[doc. web n. 10254256]

Provvedimento del 29 aprile 2026

Registro dei provvedimenti
n. 304 del 29 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato in data XX, il Sig. XX, in servizio presso la Casa Circondariale Cosenza “Sergio Cosmai”, nel lamentare una presunta violazione della normativa in materia di protezione dei dati personali, ha rappresentato che, in data XX, presso la bacheca ubicata nell’area bar/mensa e nell’area TV/relax della predetta Casa Circondariale, è stato affisso l’ordine di servizio n. XX dell’XX, contenente informazioni sulla sua salute, con il quale veniva disposto il suo impiego presso una specifica unità operativa conformemente alle prescrizioni rese dal medico competente (v., in particolare, i riferimenti alle “condizioni fisiche” del reclamante, alle sue “esigenze di salute”, all’esigenza di una “alternanza della postura”).

Dall’ordine di servizio si evince che l’affissione in bacheca è stata disposta formalmente tramite l’ordine di servizio stesso (“La Segreteria Pol. Pen. provvederà […] ad affiggerne copia nella bacheca d’Istituto per pubblicità”) nonché che copia di tale documento è stata altresì “consegnata al Comandante di Reparto, all’Ufficio Servizi, al Coordinatore dell’Ufficio Matricola, all’Ufficio Segreteria P.P.”, oltre che “alle OO.SS.”, nonché inserita “nella raccolta ufficiale”.

2. L’attività istruttoria.

In merito ai fatti lamentati, nell’ambito dell’istruttoria, la predetta Casa Circondariale, con nota del XX, ha dichiarato, in particolare, che:

il medico competente “con certificazione del XX ha comunicato l’idoneità al servizio del dipendente, specificando altresì che “...deve essere quindi esentato dall’uso del cinturone, e non deve mantenere prolungatamente le posture fisse prolungate, dando prevalenza alla postura seduta... potrà essere impiegato... in posizioni quali ad esempio: portineria, centralino, sala regia, ufficio o altre analoghe...””;

“il riferimento “all’alternanza della postura”, a ben vedere, non ha comportato alcuna divulgazione dei dati sensibili, trattandosi di una mera prescrizione del medico competente, necessaria a giustificare, agli occhi del personale, l’adozione del provvedimento di assegnazione”; ciò anche tenuto conto che tale provvedimento “è stato adottato in esubero rispetto ai posti disponibili”;

“l’ordine di servizio n. XX dell’XX, in quanto provvedimento amministrativo, soggiace all’obbligo di esplicitare, in parte motiva, le ragioni di fatto e di diritto che hanno condotto la P.A. all’emanazione dell’atto (art. 3 Legge 241/1990) a seguito di un ponderato bilanciamento di interessi. Tanto più che trattasi, come nella fattispecie in esame, di provvedimento di impiego del personale emanato in deroga alle procedure ordinarie previste dalla contrattazione decentrata”;

“ai sensi della normativa vigente in tema di trasparenza e pubblicità degli atti amministrativi, l'O.D.S. de quo, parimenti a tutti gli Ordini di servizio attinenti all’organizzazione del lavoro ed impiego del personale, è stato comunicato alle O.O.S.S. e contestualmente affisso nella bacheca istituzionale dell’Istituto, luogo accessibile solo al personale in servizio nella Casa, con esclusione di terze persone”;

“inoltre, l’Ordine di servizio è stato da subito notificato al [… reclamante], il quale ben avrebbe potuto rappresentare nell’immediatezza di non condividere le modalità di pubblicizzazione dell’atto”;

“per quanto riguarda la trasmissione del predetto ordine di servizio anche agli ulteriori soggetti ivi indicati […] si ribadisce che tale comunicazione è dettata da evidenti ragioni di servizio, nonché dalla già riferita necessità di rispettare la normativa vigente in materia di trasparenza e pubblicità degli atti amministrativi”;

“quanto […] alla “raccolta ufficiale” si rappresenta che per tale si intende la raccolta ufficiale degli Ordini di servizio, finalizzata alla loro conservazione in originale, ad opera della Segreteria Affari Generali dell’Istituto, settore appartenente all’ Area Segreteria, con a capo un Funzionario dell’Organizzazione e delle Relazioni. Sul punto, si precisa che i soggetti abilitati alla consultazione […]  sono il Direttore dell’Istituto e il For Capo Area Segreteria, mentre alcuni dipendenti incardinati nell’Ufficio Segreteria, sono incaricati […] della registrazione degli Ordini di Servizio”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Ministero della Giustizia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che il trattamento dei dati della reclamante nel caso di specie – consistente nella comunicazione dei dati del reclamante, contenuti nell’ordine di servizio n. XX dell’XX, alla generalità dei dipendenti e alle organizzazioni sindacali, presso la predetta Casa Circondariale, quale trattamento complessivamente imputabile al predetto Ministero – fosse avvenuto in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

In data XX, il Ministero ha depositato i propri scritti difensivi, dichiarando, in particolare, che:

poiché, a seguito della notifica al reclamante dell’ordine di servizio in questione, lo stesso “non ha manifestato alcuna doglianza in merito alle modalità di pubblicizzazione dell’atto”, la Casa Circondariale “non è stata messa nelle condizioni di adoperarsi prontamente, adottando eventualmente ulteriori accorgimenti: ad esempio omissando alcuni dati (oltretutto già minimizzati) percepiti dall’interessato come pregiudizievoli della sua privacy”;

“l’ordine di servizio [… in questione] è stato sostituito dal personale della segreteria a distanza di un breve lasso di tempo”;

“la disposizione relativa all’invio alle Organizzazioni Sindacali, contenuta nell’ordine di servizio de quo, rientra tra le informazioni obbligatorie previste all’art. 4 “Sistema di partecipazione, informazione ed esame” ed all’art. 5 “Prerogative delle organizzazioni sindacali” dell’Accordo Nazionale Quadro per il Personale di Polizia Penitenziaria, recepiti nell’Accordo Decentrato Regionale e negli Accordi Decentrati Locali”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (cfr. verbale del XX, formalizzatosi con la relativa accettazione da parte del titolare del trattamento, trasmessa il XX), il Ministero ha dichiarato, in particolare, che “la comunicazione degli ordini di servizi alle organizzazioni sindacali, così come la stessa affissione degli ordini di servizio presso la bacheca della Casa Circondariale, è imposta alla Casa Circondariale dagli accordi in essere tra l’Amministrazione stessa e le organizzazioni sindacali”.

3. Esito dell’attività istruttoria.

Nel premettere che il trattamento di dati personali effettuato, nell’ambito della vicenda in esame, dal personale amministrativo in servizio presso la Casa Circondariale Cosenza “Sergio Cosmai” risulta complessivamente riconducibile al Ministero della Giustizia in qualità di titolare del trattamento (cfr., spec., art. 16, comma 3, del d. lgs. 300/1999), si rappresenta quanto segue.

All’esito dell’attività istruttoria, è emerso in particolare che, conformemente alle prescrizioni formulate dal medico competente, la predetta Casa Circondariale ha disposto l’impiego del reclamante presso una specifica unità operativa con l’ordine di servizio n. XX dell’XX, contenente riferimenti alle sue “condizioni fisiche”, alle sue “esigenze di salute” e all’esigenza di una “alternanza della postura”.

In tale contesto, risulta accertato, in particolare, che, nell’asserita attuazione di specifiche disposizioni degli accordi collettivi applicabili, copia di tale ordine di servizio è stata affissa presso la bacheca ubicata nell’area bar/mensa e nell’area TV/relax della Casa Circondariale, preclusa agli esterni ma comunque accessibile a tutto il personale in servizio, con il proposito di assicurare ad esso pubblicità e trasparenza e “giustificare, agli occhi del personale, l’adozione del provvedimento di assegnazione”, peraltro assunto “in esubero rispetto ai posti disponibili”; la medesima copia è stata altresì trasmessa “al Comandante di Reparto, all’Ufficio Servizi, al Coordinatore dell’Ufficio Matricola, all’Ufficio Segreteria P.P.”, oltre che “alle OO.SS.” e inserita “nella raccolta ufficiale”.

Al riguardo, si evidenzia in via generale che, ai sensi del vigente quadro normativo in materia di protezione dei dati personali, i soggetti pubblici, anche quando operano in qualità di datori di lavoro, possono trattare i dati personali dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a “un obbligo legale al quale è soggetto il titolare del trattamento” (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento e art. 2-ter del Codice; in riferimento a categorie particolari di dati, v. anche artt. 2-sexies e 2-septies del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, al fine di perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve, infatti, essere necessaria per l'esecuzione di un obbligo previsto dalla normativa vigente ovvero un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 2 e 3, del Regolamento e 2-ter del Codice).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando con maggiore precisione requisiti particolari e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento), e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “comunicazione” di dati personali sono ammissibili in presenza di un’idonea base giuridica (art. 2-ter del Codice).

Il datore di lavoro, quale titolare del trattamento, è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati, fra i quali, in particolare, quelli di “liceità, correttezza e trasparenza”, “minimizzazione dei dati” e “protezione dei dati per impostazione predefinita” (artt. 5, par. 1, lett. a) e c), e 25, par. 2, del Regolamento).

Quanto, più nello specifico, al trattamento dei dati personali contenuti nel documento recante il giudizio di idoneità espresso dal medico competente, si fa presente in primo luogo che, in base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro, mentre il medico competente, nell’ambito delle proprie attività di sorveglianza sanitaria, è l’unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, del d.lgs. n. 81/2008), il datore di lavoro è invece tenuto, in particolare, ad assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” (es. art. 18 comma 1, lett. g) e bb), del d.lgs. n. 81/2008) nonché ad attuare le misure indicate dal medico competente, adibendo ove possibile il lavoratore, qualora venga espresso un giudizio di inidoneità alla mansione specifica, a mansioni equivalenti o inferiori e garantendo ad esso un trattamento corrispondente alle mansioni di provenienza (art. 42 del d.lgs. n. 81/2008).

In tale quadro, come precisato dal Garante, le “informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore [non possono] essere in alcun modo trattate dal datore di lavoro, se non nella misura del mero giudizio di idoneità alla mansione specifica e delle eventuali prescrizioni che il professionista fissa come condizioni di lavoro” (cfr. Documento di indirizzo del XX recante “Il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 958536; cfr., in tal senso, anche punto 3.2 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161 e in www.garanteprivacy.it, doc. web n. 1417809, per cui il datore di lavoro “può accedere al giudizio di idoneità del lavoratore allo svolgimento di date mansioni, anziché alle specifiche patologie accertate”).

Ne discende, pertanto, che, nella cornice normativa di settore sopra delineata, il datore di lavoro deve poter accedere alle informazioni relative al giudizio di idoneità alla mansione specifica dei dipendenti nonché, in particolare, alle eventuali prescrizioni definite dal medico competente come condizioni di lavoro.

L’accesso a tali informazioni deve, tuttavia, avvenire, nell’ambito della realtà organizzativa dell’Amministrazione di appartenenza del dipendente, esclusivamente per il tramite del personale preposto e specificamente autorizzato al relativo trattamento, anche tenuto conto della particolare delicatezza dei dati in questione, indubbiamente appartenenti alla categoria dei “dati relativi alla salute” di cui agli artt. 4, n. 15), e 9 del Regolamento (v. anche considerando 35 del Regolamento).

In tale prospettiva, quanto al caso di specie, occorre osservare anzitutto come le informazioni contenute all’interno dell’ordine di servizio n. XX dell’XX – in particolare, i riferimenti alla necessità per l’interessato di una “alternanza della postura”, alle sue “condizioni fisiche” e alle sue “esigenze di salute” - costituiscano dati relativi alla salute, afferendo inequivocabilmente alla dimensione del suo complessivo stato psicofisico anche a prescindere dall’espressa e puntuale indicazione di una diagnosi (v., a tal riguardo, provv.16 gennaio 2026, n. 1, doc. web n. 10220288, e provv.ti ivi citati; v. anche sent. CGUE C-667/21, Krankenversicherung Nordrhein, del 21 dicembre 2023, par. 41).

Ciò, diversamente da quanto sostenuto dal titolare in corso d’istruttoria, anche tenuto conto del fatto stesso che tale ordine di servizio è stato assunto dalla Casa Circondariale proprio in attuazione delle misure indicate dal medico competente nell’esercizio delle prerogative ad esso riconosciute della cornice normativa in materia di tutela della salute e della sicurezza sul luogo di lavoro (art. 42 del d.lgs. n. 81/2008), come peraltro chiaramente evidenziato nell’ordine di servizio medesimo.

Tanto considerato, si rappresenta che i dati personali dei dipendenti, ivi compresi quelli relativi alla loro salute, non possono, di regola, essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che, di conseguenza, non siano stati espressamente “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento nonché art. 2-quaterdecies del Codice). Ciò in quanto, come affermato in molte occasioni dal Garante, la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, del Codice nonché, nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari, artt. 9 del Regolamento).

Come affermato in molte occasioni dal Garante, infatti, la messa a disposizione dei dati a soggetti che non abbiano necessità di trattarli in base alla normativa applicabile o che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione e delle specifiche scelte organizzative del titolare, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, del Codice nonché, nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari, art. 9, par. 2, lett. b), del Regolamento).

Inoltre, in special modo nei casi in cui il datore di lavoro è chiamato a trattare, per finalità di gestione del rapporto di lavoro, informazioni comunque inerenti alle condizioni di salute dei lavoratori, al datore di lavoro è richiesto di osservare “cautele particolari”, avendo cura, tra l’altro, di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati (cfr. par. 8 delle Linee Guida citate).

Diversamente, nessuna violazione della disciplina di protezione dei dati personali può essere riscontrata nelle ipotesi in cui i soggetti, cui fanno capo specifiche mansioni o responsabilità, vengano a conoscenza di dati personali degli interessati, quando, in base alle scelte organizzative e tecniche del titolare del trattamento, ciò risulti in concreto necessario per lo svolgimento delle funzioni loro attribuite.

A tali principi è stata data applicazione dal Garante con orientamento consolidato, in relazione a fattispecie tra loro diversificate, in numerosi casi concreti (cfr., per quanto attiene in particolare all’affissione in bacheca di documentazione contenente dati personali dei lavoratori, provv. 27 maggio 2021, n. 214, doc. web n. 9689234, e provv.ti ivi richiamati; cfr. inoltre, più in generale, tra i tanti, provv.ti 16 gennaio 2026, n. 1, doc. web n. 10220288; 27 febbraio 2025, n.  101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; 30 gennaio 2025, n. 36, doc. web n. 10112750; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).

Con riguardo al caso di specie, si prende atto, anzitutto, che, alla luce delle dichiarazioni rese dal titolare anche ai sensi dell’art. 168 del Codice, i dati personali del reclamante, contenuti all’interno del citato ordine di servizio e relativi anche alle sue condizioni di salute, sono stati messi a disposizione del Comandante del Reparto, dell’Ufficio Servizi, del Coordinatore dell’unità operativa di destinazione nonché dell’ufficio di segreteria P.P. per “ragioni di servizio” e, nel dettaglio, “per l’esecuzione e gli adempimenti conseguenti”, essendo tali soggetti “tutti […] istruiti e autorizzati al trattamento dei dati personali” (cfr. nota del XX).

Si prende, altresì, atto che anche “i soggetti abilitati alla consultazione degli Ordini di Servizio conservati nella raccolta ufficiale della Casa […] sono incaricati [… altresì] della registrazione degli Ordini di Servizio” (cfr. nota del XX).

Quanto, invece, all’affissione del predetto ordine di servizio presso la bacheca ubicata nell’area bar/mensa e nell’area TV/relax della Casa Circondariale, accessibile a tutto il personale in servizio, e alla trasmissione dello stesso alle organizzazioni sindacali, non sono emersi dagli atti specifici elementi idonei a comprovare la legittimità della “comunicazione” dei dati personali del reclamante che ne è conseguita. In particolare, non sono state ravvisate idonee ragioni che, anche in considerazione del ruolo svolto e delle funzioni esercitate dai predetti destinatari nel contesto della realtà organizzativa della Casa Circondariale, potessero giustificare il trattamento dei dati ivi contenuti da parte della generalità dei dipendenti in servizio, dunque colleghi del reclamante, e delle organizzazioni sindacali, soggetti “destinatari” dei predetti dati e “terzi” non autorizzati (cfr. art. 4, nn. 9) e 10), del Regolamento).

Deve, infatti, ritenersi che le informazioni relative alle misure prescritte al reclamante dal medico competente nel caso di specie non potessero essere conosciute indistintamente da tutto il personale della Casa Circondariale, dovendo l’accesso a tali informazioni essere riservato, in un’ottica di rigorosa proporzionalità, al solo personale incaricato di darne concreta attuazione nell’esercizio delle prerogative datoriali di carattere direttivo e organizzativo, con particolare riguardo alla pianificazione e alla distribuzione del lavoro nonché alla gestione e alla allocazione delle risorse umane (art. 42 del d.lgs. n. 81/2008; v. al riguardo, per analoghe considerazioni, il già citato provv. 27 maggio 2021, n. 214, doc. web n. 9689234; v. anche, relativamente all’ipotesi in cui, per ragioni di organizzazione del lavoro, ad esempio nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato – come altri colleghi - dati relativi a presenze ed assenze dal servizio, Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, n. 146, del 5 giugno 2019, doc. web n. 9124510, cfr. all. 1, par. 1.5. lett. d), laddove è previsto che il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali, specie se di natura sanitaria).  

In questa prospettiva, diversamente da quanto sostenuto dal titolare nell’ambito dell’attività istruttoria, non può ritenersi che i riferimenti espliciti alle misure prescritte al reclamante dal medico competente, contenuti all’interno dell’ordine di servizio in parola, fossero necessari nell’ottica di assicurare, anche “agli occhi del personale”, un’adeguata motivazione di tale provvedimento, peraltro adottato “in esubero rispetto ai posti disponibili” amministrativo (v. nota del XX); tale documento resta, infatti, in ogni caso, agli atti della Amministrazione nella sua integralità ed è accessibile - ricorrendone in concreto gli specifici presupposti, anche tenuto conto del rango dei diritti dell’interessato, come previsto dall’ordinamento nella prospettiva di assicurare la trasparenza e la partecipazione ai procedimenti amministrativi - da tutti coloro che dimostrino di avere un interesse diretto, concreto e attuale, corrispondente a una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso (artt. 22 ss., l. 7 agosto 1990, n. 241; artt. 59 e 60 del Codice, ove è previsto in particolare che “quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale”).

Né risultano pertinenti le ragioni addotte in corso d’istruttoria dal titolare con riguardo alla dichiarata esigenza di assicurare la pubblicità e la trasparenza di siffatte disposizioni organizzative in tale contesto, non potendosi ritenere a tal fine sufficiente il generico riferimento alla “normativa vigente in materia di trasparenza e pubblicità degli atti amministrativi” (cfr. nota del XX), che comunque non prevede forme di divulgazione documentale quali quelle poste in essere nel caso di specie mediante affissione in bacheca.

Né, ancora, può essere invocata a tal riguardo l’asserita attuazione degli accordi collettivi applicabili all’amministrazione penitenziaria, posto che, come sopra già evidenziato, le operazioni di “comunicazione” di dati personali (art. 2-ter, comma 4, lett. a), del Codice) possono ritenersi ammesse dalla disciplina in materia di protezione dei dati, per l’adempimento di obblighi e l’esercizio di diritti in materia di diritto del lavoro, solo in presenza di un’idonea base giuridica secondo quanto previsto dall’art. 2-ter, commi 1 e 3, del Codice.

In tale quadro, in particolare, la base giuridica del trattamento deve essere “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”) e la stessa deve soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento).

In tal senso, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto nonché del principio di non discriminazione e in coerenza con quanto ribadito anche di recente dal Garante, in assenza di una previsione normativa che soddisfi i predetti requisiti di un’idonea base giuridica, non sarebbero consentiti livelli differenziati di tutela della protezione dei dati personali su base territoriale o a livello di singola amministrazione o tra i diversi contesti lavorativi pubblici e tra questi e quelli privati.

Tali principi sono stati ribaditi dal Garante, anche di recente, in numerosi provvedimenti (cfr., in particolare, tra gli altri, provv. del 6 luglio 2023, n. 287, doc. web n. 9920145, nel quale è stata confermata l’inidoneità delle disposizioni contenute all’interno dei contratti collettivi ad innovare l’ordinamento giuridico sul piano del trattamento dei dati personali; provv. del 13 aprile 2023, n. 125, doc. web n. 9907846, con il quale, più nello specifico, è stato chiarito come i contratti collettivi debbano limitarsi a dettagliare in favore dei dipendenti interessati il quadro normativo già fissato a livello nazionale e non possano prevedere né giustificare in alcun modo l’introduzione di un nuovo trattamento non previsto dalle norme nazionali; cfr. anche, per analoghe considerazioni in relazione all’introduzione con ordinanza regionale di trattamenti di dati personali di dipendenti nel contesto emergenziale dovuto alla diffusione del virus Covid-19, provv. del 22 luglio 2021, n. 273, doc. web. n. 9683814).

In particolare, quanto ai contratti collettivi nazionali e integrativi, gli stessi possono contenere specificazioni e disposizioni di dettaglio nei limiti e negli ambiti ad essi demandati da norme di legge o di regolamento (cfr. considerando 41 e art. 88 del Regolamento; v. Raccomandazione del 1° aprile 2015, CM/Rec(2015)5, sul trattamento di dati personali nel contesto occupazionale, par. 7 “Conformemente alle legislazioni e prassi nazionali o alle previsioni contenute in contratti collettivi, si possono comunicare dati personali ai rappresentanti dei dipendenti esclusivamente nella misura in cui tali dati siano necessari per permettere a questi ultimi di rappresentare adeguatamente gli interessi dei dipendenti ovvero qualora i dati in questione siano necessari per l´adempimento ed il controllo degli obblighi fissati in contratti collettivi”).

Ai sensi della normativa di settore, la contrattazione collettiva disciplina, infatti, solo taluni aspetti del rapporto di lavoro (ad esempio, v. art. 40 del d.lgs n. 165/2001, che menziona la valutazione delle prestazioni ai fini della corresponsione del trattamento accessorio), già comunque espressamente individuati dalla legge, richiedendo che ciò avvenga “nei limiti previsti dalle norme di legge” (art. 40 del d.lgs. 165/2001).

Si osserva tal proposito altresì che, proprio in riferimento alle comunicazioni di dati personali alle organizzazioni sindacali, peraltro con riferimento a dati non appartenenti a categorie particolari, l’Autorità ha fornito chiarimenti all’Agenzia per la Rappresentanza Negoziale delle Pubbliche Amministrazioni - ARAN, al Ministero dell’Istruzione e all’Avvocatura Generale dello Stato in merito alla legittimità delle richieste, avanzate dalle organizzazioni sindacali in applicazione di un contratto collettivo nazionale del cd. “comparto scuola”, di conoscere i compensi accessori erogati ai dipendenti degli istituti scolastici, evidenziando in quel caso, in particolare, che il menzionato contratto collettivo non costituisse una base giuridica idonea e che, “in assenza di una disposizione normativa che soddisfi i requisiti previsti dalla disciplina di protezione dei dati”, i dati personali relativi ai lavoratori non possono essere lecitamente comunicati alle organizzazioni sindacali (cfr. nota prot. n. XX del XX). Tale orientamento del Garante sul punto è stato successivamente confermato anche dal Consiglio di Stato, il quale - nel richiamarsi espressamente alla predetta nota prot. n. XX del XX - ha precisato che “la messa a disposizione dei dati personali alle organizzazioni sindacali comporta una "comunicazione" e che i contratti collettivi possono integrare le previsioni normative per permettere alle organizzazioni sindacali di rappresentare adeguatamente gli interessi dei dipendenti, o quando sia necessario per adempiere agli obblighi previsti dagli stessi contratti” (cfr. Cons. Stato Sez. VII, Sent. 9 agosto 2022, n. 7064) nella cornice della finalità e dei presupposti stabiliti dalla disciplina applicabile (ciò ricorre, ad esempio, in materia di gravi condizioni soggettive dei lavoratori o dei familiari dello stesso in presenza delle quali può essere accordata, anche sulla base di accordi collettivi, dal datore di lavoro lo svolgimento dell’attività lavorativa in modalità agile, v. l. 53/2000 e d.m. 278/2000).

In ogni caso, sempre con specifico riguardo alla comunicazione dei dati in questione alle organizzazioni sindacali, il Garante ha tradizionalmente individuato i presupposti che regolano i flussi di dati personali dalle Amministrazioni, datrici di lavoro, alle organizzazioni sindacali, evidenziando che, anche in presenza di specifiche disposizioni che prevedano prerogative sindacali che comportano comunicazioni di informazioni alle medesime organizzazioni, le stesse debbano avvenire nel rispetto del principio di necessità, dovendo essere attuati in tale quadro specifici accorgimenti a tutela delle persone interessate (v. punto 2.3 delle Linee Guida sopra già più volte citate), tanto più se, come nel caso di specie, i dati personali oggetto di trattamento afferiscono alla sfera più intima della persona e alla sua dignità.

Tutto ciò premesso, risulta che il trattamento in questione – consistente nella comunicazione dei dati del reclamante, contenuti nell’ordine di servizio n. XX dell’XX e relativi anche alla sua salute, alla generalità dei dipendenti e alle organizzazioni sindacali, presso la Casa Circondariale Cosenza “Sergio Cosmai”, quale trattamento complessivamente riconducibile alla titolarità del Ministero della Giustizia – è avvenuto in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Ministero della Giustizia, per aver trattato dati personali del reclamante, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

la vicenda in questione ha riguardato un solo interessato, pur dovendosi d’altra parte osservare come, tuttavia, stando a quanto dichiarato, la stessa costituisca espressione di una prassi ordinaria, risultando in atti che l’ordine di servizio n. XX dell’XX è stato affisso in bacheca e comunicato alle organizzazioni sindacali in attuazione di specifiche disposizioni di accordi collettivi; in ogni caso, dalla documentazione in atti è emerso che nel caso di specie l’ordine di servizio è rimasto affisso in bacheca per un lasso temporale particolarmente ristretto (art. 83, par. 2, lett. a), del Regolamento);

in considerazione di tutte le circostanze del caso concreto, la violazione presenta carattere colposo, essendo il trattamento stato posto in essere nell’erronea convinzione di agire secondo l’ordinamento vigente (art. 83, par. 2, lett. b), del Regolamento);

le informazioni oggetto di trattamento nel caso di specie, attinenti alla salute dell’interessato (cfr. art. 9 del Regolamento), non danno evidenza della diagnosi sofferta dallo stesso, malgrado le informazioni contenute nell’ordine di servizio e le stesse misure prescritte dal medico competente costituiscano, per loro stessa natura, dati relativi alla salute e consentano altresì a chiunque di dedurre la natura delle infermità sofferte dal reclamante (v. in particolare il riferimento alla “alternanza della postura”; cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente la complessa e articolata struttura organizzativa dell’Amministrazione penitenziaria, facente capo al Ministero, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

il titolare ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti nel contesto della Casa Circondariale Cosenza “Sergio Cosmai”, nell’ambito delle articolazioni territoriali del Ministero della Giustizia, titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000,00 (dodicimila/00) per la violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che la comunicazione, effettuata in assenza di un’idonea base giuridica, ha comunque riguardato dati relativi alla salute di un lavoratore.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Ministero della Giustizia per violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

al Ministero della Giustizia, in persona del legale rappresentante pro-tempore, con sede legale in Via Arenula, 70 - 00186 Roma (RM), C.F. 80184430587, di pagare la somma di euro 12.000,00 (dodicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ministero, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 12.000,00 (dodicimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori