[doc. web n. 10257257]

Provvedimento del 17 aprile 2026

Registro dei provvedimenti
n. 269 del 17 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale; 

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”); 

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Con reclamo presentato in data dì XX, ai sensi dell’art. 77 del Regolamento, il Sig. XX ha lamentato che “sul sito web istituzionale del Comune di Mazzara del Vallo […] è stato pubblicato […] l'elenco dei beneficiari della Carta “Dedicata a te” […] nella sezione dell'albo pretorio online riportando dati personali come il codice fiscale e residenza [che] consentono l'identificazione diretta o indiretta di una persona”.

A seguito degli accertamenti effettuati dall’ufficio in relazione ai trattamenti di dati personali connessi all’erogazione della carta “Dedicata a te” per il XX (di seguito “Carta”) - consistente in 500 euro per l’acquisto di beni di prima necessità nonché di carburanti e servizi di trasporto destinato a soggetti a basso reddito esclusi da altri sussidi (di seguito, i “Beneficiari”) – è emerso che sul sito istituzionale del Comune di Mazara del Vallo (https://www.comune.mazaradelvallo.tp.it), e precisamente alla url https://...), risultavano effettivamente consultabili i documenti denominati “AVVISO CARTA SOLIDALE DEDICATA A TE_signed” (url: ..., e “Elenco beneficiari carta dedicata a te XX”, in formato .pdf, di 53 pagine recante la lista dei beneficiari, individuati mediante l’indicazione dell’intero codice fiscale (https://...).

Al riguardo, l’art. 1, comma 450, della legge 29 dicembre 2022, n. 197, ha istituito, nello stato di previsione del Ministero dell’agricoltura, della sovranità alimentare e delle foreste, un fondo, destinato all’acquisito di beni alimentari di prima necessità da parte dei soggetti aventi un indicatore della situazione economica equivalente (ISEE) non superiore a 15.000,00 euro e con nuclei familiari composti da almeno tre persone. 

Il Decreto Interministeriale 31 luglio 2025 n. 354883 “Individuazione dei nuclei familiari in stato di bisogno, beneficiari del contributo economico previsto dall’art. 1 commi 103 e 104 della legge 30 dicembre 2024 n. 207” ha introdotto le disposizioni attuative ed applicative del fondo, da fruire mediante l'utilizzo di un apposito sistema abilitante, ai sensi dell’art. 1, commi 103 e 104, della legge 30 dicembre 2024 n. 207. La procedura per l’erogazione individuata nel predetto decreto 31 luglio 2025 prevedeva che i Comuni, ricevuto dall’INPS l’elenco dei beneficiari elaborato sulla base dei dati elaborati e messi a disposizione dallo stesso INPS, avrebbero dovuto verificare la posizione anagrafica dei nuclei familiari, verificare eventuali incompatibilità con altre misure locali, e consolidare gli elenchi mediante un’applicazione WEB sul sito dell'INPS entro 30 giorni, in modo che, nei successivi 10 giorni, INPS potesse comunicare l’elenco definitivo a Poste Italiane per la predisposizione di carte prepagate Postepay. Ai Comuni è stato, infine, assegnato il compito di comunicare agli interessati l'assegnazione del beneficio e le modalità di ritiro della Carta presso gli uffici postali. Infine, il decreto citato prevedeva che gli elenchi dei beneficiari della carta fossero pubblicati, in ogni caso, in evidenza, sui siti internet di ciascun Comune con modalità tali da garantire la riservatezza dei dati, per un periodo non inferiore a trenta giorni.

2. L’attività istruttoria

Sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, l’Ufficio, con nota del XX (prot. n. XX), ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver diffuso i dati e le informazioni personali dei Beneficiari – quali l’intero codice fiscale, in assenza di una idonea base giuridica.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

A seguito della suddetta notifica, con nota del XX, prot. n. XX, il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “L’art. 4 del Decreto precisa che i Comuni ricevono dall’INPS, elenco dei beneficiari del contributo [...]. I cittadini pertanto non hanno presentato alcuna istanza presso i Comuni di residenza, né presso l’INPS”;

- “L’art. 7 al comma 3 precisa che i Comuni comunicano agli interessati la assegnazione del beneficio, le modalità di ritiro delle carte presso gli uffici postali abilitati al servizio e le modalità di prenotazione per il ritiro: la normativa non indica una o più modalità obbligatorie di comunicazione e pertanto il Comune di Mazara del Vallo, in esecuzione al disposto di cui sempre all’art. 7, comma 4 [...]ha ritenuto con il Comunicato stampa e con l’Elenco (obbligatorio da pubblicare) di ottemperare alla richiesta di “evidenza” e alla richiesta di “comunicazione” ed alla richiesta di “pubblicità”. Si precisa che il Comune aveva un lasso di tempo perentorio piuttosto breve per consentire l’attivazione della Carta per i beneficiari e, specificatamente entro il 16 dicembre 2025”; 

- “l’Elenco fornito dall’INPS (Allegato A) è composto soltanto da: codice fiscale, cognome e nome, sesso, data di nascita, indirizzo, comune di residenza, cod. catast., provincia e cap, identificativo della carta, dato quest’ultimo che se pubblicato da solo non avrebbe ottemperato all’obbligo di comunicazione (art. 7 comma 3 Decreto) né a quello della pubblicazione in termini di pubblicità e trasparenza (art. 7 comma 4 Decreto [...]”;

- “Pertanto al fine di non omettere la pubblicazione dell’Elenco (in quanto atto di indirizzo normativo quanto disposto dal citato Decreto) ed al tempo stesso di tutelare l’identificazione certa del singolo beneficiario si è ritenuto di pubblicare [...] sostanzialmente solo il Codice fiscale […che] è sembrata una misura rispettosa considerando che il Comune di Mazara del Vallo ha circa 50.000 abitanti e quindi con una impossibilità alla individuazione esatta del beneficiario”;

- “la misura di sostegno economico denominata “Carta dedicata” non viene erogata nel caso di grave indigenza, né per appartenenza a categoria fragile e/o protetta, ma quale misura economica che il Governo ha adottato per nuclei familiari con reddito fino 15.000,00 euro quindi in fascia medio-bassa [...]”; 

- “il Comune non ha agito con superficialità in considerazione dell’attenzione che si pone quotidianamente al rispetto della riservatezza dei dati personali soprattutto in ambito socio-assistenziale, ma ha dovuto trovare quella che è sembrata la migliore soluzione (in termini di efficienza, efficacia ed economicità) di fronte all’esecuzione di quanto richiesto dal decreto inteso come norma applicativa della misura di sostegno”.

Con la medesima nota, il Comune ha altresì rappresentato che appena ricevuta la nota del Garante in data XX ha “provveduto, nella stessa giornata, a eliminare dal Comunicato stampa pubblicato sulla Home page del sito del Comune l’Elenco che vi era allegato e inoltre si è verificata la disabilitazione del Link interno al Comunicato” e che “nel ritenere corretto evitare ogni possibile mancato rispetto relativamente alla tutela dei dati personali [… presenterà] una formale richiesta al Ministero della Agricoltura, della Sovranità Alimentare e delle Foreste, […], affinché nel caso in cui la Carta dedicata dovesse essere riproposta (e sembra che anche nel XX sarà erogata tale misura) risulti chiaro ed in equivocabile la modalità per bilanciare l’obbligo della pubblicità e trasparenza con l’obbligo della riservatezza così da evitare interpretazioni che, poste sicuramente in buona fede, possano divenire oggetto di criticità [...]”, evidenziando, in ogni caso, che “non sono stati trattati dati “particolari” di cui agli artt. 9 e 10 del Regolamento UE 2016/679”. Infine, il Comune non ha richiesto di essere audito.

3. Esito dell’attività istruttoria

3.1. La normativa applicabile in materia di protezione dei dati personali

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice. 

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1 del Regolamento).

In tale quadro, il trattamento effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento nonché art. 2-ter del Codice). 

Si evidenzia, inoltre, che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa solo quando sia prevista da un’idonea base giuridica (art. 2-ter, commi 1 e 3, del Codice).

Ai sensi del Regolamento, per “pseudonimizzazione” si intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Cons. 26 e art. 4, par. 1, n. 5, del Regolamento). 

Si ricorda inoltre che la normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Cons. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Sul punto, si evidenzia che il dato può considerarsi anonimo solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato.

Al riguardo, il Parere 05/2014 sopra richiamato, precisa che l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale, infatti, qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa: 1. isolare una persona in un gruppo (c.d. single-out); 2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability); 3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, per la diffusione di dati personali online con il provvedimento generale n. 243 del 15 maggio 2014, recante le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito, “Linee guida”) (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale), precisando, in particolare che:

- “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online. Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato (si pensi, ad esempio, alle informazioni relative alla residenza oppure quando si possiede un doppio nome e/o un doppio cognome)”;

- “In molti casi, infatti, in particolari ambiti (ad esempio, per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati – come la data di nascita, il sesso, la residenza, il domicilio, il codice di avviamento postale, il luogo di lavoro, il numero di telefono, la complessiva vicenda oggetto di pubblicazione, etc.– è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti”;

- “Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori”.

Con riguardo agli obblighi di pubblicazione online di dati, informazioni e documenti della p.a., previsti da specifiche disposizioni di settore diverse da quelle in materia di trasparenza – come, fra l’altro, quelli volti a garantire la conoscibilità di atti o provvedimenti amministrativi ai soggetti interessati - le Linee guida citate, precisano che «indipendentemente dalla finalità perseguita, laddove la pubblicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2 del Codice)».

3.2. Valutazioni del Garante

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che codesto Comune ha diffuso, in assenza di una adeguata base giuridica, i dati relativi ai beneficiari della Carta, contenuti nel documento “Elenco beneficiari carta dedicata a te XX” di 53 pagine, individuati mediante l’indicazione dell’intero codice fiscale la url: https://...

Tenuto conto di quanto previsto dal Decreto Interministeriale 31 luglio 2025 n. 354883 “Individuazione dei nuclei familiari in stato di bisogno, beneficiari del contributo economico previsto dall’art. 1 commi 103 e 104 della legge 30 dicembre 2024 n. 207”, il cui art. 7, comma 4, prevede espressamente che “Gli elenchi dei beneficiari della carta di cui al presente decreto sono pubblicati, in ogni caso, in evidenza, sui siti internet di ciascun Comune con modalità tali da garantire la riservatezza dei dati, per un periodo non inferiore a trenta giorni”, il Comune di Mazara del Vallo ha ritenuto di ottemperare alla predetta disposizione pubblicando il citato Elenco e di garantire, nei ristretti termini richiesti, la conoscibilità della misura da parte del maggior numero di interessati e facilitare le operazioni di ritiro delle Carte presso gli uffici postali. 

Tuttavia, le modalità adottate per raggiungere gli stessi, consistendo nella pubblicazione dell’intero codice fiscale, nei casi in cui tali dati associati ad altre informazioni eventualmente in possesso di terzi potevano consentire l’identificazione degli interessati, hanno comportato una “diffusione”, ai sensi dell’art. 2-ter, comma 4, lett. b) del Codice, di dati personali dei beneficiari. 

Come già ricordato, per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Per stabilire l'identificabilità di una persona è opportuno considerare “tutti i mezzi” di cui, non solo il titolare del trattamento, ma anche soggetti terzi, possono ragionevolmente avvalersi per identificare detta persona fisica; per accertare la ragionevole probabilità di utilizzo di tali mezzi occorre considerare l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione (cons. 26, del Regolamento). Ai fini della valutazione del “rischio di identificazione”, è necessario, quindi, tenere conto di “tutti i mezzi”, delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalità di ogni tipo di trattamento (cfr. anche cons., 84, 89, 93 e 95 del Regolamento).

Diversamente da quanto rappresentato dal Comune, nel caso in esame, il rischio di identificazione non può considerarsi trascurabile. Ciò, in primo luogo, in ragione della scelta del numero di informazioni rese disponibili – l’intero codice fiscale - dalle quali non è particolarmente difficile tentare di ricostruire dati identificativi di potenziali interessati, essendo possibile ricavare, comunque, in modo univoco, il sesso, il luogo e la data di nascita. Tali informazioni, potevano essere raffrontate o incrociate con altre fonti, o comunque con informazioni di contesto nella disponibilità di terzi nell’ambito della comunità o del contesto familiare o sociale, più o meno ampio, di appartenenza. Inoltre, a beneficiare della Carta sono i cittadini appartenenti ai nuclei familiari composti da almeno tre persone, aventi ISEE non superiore a 15.000 euro, residenti nel comune. Considerato, altresì, il ristretto e circoscritto bacino territoriale di riferimento, limitato al Comune, e non ad un più ampio ambito regionale o nazionale, il rischio di identificazione, appare tutt’altro che trascurabile.

Al riguardo, si ricorda, che l’operazione di “diffusione” di dati personali è ammessa solo quando sia prevista da un’idonea base giuridica (art. 2-ter, commi 1 e 3, del Codice).

In tale contesto, la disposizione sopra citata, pur imponendo agli enti locali l’obbligo di comunicare agli interessati l’assegnazione del beneficio e le modalità di ritiro delle Carte presso gli uffici postali abilitati, prevedendo la pubblicazione degli elenchi “con modalità tali da garantire la riservatezza dei dati”, per le ragioni sopra esposte, non può in alcun modo ritenersi autorizzativa della “pubblicazione” generalizzata dei dati personali relativi ai beneficiari con le modalità individuate dal Comune di Mazara del Vallo, che deve, pertanto, ritenersi effettuata in assenza di una base giuridica adeguata ai sensi dell’art. 6, par. 2 e 3, lett. b) del Regolamento. 

Si evidenzia, inoltre, che il trattamento in esame, consistendo nella diffusione di informazioni personali che, anche indirettamente, rivelano aspetti economici o sociali delicati, potrebbe determinare effetti pregiudizievoli per gli interessati, compromettendone la dignità e l’autodeterminazione. 

Come chiarito anche nelle Linee guida citate, la pubblicazione di dati identificativi di soggetti beneficiari di benefici economici, deve essere, in ogni caso, evitata qualora da tali informazioni sia possibile desumere, anche indirettamente, elementi riferibili allo stato di salute o alla condizione di disagio economico-sociale dell’interessato. Tale divieto – come evidenziato anche dal Garante nelle citate Linee guida in materia– è “funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale” (cfr. parte prima, par. 9.e). 

Nel caso di specie, la Carta era destinata a nuclei familiari in stato di bisogno economico, sulla base di parametri ISEE non superiori ad Euro 15.000. Pertanto, la pubblicazione degli elenchi – anche se finalizzata, a facilitare la comunicazione con i Beneficiari e attuata con le modalità sopra descritte - ha comunque esposto informazioni idonee a rendere riconoscibile, anche indirettamente, la condizione di vulnerabilità economico-sociale degli interessati. 

Pur tenendo conto della formulazione del testo normativo vigente all’epoca dei fatti, circostanza che può aver indotto, seppur in buona fede, un’errata interpretazione da parte dell’Ente, deve ritenersi che il trattamento posto in essere abbia comportato una diffusione illecita di dati personali in quanto effettuata in assenza di una adeguata base giuridica. 

In tale quadro, si ritiene utile evidenziare, che pur essendo stata prevista dal Ministero dell'agricoltura, della sovranità alimentare e delle foreste, la pubblicazione degli elenchi sui siti internet di ciascun comune “con modalità tali da garantire la riservatezza dei dati” (art. 7, comma 4), tale previsione è stata oggetto di ulteriore specificazione operativa attraverso la Circolare INPS n. 2575 del 10 luglio 2024 e le FAQ relative alla “Carta dedicata a te”, aggiornate al 30 luglio 2024, che hanno indicato, quale modalità idonea per garantire la riservatezza dei dati, l’utilizzo, per esempio, del “numero del protocollo ISEE o altre analoghe modalità parimenti efficaci individuate dallo stesso Comune”. 

Alla luce di quanto sopra, la diffusione dei dati personali effettuata dal Comune deve ritenersi avvenuta in assenza di una valida base giuridica, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, del Codice.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, del Codice. 

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato che i dati personali in questione sono stati prontamente rimossi dal sito istituzionale del Comune e non risultano più accessibili agli URL indicati nella notifica di violazione, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze di seguito riportate.

Con specifico riguardo alla natura e alla gravità della violazione, occorre considerare che la violazione ha interessato un numero considerevole di interessati; inoltre, la diffusione dei dati è avvenuta per un periodo di tempo limitato, e non risultano, allo stato, ulteriori reclami o segnalazioni, o comprovati danni subiti dagli interessati (art. 83, par. 2, lett. a), del Regolamento). 

Deve inoltre, considerarsi:

- il carattere colposo della violazione, attesa l’erronea interpretazione della normativa. Il Comune ha agito, infatti, in buona fede, nell’errata convinzione di poter perseguire finalità di trasparenza dell’azione amministrativa, e ritenendo, sulla base di un’analisi interna, che l’utilizzo del codice fiscale in luogo delle generalità complete, fosse idonea a garantire la non identificabilità degli interessati da parte di terzi (art. 83, par. 2, lett. b) del Regolamento);

- il trattamento non ha riguardato dati personali appartenenti a categorie particolari o dati relativi a condanne penali o reati (art. 83, par. 2, lett. g), del Regolamento)

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere preso in considerazione, in senso favorevole, che:

- il titolare ha proceduto alla tempestiva rimozione degli elenchi pubblicati, ponendo fine alla diffusione non autorizzata (art. 83, par. 2, lett. c) del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dall’Ente (art. 83, par. 2, lett. e) del Regolamento);

- il Comune ha dimostrato buona cooperazione con l’Autorità nel corso del procedimento istruttorio (art. 83, par. 2, lett. f) del Regolamento), considerato che, in sede di memoria difensiva, ha rappresentato l’intenzione di aprire un’interlocuzione formale con il Ministero della della Sovranità Alimentare e delle Foreste “affinché nel caso in cui la Carta dedicata dovesse essere riproposta [...] risulti chiaro ed in equivocabile la modalità per bilanciare l’obbligo della pubblicità e trasparenza con l’obbligo della riservatezza così da evitare interpretazioni che, poste sicuramente in buona fede, possano divenire oggetto di criticità”.

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), la circostanza che il soggetto contravventore è un’amministrazione comunale di dimensioni medio-piccole.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000,00 (seimila/00) per la violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. 

Ciò in considerazione delle specifiche modalità adottate per raggiungere gli interessati, che hanno concretizzato una diffusione online di dati personali che – sebbene consistenti nel codice fiscale e non nelle complete generalità – risultavano comunque idonei a consentire l’identificazione degli interessati, in assenza di una base giuridica adeguata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Mazara del Vallo nei termini di cui in motivazione, per la violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Mazara del Vallo, con sede legale in Via Carmine, 1 - 91026 Mazara del Vallo (TP) C.F. 82001410818, di pagare la complessiva somma di euro 6.000,00 (seimila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Mazara del Vallo di pagare la complessiva somma di 6.000,00 (seimila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 17 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori