[doc. web n. 10196142]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 625 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per l protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il XX ha lamentato la pubblicazione sul sito web istituzionale dell’Ordine degli Avvocati di Latina (di seguito, l’“Ordine”) di un documento relativo a procedimenti penali in corso presso il Tribunale di Latina, contenente dati personali propri e di altri soggetti.

Con relazione di servizio del XX (prot. n. XX della medesima data), l’Ufficio dell’Autorità ha appurato tale circostanza, verificando che, a fronte dell’immissione su uno dei principali motori di ricerca del nome e del cognome del reclamante, quali parole chiave, lo stesso restituiva un collegamento ipertestuale al sito web istituzionale dell’Ordine (https://...), che conduceva a un file PDF, denominato “XX”, liberamente consultabile e scaricabile, contenente dati personali del reclamante e di altri interessati, anche relativi a reati e a connessi procedimenti penali.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni formulata dall’Autorità ai sensi dell’art. 157 del Codice (v. nota prot. n. XX del XX), l’Ordine, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“il documento pubblicato sul sito istituzionale non [era] riconducibile alle attività di trattamento dei dati personali relative ad attività ordinistiche”;

“in costanza dell’emergenza Covid 19 e delle misure di restrizione e contingentamento di accesso agli avvocati, in accordo con il Tribunale di Latina ed in ottica di collaborazione attesa la situazione di emergenza, veniva predisposto che le comunicazioni dei rinvii delle udienze fossero rese conoscibili anche dall’Ordine non solo per gli avvocati iscritti, ma anche per i legali appartenenti ad altro Foro; difatti il Tribunale di Latina con decreto n. XX del XX disponeva tra l’altro che: “B) Ciascun giudice indicherà, in un atto che trasmetterà al Consiglio dell’Ordine (che il Consiglio dell’Ordine potrà pubblicare sul suo sito o con altra forma di pubblicità valutata opportuna) ed alla Procura della Repubblica, almeno sei giorni prima dell’udienza, quali sono i processi che tratterà, in che orari - al fine di evitare sovrapposizioni – e con quali adempimenti. Questo foglio verrà consegnato al personale addetto all’entrata nel Tribunale per consentire l’accesso alle parti del processo ed ai testimoni”;

“il file PDF “XX” veniva inviato a questo Ordine dagli Uffici Giudiziari del Tribunale di Latina mediante posta elettronica certificata in data XX […] e nelle giornate immediatamente successive alla ricezione della pec veniva caricato sul sito dell’Ordine […]”;

“sulle comunicazioni inviate sistematicamente dal Tribunale è tornato a riflettere l’Organo collegiale […] nella seduta del XX”, dando mandato “alla Segreteria per la trasmissione di una comunicazione ai vari Uffici giudiziari locali, nella quale precisare che, per ragioni di Privacy, non verranno diffusi da parte della Segreteria dell’Ordine ruoli/rinvii recanti i predetti nominativi”;

“in data XX [XX], a distanza di poche ore dalla comunicazione del Garante, [si] dava immediata disposizione di rimuovere il file segnalato e di adottare per la rimozione permanente dell’Url dalla ricerca Google e di disponeva altresì di rimuovere ogni comunicazione dal sito contenente i nominativi degli imputati […]; nella medesima data, il fornitore esercente le funzioni di web master “inviava comunicazione di avvenuta rimozione dell’allegato e della pagina”;

“ad oggi, dunque, a seguito del tempestivo intervento adoperato su più fronti da parte del Consiglio, il file non è più presente in rete”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver diffuso online dati personali, anche relativi a reati e connessi procedimenti penali, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3, e art. 10 del Regolamento, nonché 2-ter e 2-octies del Codice. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Ordine ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’Ordine, venuto a conoscenza della infrazione, […] tempestivamente ed efficacemente ha adottato le misure necessarie e proattive perché il dato non fosse più accessibile”;

“[…] la violazione ha ad oggetto la pubblicazione sul sito web istituzionale di un ruolo di udienza, redatto dal Tribunale di Latina, contenente le indicazioni relative ai dati anagrafici di 18 imputati, con l’indicazione delle imputazioni limitatamente al rinvio degli articoli del codice penale, dello stato del procedimento, del numero di ruolo, del nome del giudice, della data di fissazione dell’udienza e dei nominativi di quattro avvocati difensori”;

“tale pubblicazione non era immediatamente visibile nell’home page del sito ma necessitava di una specifica ricerca all’interno della sezione dedicata”;

“[…] la pubblicazione è avvenuta nei giorni successivi al XX ed è stata rimossa dal sito […] definitivamente deindicizzata dal web in data XX

“la pubblicazione dei ruoli o rinvii di udienza, da parte dell’Ordine […], in ossequio al decreto n. XX del XX reso dal Tribunale di Latina, [era] in quel precipuo momento storico necessitata dalle imponenti misure di restrizione e contingentamento di accesso al Palazzo di Giustizia di Latina”;

“la condotta dell’Ente [ha avuto luogo] in un momento di grande caos nella gestione delle udienze e delle attività processuali in cui poteva risultare gravemente pregiudicato il diritto di difesa per la mancata conoscenza del rinvio delle udienze”;

“la pubblicazione del pdf denominato “XX” contenente dati non ostensibili purtroppo è sfuggita al controllo che veniva effettuato prima della divulgazione”;

“è di tutta evidenza, dunque, che la pubblicazione integrale del documento oggetto di reclamo, non epurata dai dati personali, sia da ricondurre unicamente ad errore umano […]”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX della medesima data), l’Ordine ha ribadito, in particolare, che “la violazione si è verificata a causa di un mero errore umano, nel difficile contesto della pandemia da SARS-CoV-2, in cui peraltro l’Ordine era commissariato”.

3. Esito dell’attività istruttoria.

I soggetti pubblici possono, di regola, trattare i dati personali se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “diffusione” di dati personali (v. art. 2-ter, comma 4, lett. b), del Codice, come la pubblicazione su Internet, da parte di soggetti pubblici, è ammessa solo al ricorrere delle condizioni previste dall’art. 2-ter, commi 1, 1-bis e 3, del Codice.

Con specifico riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza, si evidenzia che esso può avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (v. artt. 10 del Regolamento e 2-octies del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, tra cui quelli di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ciò premesso, all’esito dell’istruttoria svolta dall’Ufficio è stato accertato che l’Ordine ha pubblicato sul proprio sito web istituzionale, anche con indicizzazione sui motori di ricerca, un documento redatto dal Tribunale di Latina, contenente un elenco di tredici procedimenti giudiziari penali, con il dettaglio del numero di fascicolo, degli estremi identificativi di diciotto imputati (nome, cognome, data e luogo di nascita), dei nominativi di quattro avvocati difensori, dell’imputazione (indicazione delle norme penali violate), dello stato del procedimento (es. “rinvio a giudizio”, “giudizio abbreviato”, “applicazione della pena”), della data di fissazione dell’udienza e del giudice competente.

La pubblicazione online di tale documento ha avuto luogo tra i giorni immediatamente successivi al XX e fino al XX, ancorché i contenuti dello stesso, indicizzati dai motori di ricerca, sono risultati censiti negli stessi fino al XX.

Al riguardo, l’Ordine ha dichiarato che la pubblicazione online del documento in questione, senza il previo oscuramento dei dati personali degli interessati, ha avuto luogo a causa di un mero errore umano, verificatosi nel difficile contesto della pandemia da SARS-CoV-2 e in un periodo in cui l’Ordine era, peraltro, commissariato.

Tali circostanze, seppur meritevoli di considerazione, non sono, tuttavia, sufficienti ad escludere la responsabilità dell’Ordine. Nel contesto emergenziale legato alla diffusione del virus SARS-CoV-2, il Garante - considerato il susseguirsi in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, di interventi normativi e conseguenti atti di indirizzo emanati dalle istituzioni competenti – è, infatti, intervenuto in numerose occasioni al fine di fornire indicazioni e chiarimenti, alle diverse categorie di titolari del trattamento, per prevenire trattamenti non conformi alla disciplina di protezione dei dati personali, facendo leva sui compiti di sensibilizzazione e promozione della cultura della protezione dei dati attribuiti dal Regolamento (promuovendo “la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti”, v. art. 57, par. 1, lett. b) e d), del Regolamento, e art. 154-bis, comma 1, lett. a), del Codice; cfr. “Coronavirus: Garante Privacy, no a iniziative "fai da te" nella raccolta dei dati”, comunicato del 2 marzo 2020, doc. web n. 9282117). Anche nell’eccezionale situazione emergenziale, il Garante ha dunque richiamato l’attenzione dei titolari del trattamento in merito alla necessità di operare nell’ambito e nei limiti previsti dalla disciplina applicabile quale base giuridica dei relativi trattamenti (v. artt. 5, 6, 9 e 10 del Regolamento), evitando di porre in essere iniziative non previste dalla legge.

Deve, pertanto concludersi che, ancorché a causa di un mero errore umano, l’Ordine ha posto in essere un trattamento di dati personali relativi a reati in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), e 2 e 3, e dell’art. 10 del Regolamento, nonché 2-ter e 2-octies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ordine, per aver posto in essere un trattamento di dati personali relativi a reati in violazione degli artt. 5, par. 1, lett. a), 6 parr. 1, lett. c) ed e), e 2 e 3, e dell’art. 10 del Regolamento, nonché 2-ter e 2-octies del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni delle predette disposizioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - essendo cessata la diffusione online dei dati personali in questione - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Nel caso di specie, ancorché la violazione si sia verificata, a causa di un mero errore umano, nel contesto emergenziale dovuto alla pandemia da SARS-CoV-2, in cui l’Ordine, come altre Amministrazioni, ha dovuto assumere decisioni complesse in tempi rapidi, a fronte di un quadro normativo dell’emergenza particolarmente complesso e in continua evoluzione, la stessa ha comportato la diffusione online di dati personali particolarmente delicati, quali quelli relativi a reati (cfr. art. 83, par. 2, lett. a), b) e g), del Regolamento). Come, infatti, evidenziato dalla Corte di giustizia dell’Unione europea, il trattamento di tali dati “può, a causa della particolare sensibilità [degli stessi], costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta [dei diritti fondamentali dell’Unione europea]. Infatti, dal momento che simili dati riguardano condotte che suscitano la disapprovazione della società, la concessione di un accesso a simili dati può comportare la stigmatizzazione dell’interessato e costituire, in tal modo, una grave ingerenza nella sua vita privata o professionale” (sent. C-740/22, Endemol Shine Finland, del 7 marzo 2024, par. 54; v. anche sent. C‑439/19, del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), parr. 74, 75 e 112; cfr. provv. 4 giugno 2025, n. 319, doc. web n. 10153347).

Ai fini dell’art. 83, par. 2, lett. a), del Regolamento, deve, inoltre, tenersi conto che la diffusione dei dati personali degli interessati si è protratta per un esteso arco temporale (dall’XX al XX) e che il documento in questione era anche indicizzato sui motori di ricerca, risultando così amplificati i potenziali rischi per gli interessati. Inoltre, la violazione non ha costituito un caso isolato, avendo l’Ordine sistematicamente e integralmente pubblicato online i ruoli o rinvii di udienza ricevuti dai Tribunali quantomeno fino al mese di XX(v. estratto del verbale della seduta del Consiglio dell’Ordine del XX, in atti, in cui si è dato mandato alla Segreteria “una comunicazione ai vari Uffici giudiziari locali, nella quale precisare che, per ragioni di Privacy, non verranno diffusi […] ruoli/rinvii recanti […] nominativi”, ovvero quelli “delle parti, degli imputati e delle persone offese”, ponendosi “il delicato problema del rispetto della normativa sulla Privacy”).

Alla luce di tali considerazioni, si ritiene che il livello di gravità della violazione commessa dal titolare del trattamento debba considerarsi alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Ordine professionale a rilevanza provinciale, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

l’Ordine ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, tempestivamente provveduto a porre rimedio alla violazione non appena ha avuto contezza della stessa (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 15.000 (quindicimila) per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3, e art. 10 del Regolamento, nonché 2-ter e 2-octies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra rilevato, la violazione è consistita nella diffusione online di dati personali particolarmente delicati, riguardando gli stesi reati e connessi procedimenti penali.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Ordine per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3, e art. 10 del Regolamento, nonché 2-ter e 2-octies del Codice, nei termini di cui in motivazione;

ORDINA

all’Ordine degli Avvocati di Latina, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Bruno Buozzi - 04100 Latina (LT), C.F. 80010280594, di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ordine, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000 (quindicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

-  ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza