Provvedimento dell'11 giugno 2026 [10266190]
Provvedimento dell'11 giugno 2026 [10266190]
[doc. web n. 10266190]
Provvedimento dell'11 giugno 2026
Registro dei provvedimenti
n. 427 dell'11 giugno 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la Sig.ra XX, dipendente del Comune di Piacenza, ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali
In particolare, dal reclamo è emerso che un verbale redatto dal Nucleo di Valutazione del Comune e riferito sia a sé sia a una propria collega, sarebbe stato notificato in versione integrale a entrambe le interessate, senza previamente oscurare le parti del documento non relative alla specifica posizione del dipendente destinatario della notifica, con la conseguenza che ciascuna lavoratrice è venuta a conoscenza d’informazioni relative al procedimento di revisione della valutazione dell’altra.
2. L’attività istruttoria.
In riscontro a una richiesta d’informazioni dell’Autorità, formulata ai sensi dell’art. 157 del Codice (v. nota prot. n. 0139526 del 21 ottobre 2025), il Comune, con nota del 4 novembre 2025 (prot. n. 0181815), ha dichiarato, in particolare, che:
- “la vicenda […] trae origine dalla conclusione della procedura di valutazione della performance relativa all’anno 2024”;
- “la [reclamante], all’epoca dei fatti dipendente assegnata al Settore […] del Comune di Piacenza, ha svolto – in data […] 2025 - con la propria Dirigente […] il colloquio conclusivo, così come risulta dalla scheda di valutazione […]”;
- “stante, a conclusione della procedura di revisione [richiesta dalla dipendente in ordine alla propria valutazione] , il permanere del disaccordo in ordine alla valutazione espressa dalla Dirigente, […] il competente Servizio […] ha trasmesso gli atti al Nucleo di Valutazione [… che] non ha rilevato irregolarità nella procedura seguita […]”;
- “nella medesima seduta, il Nucleo di Valutazione ha altresì esaminato la posizione [di un’altra] dipendente del [medesimo] Settore […], provvedendo a redigere un unico verbale che […] è stato [notificato individualmente] - con nota prot. gen. n. XX del XX - alle dipendenti interessate, senza provvedere, per un errore materiale, all’oscuramento del reciproco nominativo”;
- “le dipendenti interessate dalla presunta violazione […] erano, all’epoca dei fatti, colleghe assegnate al[lo stesso] Settore […]; le stesse sono state assistite nella procedura di revisione dal medesimo sindacalista, ed hanno potuto reciprocamente constatare l’avvenuto svolgimento del colloquio di revisione con la Dirigente interessata (stante anche la comune assistenza, in quella sede, del medesimo sindacalistica). Da tali fatti, emerge con chiarezza che la circostanza (l’avvenuta presentazione di una procedura di revisione della valutazione) per cui è stato sporto reclamo fosse già nota alla [reclamante], anche prima della notifica del verbale del Nucleo. In altri termini, si può ragionevolmente affermare che […] la presentazione di un’istanza di revisione fosse un fatto notorio per le [dipendenti interessate]”;
- “il titolare [alla luce dei fatti oggetto di reclamo] ha inviato specifica comunicazione interna nella quale si ribadiva al Nucleo di Valutazione la necessità di redigere, laddove vi siano più dipendenti coinvolti appartenente alla medesima struttura, verbali separati; questo in ottica di prevenzione di possibili future violazioni delle normative vigenti in materia di protezione dei dati personali”.
Con nota del 3 marzo 2026 (prot. n. 0032946), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver lo stesso posto in essere una comunicazione di dati personali, relativi alle due lavoratrici interessate, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.
Con nota del 2 aprile 2026 (prot. n. 0061245), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:
- “dati personali oggetto di indebita conoscibilità sono stati […] esclusivamente: nome e cognome delle dipendenti; circostanza dell’avvenuta presentazione, da parte delle stesse, di una richiesta di revisione della valutazione della performance”;
- “la conoscibilità dei dati è avvenuta esclusivamente tra due soggetti determinati (la
[reclamante] e [l’altra dipendente]), entrambe appartenenti al medesimo Settore […]”;
- “le dipendenti erano contemporaneamente presenti nella stessa sala d’attesa e, successivamente, durante i colloqui di revisione, nella stessa sede di servizio potendo constatare reciprocamente l’avvenuto svolgimento delle procedure”;
- “la violazione consiste nella mancata oscurazione, per errore, dei nominativi delle dipendenti […] nel verbale del Nucleo di Valutazione […]”;
- “l’evento è riconducibile a un mero errore materiale dovuto a disattenzione commessa durante la redazione del verbale, senza intenzione di arrecare danno agli
interessati”;
- “è stata annullata e cancellata la nota […] contenente il verbale con i nominativi delle dipendenti […], non oscurati. Sono stati, successivamente, trasmessi verbali separati, con i dati reciproci delle dipendenti correttamente oscurati, assicurando che ciascun interessato ricevesse esclusivamente i propri dati”;
- “il titolare ha inviato comunicazione interna al Nucleo di Valutazione, ribadendo la necessità di redigere verbali separati qualora vi siano più dipendenti coinvolti nella medesima struttura, al fine di prevenire analoghi eventi”.
3. Esito dell’attività istruttoria.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; artt. 2-ter e 2-sexies del Codice).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali a terzi (4, par. 1, lett. a), del Codice), da parte di soggetti pubblici, è ammessa solo al ricorre delle condizioni previste, in particolare, dall’art. 2-ter, commi 1, 1-bis e 2 del Codice.
Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
Nel caso di specie, all’esito dell’istruttoria relativa al reclamo, è emerso che il Nucleo di Valutazione del Comune ha notificato alla reclamante e a un’altra lavoratrice un verbale relativo all’esito del controllo posto in essere dal Nucleo in merito alla correttezza del procedimento di valutazione; ciò mediante una stessa nota (prot. gen. n. XX del XX), senza previamente oscurare le parti riportanti dati personali dell’altra collega interessata.
Come da tempo chiarito dal Garante con provvedimenti a carattere generale e decisioni su singoli casi, le amministrazioni, anche quando operano come datrici di lavoro, devono adottare le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali da parte di terzi o soggetti diversi dal destinatario (cfr. punto 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161 e in www.gpdp, doc. web n. 1417809). I dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, infatti, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento. Diversamente, nessuna violazione della disciplina di protezione dei dati personali può essere riscontrata nelle ipotesi in cui i soggetti, cui fanno capo specifiche mansioni, vengano a conoscenza di dati personali degli interessati, quando sia necessario per lo svolgimento delle funzioni loro attribuite.
In tale quadro, il Garante ha in più occasioni dichiarato l’illiceità, per assenza di presupposto normativo, della comunicazione a soggetti terzi di dati personali contenuti anche in schede valutative dei dipendenti (v., in particolare, provv.ti 1° giugno 2023, n. 223, doc. web n. 9916798; 5 dicembre 2013, nn. 545 e 546, doc. web nn. 2894559 e 2896275), fermo restando che, nella vicenda oggetto di reclamo, lo specifico contenuto relativo al merito della valutazione individuale di ciascuna lavoratrice interessata non è stato oggetto di comunicazione.
Alla luce di tutto quanto sopra e considerato che, nel caso di specie, difetta una base giuridica che potesse giustificare il trattamento dei dati personali in questione (cfr. art. 6, par. 1, lett. c) ed e) del Regolamento), deve concludersi che il Comune, ancorché a causa di un mero errore umano, ha posto in essere una comunicazione di dati personali, relativi alla reclamante e un’altra lavoratrice, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva la violazione, da parte del Comune di Piacenza, degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice.
Ciò premesso, considerato che il titolare del trattamento è un Comune di circa 103.400 abitanti, nonché, tenuto conto che:
- la violazione, che rappresenta un fatto episodico, ha riguardato due sole interessate (cfr. art. 83, par. 2, lett. a), del Regolamento);
- la violazione ha carattere colposo, essendosi verificata a causa di un mero errore (cfr. art. 83, par. 2, lett. b), del Regolamento);
- la violazione non ha riguardato dati personali relativi alle categorie particolari di cui all’art. 9 del Regolamento, dovendosi, peraltro, considerare che, in base a quanto dichiarato dal Comune, le due interessate - in servizio presso lo stesso Settore, assistite dal medesimo rappresentante sindacale e convocate nella medesima giornata per essere ascoltate - erano ragionevolmente già a conoscenza quantomeno della sussistenza del procedimento di revisione della rispettiva valutazione (cfr. art. 83, par. 2, lett. g), del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);
- il Comune ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria, avendo anche dichiarato di aver adottato misure volte a prevenire il verificarsi di simili episodi in futuro (art. 83, par. 2, lett. f), del Regolamento);
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene sufficiente ammonire il Comune di Piacenza per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n.1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dal Comune di Piacenza, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Cavalli, 2 - 29120 Piacenza (PC), C.F. 00229080338, per violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il Comune di Piacenza, per aver violato gli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice, come sopra descritto;
c) dispone, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
d) dispone, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 giugno 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Montuori
Condividi