Provvedimento del 28 maggio 2026 [10259894]
Provvedimento del 28 maggio 2026 [10259894]
Condividi[doc. web n. 10259894]
Provvedimento del 28 maggio 2026
Registro dei provvedimenti
n. 381 del 28 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità dal sig. XX, è stato lamentato che, facendo seguito ad una istanza di accesso civico generalizzato presentata all’Università degli studi di Bari Aldo Moro (di seguito, l’Università), è stata inviata, al soggetto controinteressato, “l’integrale istanza completa di tutti i dati personali dell’[…] istante compresi l’indirizzo di residenza e il numero di telefono cellulare”.
2. L’attività istruttoria.
Con nota del XX, a cui si rinvia integralmente, rispondendo alla richiesta di informazioni formulata da questa Autorità in data XX (prot. n. XX), l’Università ha rappresentato, in particolare che “in calce all’istanza, il dott. XX, in grassetto e sottolineato, ha riportato la dicitura “autorizzo il trattamento dei miei dati personali per le finalità connesse alla richiesta” senza indicare alcuna limitazione. E poiché rientra in tale finalità anche il sub procedimento caratterizzato dall’obbligo di notiziare il controinteressato della richiesta di accesso, producendo copia della stessa, come previsto dalla normativa nazionale e dal Regolamento Uniba, vigenti in materia, si ritiene che nessuna violazione si sia configurata in merito alla vicenda che ci occupa. […] l’esplicita ed incondizionata autorizzazione al trattamento dei dati personali da parte del richiedente sembra da un lato consentire l’ostensione della copia integrale della richiesta al controinteressato, e dall’altro esimere il funzionario dall’operare un bilanciamento degli interessi in campo”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Università, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver inviato, nell’ambito di una istanza di accesso civico generalizzato, l’integrale istanza del reclamante, comprensiva di dati eccedenti, quali il numero di telefono e l’indirizzo di residenza dello stesso, in violazione dei principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento.
Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
L’Università ha fatto pervenire le proprie memorie difensive, con nota del XX, rinviando integralmente a quanto già rappresentato nella citata nota del XX e allegando uno “schema analitico degli elementi richiesti dal Garante” sottoscritto dal proprio Responsabile della protezione dei dati (RPD), nonché una nota destinata al personale apicale dell’Università avente ad oggetto l’“Avvio revisione del Regolamento di Ateneo per la disciplina dei procedimenti di accesso – Integrazione del principio di minimizzazione dei dati personali nelle comunicazioni ai controinteressati”.
In quest’ultima nota, in particolare, “si dispone l’avvio di un’attività istruttoria finalizzata: all’introduzione di criteri chiari per l’individuazione dei dati personali strettamente necessari alla tutela del contraddittorio procedimentale; alla previsione di modalità standardizzate di oscuramento o separazione dei dati non necessari; alla definizione di strumenti operativi di supporto (modelli di comunicazione, check-list di verifica preventiva, indicazioni procedurali) [prevedendo, inoltre, che …] nelle more dell’adozione delle modifiche regolamentari, si invitano i Dirigenti a sensibilizzare il personale coinvolto nella gestione dei procedimenti di accesso nel prestare particolare attenzione al rispetto del principio di minimizzazione dei dati personali nelle comunicazioni ai controinteressati, prevedendo, nei casi più complessi, il coinvolgimento preventivo del Responsabile della Protezione dei Dati”.
3. Esito dell’attività istruttoria.
3.1 Normativa applicabile.
Il Regolamento definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1 del Regolamento).
A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).
L’art. 5 comma 5 del dlgs 14 marzo 2013 n. 33 prevede che “fatti salvi i casi di pubblicazione obbligatoria, l'amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi […]”.
In ogni caso, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento) e “minimizzazione dei dati”, secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (par. 1, lett. c) del Regolamento).
3.2 Esito dell’attività istruttoria.
Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che l’Università, nell’ambito di una istanza di accesso civico generalizzato, ha inviato al soggetto controinteressato l’integrale istanza del reclamante, comprensiva di dati eccedenti, quali il numero di telefono e l’indirizzo di residenza dello stesso.
Il trattamento di dati personali effettuato, pertanto, non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto, sebbene in base alla normativa di settore sopra richiamata il soggetto controinteressato possa conoscere l’identità del soggetto istante, in quanto parte del procedimento amministrativo riguardante l’accesso, gli ulteriori dati personali contenuti nell’istanza risultano, in questa fase procedimentale, del tutto eccedenti e non necessari rispetto alla finalità del trattamento, comportando una violazione dei principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, di cui all’art. 5, par. 1, lett. a) e c) del Regolamento.
Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento, quanto dichiarato in merito al fatto che, in calce all’istanza di accesso, il reclamante “in grassetto e sottolineato, ha riportato la dicitura “autorizzo il trattamento dei miei dati personali per le finalità connesse alla richiesta” senza indicare alcuna limitazione” in quanto spetta alla Pubblica Amministrazione, in linea generale, nella gestione delle istanze di accesso, un’adeguata ponderazione della stretta necessità di comunicare ai richiedenti l’accesso e ai controinteressati dati eccedenti dei soggetti coinvolti.
Tutto ciò premesso, risulta che il trattamento di dati personali in questione è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento.
4. Conclusioni
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Università, in violazione dell’art. 5, par. 1 lett. a) e c) del Regolamento.
Ciò premesso, tenuto conto che:
- il trattamento dei dati personali ha riguardato un solo interessato;
- il titolare del trattamento ha agito nell’erronea convinzione che il reclamante avesse autorizzato il trattamento dei dati personali, senza indicare alcuna limitazione, giustificando l’invio della sua istanza in versione integrale al controinteressato;
- il titolare del trattamento ha avviato una procedura interna al fine di sensibilizzare il personale interno, nei procedimenti di accesso, al rispetto del principio di minimizzazione;
- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato l’art. 5, par. 1 lett. a) e c) del Regolamento.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Università degli studi di Bari Aldo Moro, con sede in Piazza Umberto I, n. 1 - 70121 Bari - C.F. 80002170720 - descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 5, par. 1 lett. a) e c) del Regolamento;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Università degli studi di Bari Aldo Moro quale titolare del trattamento in questione, per aver violato l’art. 5, par. 1 lett. a) e c) del Regolamento
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 28 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
