[doc. web n. 10210431]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 759 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’avvio del procedimento

1.1. Con il reclamo presentato a questa Autorità in data 18 novembre 2024, la sig.ra XX, rappresentata dall’avv. XX, lamentava profili di violazione della normativa in materia di protezione dei dati personali in relazione all’invio, da parte dell’Arch. XX (di seguito “il titolare del trattamento”), di una comunicazione, afferente all’esecuzione di una prestazione professionale, contenente dati personali riferibili alla reclamante. In particolare, veniva lamentato l’invio da parte della professionista (avvenuto in data 9 ottobre 2023) alla casella PEC predisposta per le comunicazioni istituzionali dell’Ufficio pubblico presso la quale la reclamante operava (non riservato all’accesso della sola reclamante) − segnatamente l’indirizzo XX, predisposto per le comunicazioni istituzionali presso il Ministero XX –, di una comunicazione, della quale veniva prodotta copia, contenente dettagli relativi a vicende in alcun modo correlate a finalità di natura istituzionale ma inerenti allo svolgimento ed alla revoca dell’incarico professionale di direzione lavori del cantiere presso l’abitazione privata della reclamante (della quale era desumibile nella comunicazione anche l’indirizzo) nonché all’asserito inadempimento della propria prestazione da parte della reclamante.

1.2. Con la nota del 7 marzo 2025 (prot. 30450), ai sensi dell’art. 157 del Codice, l’Ufficio invitava la professionista, in qualità di titolare del trattamento, a trasmettere ogni utile elemento di valutazione con riguardo alla condotta oggetto del reclamo.

In relazione a tale richiesta di informazioni, che risulta essere stata regolarmente ricevuta, la titolare del trattamento non faceva pervenire alcun riscontro all’Autorità.

2. Il quadro giuridico del trattamento effettuato e l’esito dell’istruttoria

2.1. Ogni trattamento di dati personali – nel caso di specie quello relativo alla divulgazione di dati personali (concernenti l’asserito inadempimento di una prestazione professionale da parte della reclamante nonché concernente l’indirizzo di privata abitazione della stessa) per il tramite di un indirizzo di posta elettronica istituzionale destinato all’accesso di una pluralità di destinatari autorizzati diversi dalla sola reclamante − deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).

In particolare, il trattamento di dati personali deve avvenire nel rispetto dei principi di liceità, di tal che deve essere sorretto da una idonea base giuridica (art. 5, par. 1, lett. a), 6 del Regolamento), e di correttezza (art. 5, par. 1, lett. a) del Regolamento).

2.2. Con riguardo alla condotta oggetto di reclamo non consta in atti che l’avvenuta divulgazione di dati personali riferita alla reclamante mediante l’impiego di un indirizzo di posta elettronica certificata (Pec) di natura istituzionale, peraltro non rimesso nella esclusiva disponibilità della destinataria della comunicazione (ma di una platea più ampia di soggetti allo stesso autorizzato ad accedere), sia stata dalla stessa autorizzata né che sussista altra idonea base giuridica ai sensi dell’art. 6 del Regolamento.

Sotto un ulteriore profilo, deve peraltro ritenersi contrario al principio di correttezza, l’invio di una comunicazione di natura personale, peraltro avente ad oggetto un asserito inadempimento, presso il luogo di lavoro della destinataria della stessa, ben potendo tale comunicazione (indipendentemente dalla veridicità del suo contenuto) avvenire in altre, più tradizionali forme (anche volte ad assicurare comunque la prova dell’avvenuta ricezione della comunicazione in modo tale da assicurare comunque la confidenzialità del contenuto della stessa) presso lo stesso domicilio della reclamante, peraltro noto al professionista che presso lo stesso ha operato (ad esempio mediante comunicazione raccomandata).

2.3. Sotto diverso profilo, nella vicenda in esame viene anche in rilievo l’art. 31 del Regolamento il quale prevede, in termini generali, che il titolare del trattamento, ove (come nel caso di specie) richiesto, sia obbligato a cooperare con l’Autorità di controllo. Tale disposizione si raccorda direttamente con la previsione contenuta nell’art. 157 del Codice secondo il quale, “nell’ambito dei poteri di cui all'articolo 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare […] di fornire informazioni e di esibire documenti […]”.

Al riguardo deve essere rilevato che il titolare del trattamento, a fronte della richiesta formulata dall’Ufficio ai sensi del 157 del Codice, non ha fornito alcun riscontro, venendo così meno all’obbligo di cooperazione previsto dall’art. 31 del Regolamento e dell’art. 157 del Codice (cfr. al riguardo Cass. 12 giugno 2018, n. 15332).

2.4. Sulla scorta di tali considerazioni e degli elementi in atti, l’Ufficio, con la comunicazione del 12 settembre 2025, che pure risulta essere stata regolarmente ricevuta, notificava al titolare del trattamento l’illiceità del trattamento posto in essere ai sensi degli artt. 5, par. 1, lett. a) e 6 del Regolamento nonché la violazione degli articoli 31 del Regolamento nonché 157 e 166, comma 2 del Codice, comunicando altresì, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti correttivi di cui all’articolo 58, par. 2, del Regolamento e, ove applicabili, delle sanzioni di cui all’articolo 83 del Regolamento.
Anche in relazione a tale notificazione non seguiva riscontro alcuno da parte della titolare del trattamento.

3. Illiceità del trattamento

3.1. Alla luce di quanto precede, il Garante rileva che il trattamento dei dati personali effettuato nel caso di specie non si è informato al quadro regolatorio sopra richiamato, non risultando comprovata la base giuridica posta a fondamento, ai sensi degli articoli 5, par. 1, lett. a) e 6 del Regolamento, della comunicazione posta in essere dal titolare del trattamento nello svolgimento della sua attività professionale, e dovendosi comunque ritenere che la condotta tenuta si ponga in violazione del principio di correttezza nei termini sopra descritti. Ben poteva, infatti, il titolare del trattamento effettuare la comunicazione alla reclamante con modalità tali da prevenire l’indebita conoscenza di vicende interpersonali (indipendentemente dalla fondatezza delle stesse) in alcun modo correlate con la sfera professionale facente capo alla reclamante e con la destinazione all’assolvimento di una funzione pubblica dell’account di posta elettronica utilizzato presso il Ministero. Comunicazione che, in conformità al principio di correttezza nel trattamento, ben avrebbe potuto (e dovuto) aver luogo ricorrendo ad altri canali di comunicazione, senza rendere conoscibile il contenuto della stessa ad una pluralità di soggetti diversi dalla destinataria della comunicazione (peraltro nel contesto lavorativo). 

3.2. In pari tempo, come sopra rappresentato, nel caso di specie risulta altresì violato l’obbligo di cooperazione che, in base all’art. 31 del Regolamento, grava in capo del titolare del trattamento il quale non risulta aver dato riscontro alla richiesta di informazioni formulata ai sensi dell’art. 157 del Codice.

4. Ordinanza di ingiunzione

4.1. Le violazioni accertate nei termini di cui in motivazione non possono essere considerate di rilevanza “minore”, tenuto conto della natura e della gravità delle stesse violazioni nonché del grado di responsabilità in capo al titolare del trattamento (v. cons. 148 del Regolamento).

Pertanto, accertata l’illiceità delle condotte come sopra descritte, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice per l’applicazione di una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento.

4.2. Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura e gravità della violazione, è stata presa in considerazione la condotta della titolare del trattamento con particolare riguardo alla comunicazione a terzi, non autorizzata dalla reclamante, di dati personali alla stessa riferibili − tra i quali l’indirizzo di abitazione e il comportamento dalla stessa asseritamente tenuto in ordine all’esecuzione del rapporto contrattuale in essere con la direzione lavori, circostanza che (indipendentemente dalla veridicità delle affermazioni, è idonea a recare discredito all’interno di un contesto professionale) – mediante un account di posta elettronica istituzionale posto nella disponibilità di una pluralità di soggetti, e non solo della reclamante;

b. quale fattore aggravante, la mancata cooperazione prestata rispetto all’attività di accertamento posta in essere dall’Autorità, obbligo al quale è tenuto ogni titolare del trattamento;

c. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali;

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a), c), 6 del Regolamento e 157 del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa (al punto 1) con violazione del principio di correttezza e di liceità nel trattamento di cui agli artt. 5, par. 1, lett. a), nonché 6 del Regolamento;

ORDINA

al titolare del trattamento di pagare la somma di euro 1000,00 (mille) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

al medesimo titolare del trattamento di pagare la somma di euro 1000,00 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Al riguardo si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, omettendo il nome delle parti e del legale della reclamante, nonché la denominazione del Ministero e dell’account di posta elettronica utilizzato;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Montuori