Provvedimento del 12 marzo 2026 [10237263]
Provvedimento del 12 marzo 2026 [10237263]
Condividi[doc. web n. 10237263]
Provvedimento del 12 marzo 2026
Registro dei provvedimenti
n. 158 del 12 marzo 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il sig. XX si è rivolto all’Autorità rappresentando di aver esercitato i diritti di cui agli artt. da 15 a 22 del Regolamento inviando “il XX una richiesta di cancellazione dei dati (quindi esercitando il diritto previsto dall’articolo 17 del GDPR) a […nome.cognome@interno.it] che è l’indirizzo riportato in questo sito https://www.cartaidentita.interno.gov.it/informativa-sul-trattamento-dei-dati-personali/”, al fine di chiedere al Ministero dell’interno (di seguito, “Ministero”) la “Rimozione della mia numerazione cellulare dai sistemi del ministero dell'interno e CIE”, nonché la “Rimozione dell'obbligo di inserire una numerazione telefonica per l'attivazione delle credenziali "SPID" di tipo 1 associate alla CIE, tramite questo portale”, ma di non avere ricevuto un idoneo riscontro.
2. L’attività istruttoria.
L’Autorità ha quindi invitato il Ministero, con nota prot. n. XX del XX, a fornire il dovuto riscontro, in modo puntuale ed esaustivo, all’istanza di esercizio dei diritti avanzata dal reclamante, inviandone contestualmente copia anche all’Autorità stessa.
Con nota del XX, il Ministero ha riscontrato l’invito formulato dall’Autorità, specificando, in particolare, che:
- “la richiesta del sig. XX risulta essere stata inizialmente inviata ad un indirizzo e-mail erroneo, che il Responsabile del trattamento dei dati […] su incarico della scrivente Direzione centrale – ha provveduto a sostituire sul Portale della CIE, con un indirizzo pec valido”;
- “Attualmente non è possibile l’attivazione esclusiva delle credenziali di livello 1, che consentono l’autenticazione con l’indicazione di una semplice userID. e di una password senza ulteriori conferme attraverso l’App CIEId o con l’invio di un codice OTP” in quanto “L’attivazione del livello 1 può avvenire soltanto contestualmente alla richiesta delle credenziali di livello 2, per la quale l’interessato è in ogni caso tenuto a certificare un numero di telefonia mobile”;
- “La possibilità di attivare anche le credenziali di livello 2 ed 1, resa operativa dal 27 marzo 2023, deriva da una libera scelta del titolare che è sempre in grado, autonomamente, sia di modificare il numero di telefonia mobile, attraverso il portale dell’identità che di procedere autonomamente, se lo si desidera, alla cancellazione del numero telefonico e di revocare l’attivazione delle predette credenziali”.
Non è stata, tuttavia, fornita evidenza dell’eventuale riscontro all’istanza di esercizio dei diritti presentata dall’interessato ed espressamente richiesto dall’Autorità con la citata nota prot. n. XX del XX.
Inoltre, a seguito degli accertamenti condotti dall’Autorità, è emerso che nell’informativa sul trattamento dei dati personali pubblicata sul sito web del Ministero, nella sezione “Privacy policy - Carta di Identità Elettronica (CIE) (interno.gov.it)”, all’interno del paragrafo denominato “DIRITTI DELL’INTERESSATO”, risultava indicato un dato di contatto non aggiornato del responsabile protezione dei dati del Ministero, cui indirizzare le eventuali istanze in materia di esercizio dei diritti.
In considerazione di quanto sopra esposto, l’Ufficio ha formulato una richiesta di informazioni (prot. n. XX del XX), chiedendo al Ministero, in particolare, di fornire elementi in merito alle modalità con cui sarebbe stato fornito l’eventuale riscontro all’istanza di esercizio dei diritti presentata dal reclamante, nonché alle azioni adottate per aggiornare l’informativa.
Con nota prot. n. XX del XX, il Ministero ha rappresentato, in particolare, che “è stato fornito riscontro all’istanza di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento” […] con nota n. XX del XX” e di aver aggiornato l’informativa, specificando, nella sezione relativa all’esercizio dei diritti, che:
- l’interessato potrà richiedere, ai sensi degli articoli 15 – 22 del Reg UE 2016/679 – tramite pec agli indirizzi indicati nel Portale CIE (servizidemografici.prot@pec.interno.it e rpd@pec.interno.it) oppure mediante richiesta inviata con lettera raccomandata a.r. alla Direzione Centrale per i Servizi Demografici e al Responsabile della Protezione dei Dati (RPD) […] la cancellazione del dato errato dai sistemi CIE (CieOnline e SSCE), ovvero esercitare gli altri diritti utilizzando l’apposito modulo disponibile sul sito dell’Autorità Garante per la protezione dei dati personali”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato al Ministero, con nota del XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, contestando la violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a), e degli artt. 12, parr. 1, 3 e 4, nonché 13, par. 1, lett. b), del Regolamento, per aver riscontrato tardivamente l’istanza di esercizio dei diritti presentata dal reclamante ai sensi del citato art. 17 e aver indicato, nell’informativa sul trattamento dei dati personali pubblicata al link https://www.cartaidentita.interno.gov.it/informativa-sul-trattamento-dei-dati-personali/, un dato di contatto del responsabile della protezione dei dati (di seguito “RPD”) non aggiornato, finalizzato all’esercizio dei diritti da parte degli interessati.
In tale contesto, l’Ufficio ha invitato il Ministero a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).
Il Ministero, con nota prot. n. XX del XX, ha trasmesso le proprie memorie difensive, richiedendo l’archiviazione del procedimento e rappresentando, in particolare, che:
- “L’istanza presentata dall’interessato si articolava nelle seguenti richieste: Richiesta 1 – Rimozione della mia numerazione cellulare dai sistemi del ministero dell’interno e CIE. Richiesta 2 – Rimozione dell’obbligo di inserire una numerazione telefonica per l’attivazione delle credeziali “SPID” di tipo 1 associate alla CIE, tramite questo portale: https://www.cartaidentita.interno.gov.it/pgig/gestione-cie-id/att.-cred-l1”;
- la predetta istanza “è stata riscontrata con ritardo rispetto al termine indicato nell’art. 12 GDPR a causa della mancata ricezione della stessa, indirizzata ad un recapito che, sebbene indicato nell’informativa […], risultava non aggiornato”;
- ”con lettera n. XX del XX, inviata all’interessato […] è stato fornito riscontro ad entrambe le richieste sopraindicate”;
- “A seguito del reclamo in argomento, [il Ministero] ha provveduto tempestivamente a sostituire l’indirizzo errato ed ha aggiornato le istruzioni per la cancellazione dei dati di contatto forniti dagli utenti (email e cellulare), necessari per la fruizione dell’autenticazione con credenziali di livello 1 e 2”;
- “il reclamante non ha subito alcuna violazione dei propri dati personali, né tale violazione poteva concretamente realizzarsi in quanto l’informazione, relativa peraltro ad un mero dato di contatto, inserita nel sistema CIE non è accessibile a terzi”.
4. Esito dell’attività istruttoria.
4.1. La normativa in materia di protezione dei dati personali.
In linea generale, si fa presente che il trattamento da parte dei soggetti pubblici è lecito se è necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare (art. 6, par. 1 lett. e), del Regolamento), e deve avvenire, in ogni caso, nel rispetto dei principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).
Al riguardo, si evidenzia che, in applicazione del predetto principio di trasparenza, il titolare del trattamento è tenuto a fornire all’interessato, nel momento in cui i dati personali sono ottenuti, le informazioni indicate dall’art. 13 del Regolamento, tra cui, in particolare, i dati di contatto del responsabile della protezione dei dati (art. 13, par. 1, lett. b)).
Inoltre, gli artt. da 15 a 22 del Regolamento attribuiscono all’interessato il diritto di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda o di opporsi al loro trattamento, nonché il diritto alla portabilità dei dati, qualora ne ricorrano i presupposti. Tali diritti mirano a rendere consapevole l’interessato dei trattamenti dei dati che lo riguardano e, pertanto, in un’ottica di correttezza e trasparenza nei confronti dell’interessato, è necessario che il titolare del trattamento fornisca un idoneo e tempestivo riscontro anche laddove l’istanza presentata non possa essere accolta.
L’art. 12, del Regolamento stabilisce, inoltre, che il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 del Regolamento, relative al trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, par. 1) e, a prescindere dalla fondatezza o meno dell’istanza dell’interessato, deve dare riscontro senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato debba essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta (art. 12, par. 3). Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve informare l’interessato stesso senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4).
Ne deriva che il titolare del trattamento, in ottemperanza agli obblighi di trasparenza, è tenuto a fornire un riscontro completo, esauriente e facilmente comprensibile entro un mese dal ricevimento dell’istanza, anche nell’ipotesi in cui tale istanza nel merito non possa essere accolta.
5. Conclusioni
Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria condotta, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che il Ministero dell’interno, nell’informativa sul trattamento dei dati personali pubblicata al link https://www.cartaidentita.interno.gov.it/informativa-sul-trattamento-dei-dati-personali/, ha indicato un dato di contatto del responsabile della protezione dei dati non aggiornato, finalizzato all’esercizio dei diritti da parte degli interessati, con la conseguenza che l’istanza presentata dal reclamante in data XX, ai sensi dell’art. 17 del Regolamento, all’indirizzo erroneamente pubblicato, non è stata tempestivamente riscontrata dal Ministero.
Il mancato aggiornamento della predetta informativa, con specifico riguardo al dato di contatto del RPD, si è tradotta nella violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 13, par. 1, lett. b), del Regolamento, la quale ha comportato, come conseguenza, anche la violazione dell’art. 12, par. 1, 3 e 4, del Regolamento, atteso che il Ministero non ha fornito, nei termini prescritti, il riscontro all’istanza avanzata dal reclamante, trasmettendo a quest’ultimo le dovute comunicazioni solo in data XX, a seguito dell’invito di questa Autorità.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva la violazione degli artt. 5, par. 1, lett. a), 12, parr. 1, 3 e 4, e 13, par. 1, lett. b), del Regolamento da parte del Ministero dell’interno.
Ciò premesso, tenuto conto che:
- la violazione dell’art. 12 del Regolamento, consistente nel tardivo riscontro fornito al reclamante, ha riguardato un solo interessato e non risultano comprovati danni subiti dallo stesso; la violazione del principio di trasparenza (artt. 5, par. 1, lett. a), e 13, par. 1, lett. b), del Regolamento) ha carattere colposo, e risulta ascrivibile al mancato aggiornamento, per errore, dei dati di contatto del RPD, peraltro circoscritto alla sola informativa pubblicata sul Portale CIE; il titolare del trattamento ha prestato piena collaborazione con l’Autorità nel corso dell’istruttoria e, ha provveduto ad aggiornare i dati riportati nella predetta informativa, nonché le istruzioni per l’esercizio dei diritti ;
- le circostanze del caso concreto inducono a qualificare la presente fattispecie come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 12, parr. 1, 3 e 4, e 13, par. 1, lett. b), del Regolamento.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dal Ministero dell’interno, con sede in Palazzo del Viminale, C.F. 97149560589, 00184, Roma, descritta nei termini di cui in motivazione, consistente nella la violazione degli artt. 5, par. 1, lett. a), 12, parr. 1, 3 e 4, e 13, par. 1, lett. b), del Regolamento;
b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce il Ministero dell’interno, quale titolare del trattamento in questione, per aver violato artt. 5, par. 1, lett. a), 12, parr. 1, 3 e 4, e 13, par. 1, lett. b), del Regolamento, come sopra descritto;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 12 marzo 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL VICE SEGRETARIO GENERALE
Filippi
