Provvedimento del 17 aprile 2026 [10256863]
Provvedimento del 17 aprile 2026 [10256863]
Condividi[doc. web n. 10256863]
Provvedimento del 17 aprile 2026
Registro dei provvedimenti
n. 294 del 17 aprile 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTE le Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, pubblicate in G.U. il 4 gennaio 2019, n. 3, doc. web n. 9067692 (di seguito “Regole deontologiche”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
Con il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 28 dicembre 2023, integrato il successivo 3 aprile 2024, il signor XX - rappresentato e difeso dagli avvocati XX, XX e XX - ha lamentato la reperibilità in rete, in associazione al proprio nominativo, di articoli relativi a vicende giudiziarie connesse allo scandalo dei rifiuti della Regione Sicilia rispetto alle quali il medesimo è risultato estraneo “[…] non essendo stato mai sottoposto alle indagini né tantomeno iscritto nel registro degli indagati”. In particolare, nella prospettazione dei fatti offerta dall’interessato, le condotte illecite narrate negli articoli lamentati fanno riferimento a una società – la XX, già XX – nella quale il reclamante ha rivestito il ruolo di consigliere e presidente del consiglio di amministrazione “solamente nel marzo 2020 […]”, quindi successivamente ai “fatti […] oggetto di contestazione da parte dell’Autorità Giudiziaria” perpetrati sino al 2019. Il reclamante ha, altresì, sottolineato che dal 19 agosto 2020 non riveste più “alcun ruolo sociale che potrebbe potenzialmente giustificare un’ingerenza del pubblico interesse ad avere accesso alle informazioni a lui riferibili”.
Pertanto, con il reclamo in parola, l’interessato - nel ritenere le notizie testé diffuse “inattuali, inadeguate e non più pertinenti” tali da ingenerare nei lettori una percezione distorta circa un suo coinvolgimento nelle vicende narrate - ha indicato l’URL rinviante all’articolo pubblicato il 6 giugno 2020 sul sito di informazione on-line “Sicra Press” (di seguito anche “sito internet”), riconducibile alla signora Lucia Gullotta (di seguito “titolare”), chiedendone la deindicizzazione e la cancellazione dei propri dati personali ivi riportati (https://...). Lo stesso ha, altresì, lamentato il mancato riscontro all’istanza di cancellazione e di deindicizzazione avanzata nelle date del 17 aprile e 24 luglio 2023 scrivendo ai dati di contatto presenti nel citato sito internet; nello specifico, la prima istanza è stata indirizzata ai recapiti XX e XX, risultati non funzionanti (come certificato dal messaggio di mancata consegna prodotto a corredo del reclamo), mentre la richiesta del 24 luglio 2023 è stata inviata agli indirizzi e-mail XX e XX.
Con nota del 19 aprile 2024 (rif. prot. n. XX) è stata formulata una richiesta di informazioni, ai sensi dell’art. 157 del Codice, inviata a mezzo raccomandata A/R all’indirizzo indicato nel richiamato sito internet (XX) – con la quale è stato chiesto al titolare di fornire osservazioni riguardo a quanto rappresentato nel reclamo e “di offrire un riscontro anche in relazione alle istanze preliminarmente avanzate dal reclamante, producendo copia dell’eventuale risposta fornita”. Tale richiesta di informazioni, tuttavia, è rimasta inevasa in quanto restituita al mittente per compiuta giacenza.
La descritta circostanza ha reso necessario il coinvolgimento del Nucleo speciale privacy della Guardia di Finanza che ha consentito all’Ufficio di individuare il domicilio della signora Lucia Gullotta, titolare e legale rappresentante della ditta individuale “Sicra Press”, al quale, in data 21 gennaio 2025, è stata indirizzata via raccomandata A/R una nuova richiesta di informazioni, ai sensi dell’art. 157 del Codice (rif. prot. n. XX), anticipata via e-mail ai recapiti ulteriormente reperiti ad esito delle verifiche del citato organo accertatore.
Nella risposta del 17 febbraio 2025, il titolare ha rappresentato che l’articolo lamentato nel reclamo non risulta più presente nel sito internet “da tempo, a causa di un virus al sistema che ha cancellato parte della memoria […]”, ritenendo che tale circostanza soddisfacesse pienamente quanto richiesto dall’Autorità. Inoltre, il medesimo titolare ha precisato di aver comunque fornito una risposta all’originaria richiesta di informazioni dell’Autorità che, tuttavia, non sarebbe stata recapitata all’Ufficio in quanto proveniente da un indirizzo di posta elettronica ordinario e diretto alla pec del Garante. Al riguardo, nella successiva comunicazione del 19 marzo 2025, il titolare - a fronte di una esplicita richiesta dell’Ufficio (rif. prot. n. XX del 14 marzo 2025) - ha rappresentato di non essere riuscito a rinvenire, tra la posta in uscita, la nota di riscontro alla richiesta dell’Autorità, né la “risposta di mancata lettura” della stessa. Infine, il titolare ha chiarito che le istanze dell’interessato non sono state riscontrate in quanto inviate a indirizzi e-mail che, “seppure presenti sul sito”, non sono di norma utilizzati.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
La richiesta di informazioni formulata dall’Ufficio il 19 aprile 2024 - trasmessa tramite raccomandata A/R all’indirizzo presente nel citato sito internet (XX) - non è stata riscontrata in quanto restituita al mittente per compiuta giacenza; parimenti, nel corso delle successive interlocuzioni con l’Autorità (nelle date del 17 febbraio e 19 marzo 2025), il titolare non ha fornito evidenza documentale né del presunto riscontro che lo stesso ha dichiarato di aver inviato alla pec del Garante, né dei disguidi tecnici che ne avrebbero impedito la ricezione (asseritamente riconducibili all’invio della comunicazione da un indirizzo di posta elettronica ordinario verso una pec).
Considerato che la mancata risposta a una richiesta di informazioni dell’Autorità costituisce autonoma violazione amministrativa, ai sensi dell’art. 157 del Codice, in data 2 aprile 2025 è stato adottato l’atto di avvio del procedimento (rif. prot. n. XX) con il quale è stata contestata al titolare del trattamento, oltre alla richiamata disposizione, anche l’inosservanza dell’art. 12, parr. 2 e 3, del Regolamento per non aver fornito riscontro all’istanza di esercizio dei diritti dell’interessato nel previsto termine di trenta giorni dalla ricezione della stessa; inoltre, è stata contestata la violazione degli artt. 5, par. 2, 24 e 25 del Regolamento per non aver adottato misure tecniche e organizzative adeguate a garantire e a comprovare che il trattamento sia effettuato conformemente alla normativa in materia di protezione dei dati personali.
3. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DI ORDINE GIURIDICO DELL’AUTORITÀ
In data 18 aprile 2025 il titolare ha prodotto le proprie memorie difensive con le quali ha sostanzialmente ribadito le argomentazioni già espresse in sede istruttoria, riconducendo a un attacco hacker, e alle conseguenti operazioni di ripristino del sito internet, il mancato riscontro alle istanze preventive dell’interessato. L’evento informatico che avrebbe coinvolto il sito internet nel 2022 avrebbe, altresì, comportato l’“eliminazione di tutti i link esistenti”, compreso l’articolo lamentato nel reclamo. Inoltre, nella ricostruzione offerta dal titolare, a seguito della riconfigurazione del sito internet su nuovi server, sarebbero stati indicati, da settembre 2022, gli indirizzi e-mail (XX; XX) utilizzati dal reclamante in sede di interpello preventivo ma, di norma, non presidiati dal titolare.
Come già rappresentato, il mancato riscontro alla richiesta di informazioni dell’Autorità sarebbe stato dovuto all’invio della relativa risposta da un indirizzo ordinario (XX) alla pec del Garante. Invero, “Una volta ricevuta la comunicazione” dell’Autorità, il titolare “ha provveduto a rispondere mediante l’utilizzo della casella di posta ordinaria (XX)” a cui avrebbe fatto seguito un nuovo invio tramite indirizzo pec “con spiegazioni e scuse per il ritardo”, poi ricevuto dal Garante.
Pertanto - considerato che “Il reclamo è stato presentato circa un anno dopo la rimozione dell’articolo dai legali del Sig. XX […]” senza verificare la presenza o meno in rete del relativo contenuto – e rilevato, altresì, che il corrispondente URL non è risultato “più accessibile già da tempo”, il titolare ha chiesto l’archiviazione del presente procedimento, non rinvenendosi alcuna “violazione concreta della normativa privacy”.
Alla luce di quanto testé rappresentato, in base alle dichiarazioni rese ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.
La motivazione alla base del mancato riscontro alla richiesta di informazioni dell’Autorità – riconducibile a una gestione non corretta delle operazioni di invio e ricezione dalla e-mail ordinaria alla pec del Garante - non appare supportata dalle necessarie evidenze documentali, né la circostanza ivi descritta può ritenersi idonea a sollevare il titolare dalle connesse responsabilità.
Invero, nella nota del 19 marzo 2025 – a fronte di un’esplicita richiesta dell’Ufficio del precedente 14 marzo (rif. prot. n. XX) – il titolare non sarebbe stato in grado di rinvenire tra la posta inviata il riscontro asseritamente inoltrato alla pec del Garante né, tra le comunicazioni in ingresso, l’istanza previamente avanzata dal reclamante, posto che, a suo dire, l’indirizzo e-mail a tal fine utilizzato dall’interessato non è risultato monitorato; tant’è che il titolare ha rappresentato di provvedere quanto prima a sostituire i citati indirizzi e-mail con quelli utilizzati quotidianamente dalla redazione.
Ne consegue che la condotta contestata appare ascrivibile alla mera negligenza del titolare, manifestata sia in relazione alle istanze del reclamante sia con riferimento alla richiesta di informazioni dell’Autorità contravvenendo, con ciò, all’obbligo di comprovare la conformità delle attività di trattamento con il presente Regolamento.
Ciò posto, considerato che la richiesta di informazioni formulata dall’Ufficio il 19 aprile 2024 - inviata a mezzo raccomandata A/R all’indirizzo indicato nel sito internet del titolare (XX) - non è stata riscontrata in quanto restituita al mittente per compiuta giacenza, si rappresenta che consolidata giurisprudenza di legittimità ha ritenuto che la conoscenza di un atto comunicato con lettera raccomandata a mezzo del servizio postale, non consegnata al destinatario per l’assenza sua e delle persone abilitate a riceverla, si presume perfezionata “alla data in cui è rilasciato il relativo avviso di giacenza presso l’ufficio postale, restando irrilevante il periodo legale del compimento della giacenza e quello intercorso tra l’avviso di giacenza e l’eventuale ritiro da parte del destinatario” (cfr. Ordinanza n. 22198/24; in termini Cass. n. 23859 del 2018, che cita a supporto Cass. n. 27526 del 2013 e Cass. n. 6527 del 2003; v. pure Cass. n. 29237 del 2017; Cass. n. 6256 del 2016; Cass. n. 2847 del 1997; Cass. n. 8399 del 1996; Cass. n. 4909 del 1981).
Pertanto, alla luce delle richiamate pronunce giurisprudenziali - potendosi applicare al caso di specie la disciplina contenuta nel D.P.R. 29 maggio 1982, n. 655 (“Approvazione del regolamento di esecuzione dei libri I e II del codice postale e delle telecomunicazioni - norme generali e servizi delle corrispondenze e dei pacchi”), e potendo, per l’effetto, considerare perfezionata la notifica alla parte della comunicazione dell’Autorità oggetto di raccomandata, depositata per 30 giorni presso l’Ufficio postale - si ritiene di confermare la violazione dell’art. 157, del Codice.
Inoltre, le richieste avanzate dall’interessato in sede di interpello preventivo non risultano essere state in alcun modo riscontrate dal titolare nei termini previsti dall’art. 12, par. 3, del Regolamento; come sopra rappresentato, tale lacuna appare ascrivibile alla sola condotta omissiva del titolare dal momento che l’interessato, nell’esercizio dei suoi diritti, si è avvalso di indirizzi e-mail presenti nel sito internet di Sicra Press, a nulla rilevando l’utilizzo o meno degli stessi da parte del titolare. Né la mera cancellazione dei contenuti lamentati - peraltro asseritamente riconducibile a un “virus” del sistema informatico - esaurisce l’obbligo del titolare di fornire agli interessati tutte le informazioni sul trattamento dei loro dati personali e di dare riscontro alle relative istanze. Soltanto a seguito dell’ulteriore nota dell’Ufficio, ricevuta via e-mail il 21 gennaio 2025, il titolare ha fornito il riscontro richiesto all’Autorità non provvedendo, di converso, a darne comunicazione al reclamante.
L’art. 12, par. 2, del Regolamento richiede al titolare di agevolare l’esercizio dei diritti e, in base al successivo par. 3, di dare riscontro all’interessato entro un termine ragionevole e, al più tardi, entro 30 giorni dalla ricezione della relativa istanza. Tale riscontro, come sopra rappresentato, non è stato reso dal titolare neppure a seguito dell’atto di avvio del procedimento, integrando la violazione dell’art. 12, parr. 2 e 3, del Regolamento.
Dalle sopra descritte condotte discende una valutazione di complessiva negligenza da parte del titolare non soltanto nella gestione delle istanze di esercizio dei diritti degli interessati (mediante indicazione nel sito internet di dati di contatto non utilizzati) ma anche nei rapporti con l’Autorità visto il contestato omesso riscontro di cui ai paragrafi precedenti e che ha comportato una inevitabile dilazione dei termini nello svolgimento dell’istruttoria. Si ritiene, dunque, integrata anche la violazione degli artt. 5, par. 2 e 24 del Regolamento, che inquadrano le competenze del titolare in un’ottica di necessaria valorizzazione del principio di responsabilizzazione (“accountability”) finalizzata a dimostrare gli adempimenti effettuati in materia di protezione dei dati personali, anche tenuto conto del principio di privacy by design (art. 25 del Regolamento).
4. CONCLUSIONI
Per quanto sopra esposto, si ritiene accertata la responsabilità del titolare in ordine alle seguenti violazioni:
- art. 5, par. 2, 12, parr. 2 e 3, 24 e 25 del Regolamento;
- art. 157 del Codice.
Accertata l’illiceità delle sopra descritte condotte del titolare:
a) si prende atto della rimozione dell’articolo lamentato, asseritamente riconducibile a un “virus” del sistema informatico, non rinvenendosi i presupposti per l’adozione di ulteriori interventi da parte dell’Autorità;
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, si rende necessario ingiungere di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze (artt. 15 e 17 del Regolamento); ciò anche attraverso il corretto presidio dei canali di comunicazione con gli interessati e l’Autorità;
c) con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
In base a quanto sopra rappresentato, ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.
Quali circostanze da prendere in considerazione, nel caso di specie, devono essere valutati, sotto il profilo delle aggravanti:
- la gravità della violazione tenuto conto della reiterazione delle condotte omissive da parte del titolare in relazione sia alle istanze avanzate dall’interessato in sede di interpello preventivo, sia alle note inviate dall’Autorità alle quali lo stesso ha fornito riscontro a distanza di quasi un anno dall’originaria richiesta di informazioni dell’Ufficio (del 19 aprile 2024) e soltanto dopo essere stato in tal senso sollecitato (in data 21 gennaio 2025) (art. 83, par. 2, lett. a, del Regolamento);
- il carattere negligente della condotta, tenuto conto che il titolare ha agito con noncuranza rispetto agli obblighi derivanti dalla normativa in materia di protezione dei dati personali, con particolare riferimento ai doveri di informazione e di collaborazione individuati dall’art. 31 del Regolamento e dall’art. 157 del Codice, nonché sotto il profilo dell’evasione delle istanze di esercizio dei diritti degli interessati (art. 83, par. 2, lett. b, del Regolamento).
Quali elementi attenuanti, si ritiene di dover tener conto:
- della natura isolata della condotta dal momento che il procedimento in parola è scaturito da un solo reclamo (art. 83, par. 2, lett. a, del Regolamento);
- delle finalità perseguite dal titolare, riconducibili all’esercizio del diritto di cronaca e alla libertà di informazione, secondo quanto stabilito dal Regolamento (art. 85) e dal Codice (artt. 136 e ss.) (art. 83, par. 2, lett. a, del Regolamento);
- dell’assenza di precedenti procedimenti avviati a carico del titolare (art. 83, par. 2, lett. e, del Regolamento);
- della complessiva valutazione sulla capacità economica del titolare - riconducibile a ditta individuale - per il periodo di imposta 2024, caratterizzato da un importo particolarmente esiguo (art. 83, par. 2, lett. k, del Regolamento).
In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività, di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali del titolare, si ritiene debba applicarsi alla ditta individuale Sicra Press di cui la signora Lucia Gullotta risulta essere legale rappresentate, oltreché titolare del sito di informazione on-line “Sicra Press”, la sanzione amministrativa del pagamento di una somma di euro 2.000,00 (duemila/00), pari a circa allo 0,01% della sanzione edittale massima di 20 milioni di euro.
Nel caso in argomento, si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito internet del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in ragione della reiterata condotta omissiva e dell’aggravamento dei tempi e dei costi del procedimento, da cui consegue una valutazione di significativo disvalore della condotta medesima.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dal titolare mediante il sito di informazione on-line “Sicra Press”; di conseguenza:
a) prende atto della rimozione dell’articolo lamentato, asseritamente riconducibile ad un “virus” del sistema informatico, non rinvenendosi i presupposti per l’adozione di provvedimenti da parte dell’Autorità;
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze (artt. 15 e 17 del Regolamento); ciò anche attraverso il corretto presidio dei canali di comunicazione con gli interessati e l’Autorità;
c) ai sensi dell’art. 157 del Codice, ingiunge al citato titolare di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;
ORDINA
alla ditta individuale Sicra Press di cui la signora Lucia Gullotta (C.F. GLLLCU65E52C351P) risulta essere legale rappresentate, oltreché titolare del sito di informazione on-line “Sicra Press”, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
a) ai sensi degli artt. 154-bis del Codice e 37 del regolamento n. 1/2019, la pubblicazione del presente provvedimento nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;
b) ai sensi dell’art. 17 del regolamento n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u, del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 17 aprile 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
