato dati personali della reclamante in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e 2-ter del Codice; con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, il Comune ha presentato una memoria difensiva, fornendo ulteriori e specifici elementi, anche di contesto, relativamente alla vicenda oggetto di reclamo, che, secondo il Comune medesimo, deporrebbero “per una qualificazione del fatto occorso come ‘colpa lievissima’”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX, il Comune ha dichiarato, in particolare, di aver “trasmesso al proprio personale una circolare interna per sensibilizzare i dipendenti in ordine al rispetto della normativa in materia di protezione dei dati personali con riguardo all’invio di comunicazioni contenenti dati personali”.

3. Esito dell’attività istruttoria.

All'esito dell’attività istruttoria, risulta accertato in particolare che, nel far seguito ad un sollecito di pagamento trasmesso dalla reclamante mediante la propria casella PEC, in data XX, il Comune di Pogliano Milanese ha inviato il proprio riscontro, oltre che all’interessata, anche all’indirizzo PEC della Prefettura XX, presso cui la stessa risultava all’epoca dei fatti in comando, facendo ivi riferimento ad una pregressa segnalazione trasmessa ad ANAC il XX in ordine all’operato assunto dalla reclamante in tale specifico contesto.

Al riguardo, si osserva preliminarmente che, in generale, la disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter e 2-sexies, comma 1 del Codice).

Il titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).

In tale quadro, si fa presente che, come da tempo chiarito dal Garante con provvedimenti a carattere generale e decisioni su singoli casi, le amministrazioni devono adottare le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali da parte di terzi o soggetti diversi dal destinatario, in particolare ricorrendo a “forme di comunicazione individualizzata con il lavoratore” (cfr. punto 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161 e in www.garanteprivacy.it, doc. web n. 1417809).

I  dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, infatti, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento.

Ciò anche nel peculiare caso del lavoratore che svolga la propria attività lavorativa in comando presso altra amministrazione (art. 56 del d.P.R. 10 gennaio 1957, n. 3 - Testo unico delle disposizioni concernenti lo statuto degli impiegati civili dello Stato).

Diversamente, come tradizionalmente affermato dal Garante, nessuna violazione della disciplina di protezione dei dati personali può essere riscontrata nelle ipotesi in cui i soggetti, cui fanno capo specifici compiti e poteri nonché prerogative o mansioni, vengano a conoscenza dei dati personali degli interessati, quando, alla luce della specifica disciplina applicabile e tenuto conto delle misure adottate sul piano organizzativo e tecnico, ciò risulti in concreto necessario per lo svolgimento delle funzioni loro attribuite. Stessa considerazione può essere effettuata anche con riguardo ai soggetti istituzionali cui possono essere trasmessi gli atti di procedimenti a carico dei dipendenti, nella misura in cui, alla luce della disciplina applicabile, risultino legittimati a conoscere gli atti del procedimento, in considerazione delle funzioni attribuite, del ruolo istituzionale svolto nonché delle eventuali responsabilità che in varia misura incombono su di essi.

Tali principi sono da tempo affermati dal Garante, oltre che con le predette Linee Guida, anche con decisioni su singoli casi concreti, in relazione a fattispecie tra loro diversificate (cfr., in particolare, per quanto di rilevanza ai fini del caso di specie, provv.ti 5 dicembre 2013, n. 545, doc. web n. 2894559 e n. 546, doc. web n. 2896275; v. anche, più in generale, provv.ti 27 febbraio 2025, n.  101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; 30 gennaio 2025, n. 36, doc. web n. 10112750; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).

Quanto al caso di specie, ancorché, stando a quanto dichiarato dal Comune anche ai sensi dell’art. 168 del Codice, con la predetta segnalazione non venivano formulati “valutazioni o giudizi circa l'operato della dipendente” ma veniva “esclusivamente segnala[…t]o che la mancata liquidazione era da imputare ad un'esigenza di approfondimento tecnico” e che, “pertanto, si trattava di informazioni del tutto inidonee a circoscrivere colpe, accuse, etc. o a formare un dato che si potesse qualificare come tale, come invece ipotizzato dalla dipendente, né tantomeno riferire alcunché di personale [ad essa] attribuibile”, in ogni caso dagli atti non emergono elementi idonei a comprovare che l’ente di destinazione, presso cui la reclamante svolgeva la propria attività lavorativa in comando, fosse legittimato a conoscere tali specifiche informazioni, afferenti ad una vicenda riguardante unicamente la reclamante e il Comune e comunque suscettibili di evocare la pendenza di questioni, anche di natura problematica, che necessitano di essere chiarite dall’intervento delle autorità preposte.

Né risulta sufficiente a giustificare il predetto trattamento la circostanza che, secondo il Comune, il contenuto e l’oggetto del sollecito di pagamento trasmesso dalla reclamante – includendo quest’ultimo, in particolare, il riferimento esplicito alla Prefettura XX in carattere maiuscolo – inducessero a ritenere che il predetto ente di destinazione della reclamante dovesse considerarsi legittimato a conoscere le informazioni contenute nel riscontro, ivi compresa quella relativa alla segnalazione all’ANAC.

Sebbene, dunque, come risulta dalle dichiarazioni in atti, la stessa reclamante avesse menzionato nel sollecito di pagamento indirizzato al Comune stesso il diverso ente presso il quale prestava la propria attività lavorativa, non si ravvisano, allo stato degli atti, specifici presupposti giuridici o ragioni che potessero giustificare l’invio del riscontro, da parte del Comune, anche ad un indirizzo diverso da quello utilizzato nel caso di specie dalla reclamante all’atto dell’invio del sollecito stesso, ossia a quello della Prefettura XX – condotta che, come confermato, del resto, anche dal Comune nelle proprie memorie difensive del XX, ha comunque assunto carattere colposo.

Tutto ciò premesso, risulta che il trattamento di dati personali in questione è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Pogliano Milanese nei termini di cui sopra.

Tanto premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

la nota di riscontro non risulta accompagnata da alcun esplicito giudizio di disvalore a carico della reclamante né da altri specifici dettagli in merito alla condotta ritenuta dal Comune passibile di rilievi; né, ancora, le informazioni comunicate risultano appartenere alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. a) e g), del Regolamento);

l’episodio ha rappresentato un caso isolato, anche considerato che la circostanza che l’oggetto del sollecito di pagamento trasmesso dalla reclamante includeva, in particolare, il riferimento esplicito alla Prefettura XX in carattere maiuscolo, ha indotto in errore il Comune (cfr. nota del XX; cfr. art. 83, par. 2, lett. b), del Regolamento);

nella prospettiva di prevenire il verificarsi di simili accadimenti in futuro, il Comune ha dichiarato di aver adottato e trasmesso al personale una circolare interna per sensibilizzare i dipendenti in ordine al rispetto della normativa in materia di protezione dei dati personali con riguardo all’invio di comunicazioni contenenti dati personali (cfr. art. 83, par. 2, lett. c), del Regolamento);

il Comune ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento).

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 e art. 83, par. 2, del Regolamento).

Considerato che la condotta ha ormai esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dal Comune di Pogliano Milanese, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Volontari Avis Aido, 6 - 20010 Pogliano Milanese (MI), C.F. 86502140154, per violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e 2-ter del Codice nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il predetto Comune, quale titolare del trattamento in questione, per aver violato artt. 5, par. 1, lett. a), e 6 del Regolamento e 2-ter del Codice, come sopra descritto;  

c) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Montuori