Provvedimento del 4 dicembre 2025 [10212783]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10212783]

Provvedimento del 4 dicembre 2025

Registro dei provvedimenti
n. 733 del 4 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il Dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato in data XX, successivamente integrato con nota del XX, dal Sig. XX, XX del Liceo scientifico e linguistico statale “Principe Umberto di Savoia” (di seguito, “Istituto”), è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di quest’ultimo, in merito alla gestione dei profili di autorizzazione all’accesso ai dati personali dell’interessato, inclusi dati relativi alla salute, da parte del personale dipendente dell’Istituto.

In particolare, in base a quanto rappresentato nel reclamo, veniva assunto “in entrata al PROTOCOLLO ORDINARIO DELLA PIATTAFORMA INFORMATICA […] al numero XX, del XX” il ricorso presentato dal reclamante “presso il Tribunale Civile di XX - Sezione Lavoro, […], per la rettifica del periodo di comporto riconducibile alla grave patologia e per accertare e riconoscere la responsabilità del Dirigente Scolastico XX”, contenente, in particolare, “[…] dati relativi alla SALUTE [OMISSIS] […]” nonché dati concernenti la controversia di lavoro intercorsa. Nello specifico, dalla documentazione prodotta congiuntamente al reclamo, mediante l’iniziale acquisizione al protocollo ordinario, “accessibile a tutti i dipendenti della segreteria amministrativa (N. 11 unità) e ai Collaboratori del Dirigente Scolastico (N. 3 unità)” sulla citata piattaforma informatica, risultava consultabile, in particolare, il documento “XX”, contenente il ricorso e i relativi allegati in PDF.

Il reclamante ha altresì evidenziato di aver presentato, in data XX, al Dirigente Scolastico “formale diffida […], assunta al prot. riservato […], del XX, relativa alla rimozione dei dati sensibili rinvenuti nel protocollo ordinario n. XX, del XX e richiesta di chiarimenti sull’omesso protocollo in via riservata […]” a cui seguivano sia l’apposito riscontro, con nota a protocollo riservato n. XX, del XX, in cui il Dirigente Scolastico confermava “che il documento sarà acquisito al protocollo riservato”, sia la rimozione “dal protocollo ordinario della Piattaforma […] in data XX [del]la pratica assunta al protocollo ordinario n. XX, del XX”.

Congiuntamente al reclamo sono stati allegati, altresì, i documenti trasmessi all’interessato dall’Istituto in accoglimento dell’istanza (prot. n. XX) di accesso ai documenti amministrativi - relativi alla pratica assunta al prot. ordinario n. XX del XX – quali, in particolare, i documenti concernenti il contenzioso con l’Istituto e la corrispondenza tra l’Avvocatura dello Stato e gli uffici scolastici competenti.

Al riguardo, in talune note del Ministero dell’istruzione - ufficio scolastico regionale per la Sicilia, si evince la dicitura “CONTIENE DATI SENSIBILI E/O GIUDIZIARI. Nel rispetto del Regolamento UE 2016/679 […] gli stessi devono essere trattati esclusivamente da personale autorizzato dall’ufficio destinatario. Gli allegati contenuti nel messaggio devono essere aperti esclusivamente dal personale abilitato alla trattazione dei dati sensibili e sono coperti da segreto d’ufficio […]” (cfr. XX; XX e XX”).

L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota del XX, prot. n. XX), l’Istituto, con nota del XX (prot. dell’Autorità n. XX), cui si rinvia integralmente, ha dichiarato, in particolare, che:

- “[…] l’Istituto è composto da una unica Area Organizzativa Omogenea […] la quale a sua volta comprende tre Unità Organizzative […]”;

- “Nello specifico caso, la UO di riferimento è la “XX” alla quale afferisce il registro di protocollo dell’Istituto, […] A tale registro accede con piena funzionalità il solo personale di segreteria e parzialmente, solo per la propria competenza, i collaboratori della Dirigenza. Tale personale di segreteria è ben distinto dalle altre categorie di soggetti dipendenti della scuola, […], nonché da altre categorie che a vario titolo operano in collaborazione con il personale di segreteria […]”;

- “Solo il personale di segreteria […] gode dell’accesso al registro di protocollo, con pari livello di accesso considerata l’omogeneità dell’ufficio di appartenenza […] Nessuna abilitazione è data alle altre categorie di dipendenti […]”;

- “Una sezione del registro di protocollo denominata “protocollo riservato” è […] riservata ai soli Dirigente e Direttore dei Servizi Generali e Amministrativi (DSGA); […] se l’operatore di protocollo riscontra dall’oggetto la presenza di informazioni di cui all’art. 9 del GDPR, assegna tempestivamente alla Dirigente il documento la quale valuterà se protocollare come riservato o meno ma sempre all’interno del registro generale di protocollo”;

- “[…] la destinazione al protocollo riservato non dipende affatto dalla presenza o meno di dati relativi alla condizione di salute dei lavoratori, proprio ai sensi del Decreto ministeriale 7 dicembre 2006 n. 305 e nel rispetto della organizzazione del personale in gruppi omogenei e distinti tra loro […] il personale di segreteria ha assoluta necessità, […] ad accedere a dati del personale appartenenti a categorie particolari quali, nel caso in essere, ai dati sullo stato di salute dei dipendenti […]”;

- “[…] a far data dal XX il software […iniziale] è stato sostituito […da altro] software [di gestione documentale e protocollazione…]”;

- “[…] i documenti del Reclamante furono protocollati in modalità ordinaria da un Assistente Amministrativo. […] tutti gli Assistenti Amministrativi dell’Area Organizzativa Omogenea avevano accesso a tali documenti”;

- “In generale, allo stato attuale e con l’utilizzo del [nuovo] software […] tutto il personale dell’Area Organizzativa Omogenea ha lo stesso livello di accesso […] i criteri di abilitazione relativi all’accesso al protocollo sono definiti dalla natura unica dell’Area Organizzativa Omogenea pur con una certa specializzazione all’interno dell’AOO”; i documenti contenenti i dati di cui all’art. 9 del GDPR, una volta ricevuti a mezzo e-mail o a mezzo pec, vengono importati al protocollo e assegnati, senza essere aperti, alla […Dirigente] e il software in uso, una volta compiuta questa operazione, non consente a nessun altro la consultazione e la estrazione di detti documenti; di norma, sono protocollati in forma “riservata” dalla Dirigente i documenti contenenti i dati di cui all’art. 9 del GDPR; le istruzioni circa le modalità di accesso al protocollo informatico sono fornite ai dipendenti mediante il “Manuale di gestione documentale” […]”;

Con successiva nota del XX, l’interessato ha effettuato un’integrazione al reclamo inizialmente presentato lamentando, altresì, la tardiva informazione ai dipendenti in merito al trattamento dei dati personali nel contesto di lavoro nonché le tardive istruzioni agli stessi in qualità di soggetti autorizzati al trattamento, ai sensi dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice; nella documentazione trasmessa dal reclamante risulta, infatti, che l’informativa in merito al trattamento dei dati personali - di cui il reclamante ha fornito copia - è stata inviata dall’Istituto al proprio personale, congiuntamente alla “Dichiarazione di ricevuta dell’informativa al trattamento dei dati personali e delle istruzioni per gli addetti al trattamento” solo in data XX. Per quanto concerne, invece, le istruzioni ai soggetti autorizzati, l’Autorità ha constatato il relativo contenuto delle stesse in data XX, alla seguente URL: https://....

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

- in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, paragrafo 1, lett. a), del Regolamento;

- in violazione dell’art. 13 del Regolamento, relativamente alla tardiva trasmissione, al personale dipendente dell’Istituto, dell’informativa concernente il trattamento dei dati personali per la gestione del rapporto di lavoro;

- in violazione degli artt. 6 e 9, par. 2, lett. b) e g) del Regolamento, e degli artt. 2-ter, commi 1 e 3, e 2-sexies del Codice, per l’avvenuta messa a disposizione dei dati dell’interessato, inclusi dati relativi alla salute, all’interno del protocollo informatico in assenza di un idoneo presupposto normativo;

- in violazione dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice, relativamente alle tardive istruzioni conferite ai soggetti addetti alla gestione del protocollo informatico.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. dell’Autorità n. XX del XX), cui si rinvia integralmente, l’Istituto, che non ha chiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “Il XX fu registrata al protocollo di Istituto con numero XX una e-mail proveniente dall’Avvocatura dello Stato di XX, contenente documentazione relativa alla costituzione in giudizio nella risoluzione di un contenzioso con l’interessato […] Purtroppo, la registrazione, per mero errore materiale, è avvenuta nel settore “ordinario” del protocollo, visibile agli allora operatori di segreteria (n.10 operatori + 1 DSGA) e ai n.3 collaboratori diretti della Dirigente […] invece che nel settore “riservato”, quest’ultimo visibile alla sola suddetta Dirigente pro-tempore nel XX”;

- “In data XX, l’interessato […] presentava una diffida relativa alla rimozione dei dati presenti al sopracitato protocollo, alla quale fu dato seguito prontamente, già in data XX, attraverso lo spostamento della documentazione nel settore “riservato” del software. Il rapido riscontro alla richiesta dell’interessato può essere prova dell’azione in assoluta buona fede dell’allora Titolare del trattamento e nel pieno riconoscimento del mero errore materiale, da parte dell’amministrazione, dell’azione di protocollazione”;

- “Si precisa, […] che: a) la Dirigente pro-tempore nel XX risultava, il XX, in ferie dal servizio e, pertanto, in condizioni non ottimali per esercitare la consueta azione di sorveglianza […]”

- “ […] d) durante il periodo di XX il numero di unità di personale di segreteria, già normalmente esiguo in proporzione alla complessità dell’Istituto, risultava ulteriormente ridotto per le varie assenze registrate nel periodo (n. 4 su 11); d) il periodo di fine XX di ogni anno è, per gli Istituti scolastici, tipicamente un periodo molto intenso perché caratterizzato da poca presenza di personale ma al contempo da tutta una serie di attività propedeutiche all’inizio del nuovo anno scolastico […]”;.

- “In merito alla contestazione relativa alla mancata informazione del personale, […] l’informativa ai dipendenti, così come tutte le informative relative agli altri trattamenti effettuati dall’Istituto, sono pubblicate alla pagina privacy dell’Istituto sin […dal] XX […] Tale pagina è organizzata e regolarmente aggiornata sin dal mese di XX […] i documenti reperibili ai link […] sono stati aggiornati con l’avvicendamento della dirigenza”;

- “La documentazione oggetto della violazione, erroneamente registrata nel settore “ordinario” del protocollo, fu prontamente rimossa e inserita nel settore “riservato” del sistema documentale. Ciò è avvenuto dopo meno di 24 ore dalla richiesta dell’interessato, a prova della buona fede dell’operato del Titolare. A partire da quella data, nessun ulteriore atto relativo alla procedura di contenzioso oggetto della presente violazione è più reperibile nel settore ordinario del protocollo o di altri software documentali”;

- Per quanto concerne, infine, le misure adottate dal titolare del trattamento, l’Istituto ha rappresentato che “immediatamente a seguito della prima richiesta di informazioni ricevuta […dall’] Autorità, la scrivente ha ritenuto, per massima cautela di: a) adottare il “Manuale di gestione documentale” (XX, approvata […] in data XX - XX); b) far coincidere il momento della consegna degli atti autorizzativi al trattamento e delle istruzioni al nuovo personale con la fase di stipula del loro contratto (denominata “presa in servizio”). […] c) effettuare una partizione puntuale degli ambiti operativi del software gestionale di segreteria, al fine di limitare l’accessibilità dei dati al solo personale specificamente autorizzato e istruito al trattamento dei dati nelle attività specifiche alla propria mansione; d) avviare il personale a specifici e costanti percorsi di formazione e aggiornamento”.

3. Esito dell’attività istruttoria.

3.1. Il quadro normativo.

Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

Con specifico riferimento al trattamento dei dati personali nell’ambito del rapporto di lavoro, si evidenzia che il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento). Il trattamento è, altresì lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. e), 2 e 3, 9, par. 2, lett. g), del Regolamento; artt. 2-ter e 2-sexies del Codice).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento) nonché quello di “protezione dei dati per impostazione predefinita”, in virtù del quale al titolare del trattamento è richiesto di mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”, anche con riferimento ai profili relativi all’accessibilità ai dati medesimi (art. 25, par. 2, del Regolamento).

In merito ai profili di accessibilità ai dati personali degli interessati, si evidenzia che chiunque agisca sotto l’autorità del titolare del trattamento – o del responsabile del trattamento - che abbia accesso ai predetti dati personali non può trattarli se non viene autorizzato e istruito in tal senso dal titolare del trattamento (art. 29 e 32, par. 4, del Regolamento e 2-quaterdecies del Codice).

Da ultimo, si rappresenta che, nel rispetto del citato principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima dell’avvio del trattamento, tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, par. 1, del Regolamento).

3.2. Il trattamento dei dati personali mediante il sistema di protocollo informatico.

Preliminarmente, occorre tenere in considerazione che, nel contesto lavorativo, il dipendente riveste un duplice ruolo in materia di protezione dei dati personali, quale. principalmente, come soggetto “interessato”, ai sensi dell’art. 4, n. 1, del Regolamento, per quanto concerne i propri dati personali oggetto di trattamento da parte del datore di lavoro per finalità di gestione del rapporto di lavoro; dall’altro lato, in ragione delle mansioni ad esso assegnate, il medesimo dipendente può operare come soggetto autorizzato al trattamento dei dati personali a cui abbia accesso nello svolgimento della propria attività lavorativa.

Come chiarito tradizionalmente dal Garante, i dati personali dei dipendenti - nell’accezione di soggetti “interessati” - nel contesto lavorativo non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato.

Fin dal 2007 il Garante ha chiarito, infatti, che il datore di lavoro deve adottare le misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di altri colleghi o soggetti terzi, al fine di evitare l’indebita circolazione di informazioni personali, non solo verso l’esterno, ma anche all’interno dei contesti lavorativi in capo a soggetti non autorizzati. Ciò in quanto la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non possono essere considerati “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento, nonché art. 2-quaterdecies del Codice) in ragione del ruolo da essi svolto e delle funzioni esercitate all’interno di detta organizzazione, può dare luogo a una comunicazione di dati personali in assenza di base giuridica (cfr., punti 2, 4, 5.1 e 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809). I dati personali dei dipendenti non possono, infatti, di regola, essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che non siano stati espressamente “autorizzati” al trattamento, con la conseguenza che la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione, può dare luogo, anche tenuto conto della definizione di “terzo” (art. 4, par. 1, n. 10), del Regolamento), a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, nonché comma 4, lett. a) per quanto concerne la definizione di “comunicazione”, del Codice; cfr. artt. 9 del Regolamento e 2-sexies del Codice, nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari). A tali principi è stata data applicazione dal Garante con orientamento consolidato in numerosi casi concreti (cfr., tra i tanti, provv.ti 27 febbraio 2025, n. 101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; 30 gennaio 2025, n. 36, doc. web n. 10112750; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).

Anche nell’ambito dei trattamenti di dati personali effettuati mediante i sistemi di gestione documentale è quindi necessario adottare misure tecniche e organizzative (cfr. artt. 5, par. 2, 24 e 25 del Regolamento) per assicurare l’accesso selettivo alla documentazione presente nel protocollo informatico, al fine di evitare la consultabilità di documenti da parte di personale non autorizzato e prevenire pertanto ogni occasione di superflua e ingiustificata conoscibilità, ricorrendo a procedure differenziate e/o riservate con riguardo, in particolare, a tutti i documenti contenenti dati personali dei dipendenti, soprattutto quando siano relativi allo stato di salute o ad altri dati relativi allo specifico rapporto di lavoro, ad esempio di natura valutativa/disciplinare (cfr. punto 8.1 delle succitate Linee Guida; v. altresì, provv. 24 marzo 2022, n. 98 doc. web n. 9763051 e precedenti provvedimenti in esso richiamati).

Si evidenzia, inoltre, che per quanto concerne propriamente il contesto scolastico, l’Autorità ha esaminato distinte fattispecie concernenti istituti che, per errore o per carenza di adeguate e puntuali istruzioni al personale autorizzato ad operare attraverso applicativi, gestionali, protocollo informatico, finanche il registro elettronico, hanno dato luogo alla condivisione della documentazione in favore di altro personale non autorizzato (in merito al registro elettronico si veda ad es. provv. 28 aprile 2022, n. 150, doc. web n. 9777200, mentre, per quanto concerne la pubblicazione, sul sito istituzionale e sul portale utilizzato da un istituto scolastico anche con funzionalità di registro elettronico, di vicende personali e relative alla salute di taluni lavoratori e/o di loro familiari, provv 1° settembre 2022, n. 290, doc. web n. 9811361).

Per quanto attiene al caso di specie, dall’esame della documentazione fornita e tenuto conto delle dichiarazioni rese dall’Istituto nel corso dell’istruttoria, ai sensi dell’art. 168 del Codice, emerge che la nota prot. n. XX del XX, contenente dati personali dell’interessato – inclusi dati relativi alla salute -, è stata resa visibile, mediante protocollo informatico, anche ad altri soggetti che, nella prospettiva dell’interessato, dipendente dell’Istituto e addetto alla segreteria, non erano autorizzati a trattare i predetti dati.

Al riguardo, l’Istituto ha dichiarato infatti che la protocollazione della comunicazione pervenuta dall’Avvocatura dello Stato di XX, contenente la documentazione relativa alla costituzione in giudizio nella risoluzione di un contenzioso di lavoro con l’interessato, “per mero errore materiale, è avvenuta nel settore “ordinario” del protocollo, visibile agli allora operatori di segreteria (n.10 operatori + 1 DSGA) e ai n.3 collaboratori diretti della Dirigente […] invece che nel settore “riservato”, […] visibile alla sola […] Dirigente pro-tempore nel XX del XX”. In aggiunta, come risulta in atti, a seguito della diffida formalmente presentata dall’interessato, il Dirigente scolastico confermava che il documento inizialmente assunto al protocollo ordinario sarebbe stato rimosso dal sistema per procedere alla protocollazione riservata a tutela dell’interessato.

Seppure l’Istituto ha dichiarato che al registro di protocollo dell’Istituto “accede con piena funzionalità il solo personale di segreteria e parzialmente, solo per la propria competenza, i collaboratori della Dirigenza” e che “Solo il personale di segreteria debitamente autorizzato ed istruito ai sensi dell’art. 29 del Regolamento […] gode dell’accesso al registro di protocollo, con pari livello di accesso considerata l’omogeneità dell’ufficio di appartenenza (rif. “XX”)” non sono stati forniti elementi in corso d’istruttoria circa l’effettiva presenza di misure tecniche e organizzative, all’epoca dei fatti, per assicurare l’accesso selettivo anche da parte del personale di segreteria alla documentazione presente nel protocollo informatico, riguardante vicende connesse al rapporto di lavoro del personale docente e non docente. Né risultavano operative misure atte a regolare, in un’ottica di necessità e proporzionalità, i limiti della consultabilità da parte del personale di segreteria di tali informazioni qualora afferenti, come nella fattispecie in questione, a un proprio collega, addetto alla medesima unità organizzativa. Tali misure sono state, invece, adottate dall’Istituto nel corso della presente istruttoria prevedendo, tra le altre cose, che “i documenti contenenti i dati di cui all’art. 9 del GDPR, una volta ricevuti a mezzo e-mail o a mezzo pec, vengono importati al protocollo e assegnati, senza essere aperti, alla […Dirigente] e il software in uso, una volta compiuta questa operazione, non consente a nessun altro la consultazione e la estrazione di detti documenti”.

Sotto diverso ma connesso profilo si rileva che, in ogni caso, l’Istituto ha provveduto a fornire le istruzioni al proprio personale dipendente – incluso al personale amministrativo ATA e al DSGA – in merito al trattamento dei dati personali gestiti nell’esercizio delle proprie mansioni (ai sensi dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice), solo in un momento successivo rispetto alla condotta oggetto dell’istruttoria, e in particolare con la comunicazione del XX, con la quale si chiedeva altresì di far pervenire una dichiarazione in cui si attestava “di avere preso visione dell’atto autorizzativo e delle istruzioni relative al trattamento dei dati che effettuerà per conto del Titolare in qualità di addetto al trattamento (docente/assistente amministrativo e DSGA […]”.

Al riguardo, si evidenzia che l’art. 29 del Regolamento stabilisce che chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare, salvo che lo richieda il diritto dell'Unione o degli Stati membri. Pertanto, il titolare può adibire al trattamento di dati personali soltanto persone fisiche che, nell’ambito della propria organizzazione, operino “sotto la sua autorità” e che siano state “istruit[e] in tal senso” (v. anche già, in vigenza del quadro normativo in materia di protezione dei dati personali antecedente al Regolamento, par. 3.1 delle citate “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, ove si chiarisce che “è necessario […] che ogni lavoratore sia preposto […], in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all´accesso e all´utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa”; v., in senso analogo, parr. 51, 81 e 82 delle “Linee guida sul trattamento di dati personali dei lavoratori privati” del 23 novembre 2006, doc. web n. 1364939). Sul punto, il Comitato europeo per la protezione dei dati - nelle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” del 7 luglio 2021 – ha chiarito inoltre che il titolare del trattamento “che decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale”, anziché ricorrere a un responsabile del trattamento, impiega “dipendenti e le altre persone che agiscono sotto [la sua] autorità diretta […], come il personale assunto temporaneamente”, e che tali soggetti “conformemente all’articolo 29, […] sono […] vincolati dalle istruzioni del […] titolare” (cfr. par. 78).

L’Istituto stesso, nel corso dell’istruttoria, ha confermato di aver ritenuto necessario, per il futuro “di […] far coincidere il momento della consegna degli atti autorizzativi al trattamento e delle istruzioni al nuovo personale con la fase di stipula del loro contratto […]”.

Alla luce delle considerazioni che precedono si ritiene che, sebbene con riguardo allo specifico caso di specie, la condivisione nel sistema di protocollazione ordinaria della nota prot. n. XX, del XX, contenente dati relativi allo stato di salute e a vicende relative allo specifico rapporto di lavoro dell’interessato abbia comportato la “messa a disposizione” dei predetti dati in favore di tutto il personale di segreteria dell’Istituto, che peraltro non aveva ricevuto previamente le istruzioni al riguardo, in violazione degli artt. 5, par. 1, lett. a), 6, 9, par. 2, lett. b) e g), e 29 del Regolamento nonché artt. 2-ter, 2-sexies e 2-quaterdecies del Codice.

3.3. La mancanza di trasparenza nei confronti degli interessati

La condotta dell’Istituto risulta, altresì, non conforme al principio di liceità, correttezza e trasparenza anche in relazione alle informazioni rese agli interessati in merito all’effettivo trattamento posto in essere. Sulla base delle evidenze trasmesse dal reclamante, risulta infatti che l’Istituto ha fornito al proprio personale dipendente l’informativa in merito al trattamento dei dati personali nella gestione del rapporto di lavoro, congiuntamente alla “Dichiarazione di ricevuta dell’informativa al trattamento dei dati personali e delle istruzioni per gli addetti al trattamento”, solo in data XX.

Al riguardo, si evidenzia che in base al citato principio di liceità, correttezza e trasparenza, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, par. 1, del Regolamento). Nel rendere all’interessato le informazioni, il titolare può adottare - anche in ambiente offline/non digitale - un approccio stratificato, al fine di “facilitare la fornitura delle informazioni”; in ogni caso, quale che sia il formato utilizzato in tale approccio stratificato, occorre che “il primo “strato” (in altre parole, la modalità principale con cui il titolare del trattamento si rivolge inizialmente all’interessato) trasmetta di regola le informazioni più importanti […], vale a dire le finalità del trattamento, l’identità del titolare e una descrizione dei diritti dell’interessato, oltre a informazioni sull’impatto più consistente del trattamento o informazioni sul trattamento che potrebbe cogliere di sorpresa l’interessato. […]” (cfr. “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 29 novembre 2017, come modificate e adottate in ultimo l’11 aprile 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, punto 38). L’informativa di primo livello deve contenere, inoltre, un chiaro riferimento al secondo livello di informazioni, facilmente accessibile per l’interessato, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

L’osservanza dell’obbligo di fornire agli interessati tutti gli elementi informativi essenziali previsti dal Regolamento risponde all’esigenza di consentire agli stessi di essere pienamente consapevoli, prima che il trattamento abbia inizio, delle caratteristiche dello stesso in relazione allo specifico contesto in cui gli interessati agiscono, che nel caso di specie corrisponde a quello lavorativo, e presenta dunque anche lo scopo di consentire agli stessi di comprendere la tipologia delle operazioni di trattamento che, in tale ambito, possono essere svolte (cfr., al riguardo, tra gli altri, provv. 13 marzo 2025, n. 135, doc. web n. 10128005; provv. 11 aprile 2024, n. 234, doc. web n. 10013356 e provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).

Con riferimento al caso di specie, si evidenzia che, sebbene nel corso d’istruttoria sia stato rappresentato dall’Istituto che “l’informativa ai dipendenti, così come tutte le informative relative agli altri trattamenti effettuati dall’Istituto, sono pubblicate alla pagina privacy dell’Istituto sin […da] XX […]”, lo stesso non ha provveduto a comprovare l’effettiva conoscibilità da parte dei dipendenti di tale informativa, quantomeno fino al XX, data in cui è stata diramata a tutto il personale la richiesta di trasmissione della dichiarazione di presa visione dell’informativa e delle “istruzioni per gli addetti al trattamento”).

Ciò posto, deve concludersi che la condotta dell’Istituto non è stata adeguata al fine di assicurare il rispetto del principio generale di correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento) e l’adempimento dell’obbligo di rendere pienamente e preventivamente edotti gli interessati degli elementi essenziali del trattamento, in violazione dell'art. 13 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver agito in violazione degli artt. 5, par. 1, lett. a), 6, 9, par. 2, lett. b) e g), 13 e 29 del Regolamento nonché artt. 2-ter, 2-sexies e 2-quaterdecies del Codice.

Tenuto conto che la violazione delle disposizioni citate nei precedenti paragrafi 3.2 e 3.3 del presente provvedimento, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in quanto inerenti al trattamento dei dati personali nell’ambito del rapporto di lavoro), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6, 9 e 13 del Regolamento, nonché 2-ter e 2-sexies del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando che, con riguardo ai trattamenti posti in essere dall’Istituto, la condotta ha esaurito i suoi effetti, non ricorrono, limitatamente ai predetti ambiti di trattamento, i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

con specifico riguardo alla natura, alla gravità e alla durata della violazione occorre evidenziare che il trattamento è avvenuto, mediante il sistema di protocollazione informatica, in riferimento ai dati personali di un solo lavoratore, nel periodo che va dal XX al XX (art. 83, par. 2, lett. a), del Regolamento);

il trattamento ha, tuttavia, riguardato anche dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, ed in particolare a dati relativi alla salute dell’interessato (cfr. art. 83, par. 2, lett. g), del Regolamento);

la violazione ha carattere colposo (art. 83, par. 2, lett. b), del Regolamento), considerato che, come dichiarato dall’Istituto, l’errata protocollazione è avvenuta per errore materiale e confidando in buona fede che le prassi organizzative adottate fossero conformi al quadro normativo vigente.

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione,

l’Istituto ha provveduto ad adottare misure per attenuare il danno subito dall’interessato, sebbene successivamente alla richiesta di chiarimenti presentata da quest’ultimo in data XX, mediante la rimozione della documentazione inerente al contenzioso con l’interessato dal sistema ordinario di protocollazione interna, inserendola in quello riservato (art. 83, par. 2, lett. c, del Regolamento);

l’Istituto ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria considerato che, in sede di memoria difensiva, ha comunque affermato, in particolare, di aver provveduto ad adottare nuove procedure interne per prevenire che simili accadimenti si ripetano in futuro (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Istituto (art. 83, par. 2, lett. e), del Regolamento).In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille/00) per la violazione degli artt. 5, par. 1, lett. a), 6, 9, par. 2, lett. b) e g), 13 e 29 del Regolamento nonché artt. 2-ter, 2-sexies e 2-quaterdecies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra rilevato, la violazione è consistita nella comunicazione a soggetti non autorizzati di dati personali di un dipendente, relativi a vicende concernenti il proprio rapporto di lavoro, ed in particolare ad un contenzioso in essere con il proprio datore di lavoro, nonché a dati relativi alla salute dell’interessato.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’ per la violazione degli artt. 5, par. 1, lett. a), 6, 9, par. 2, lett. b) e g), 13 e 29 del Regolamento nonché artt. 2-ter, 2-sexies e 2-quaterdecies del Codice, nei termini di cui in motivazione;

ORDINA

al Liceo scientifico e linguistico statale “Principe Umberto di Savoia”, con sede legale in XX, XX (CT), C.F. 80009250871, di pagare la somma complessiva di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

- al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma complessiva di euro 1.000,00 (mille/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10212783

Data
04/12/25

Argomenti

Informativa Lavoro pubblico

Tipologie

Ordinanza ingiunzione o revoca

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 4 dicembre 2025 [10212783]

g-docweb-display Portlet