[doc. web n. 10223836]

Provvedimento del 29 gennaio 2026

Registro dei provvedimenti
n. 37 del 29 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo del XX, presentato da XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della disciplina in materia di protezione dei dati personali.

Nello specifico, è stato rappresentato che è stata inoltrata un’istanza al Comune di Mirabella Eclano del XX – assunta al protocollo n. XX dell’XX – con la quale sono stati esercitati i diritti in materia di protezione dei dati personali ai sensi degli artt. 15 ss. del RGPD. In particolare, il reclamante ha chiesto all’amministrazione, fra l’altro, una limitazione del trattamento dei propri dati personali per illiceità, con riferimento ai «dati anagrafici» riportati «in chiaro […] sia nella deliberazione della Giunta Comunale n. XX del XX che nel verbale di conciliazione n. XX del XX», pubblicate online sul sito web del predetto Comune. Nel reclamo è inoltre lamentato che l’amministrazione non ha fornito riscontro a tale istanza nel termine di 30 giorni previsto dal RGPD.

Dalla documentazione trasmessa, allegata al reclamo, risulta che la citata delibera G.C. n. XX aveva a oggetto «Giudizio innanzi al Tribunale [identificato in atti] - approvazione verbale di conciliazione» ed era stata pubblicata online unitamente all’allegato verbale di conciliazione, diffondendo i dati ivi contenuti, quali nominativo e codice fiscale del reclamante, nonché informazioni sul procedimento giudiziario attivato dal reclamante nei confronti del Comune, fra cui gli importi delle somme riconosciute dall’ente nei propri confronti.

Successivamente alla presentazione del reclamo, con e-mail del XX, il reclamante ha integrato la documentazione già prodotta. Al riguardo, è stato trasmesso il riscontro tardivo del Comune all’istanza di esercizio dei diritti e la copia dell’e-mail dell’XX a firma della XX – XX – inviata al Responsabile della protezione dei dati del Comune in cui è stato rappresentato che «In relazione alla richiesta del sig. XX, […] il comune di Mirabella ha provveduto ad oscurare le generalità del richiedente dalla delibera di G.C. n. XX, pubblicata sul sito dell'ente e ad eliminare l'allegato verbale di conciliazione». 

Il reclamante, tuttavia, pur prendendo atto dell’avvenuto oscuramento dei dati, ritiene «impropria» la «pubblicazione di dati sensibili dal XX (per un totale di circa 12 mesi)» e considera eccessivi «i tempi per la rimozione dei dati».

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Con particolare riferimento alla fattispecie oggetto di reclamo a questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» solo nei casi previsti dall’art. 2-ter del Codice, nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere necessari e proporzionati, ossia «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c). Fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del

15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

In tale quadro, si evidenzia che il Comune, in qualità di titolare del trattamento dei dati personali, è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD). 

Il RGPD richiede inoltre che, alla luce del principio di responsabilizzazione (accountability), il titolare del trattamento non solo deve rispettare, ma anche «essere in grado di dimostrare, che il trattamento è effettuato conformemente al […] regolamento [europeo]» (artt. 5, par. 2; 24).

Questa Autorità, anche con riferimento alle delibere di giunta comunale con le quali si autorizza la costituzione in giudizio dell’Ente, ha più volte indicato che, ai fini della pubblicazione sul sito web istituzionale, risulta «del tutto irrilevante, e dunque sproporzionato, diffondere su Internet anche i[l] nominativ[o] dell[a] part[e] in causa […]», essendo sufficiente, nel rispetto del rispetto del principio di adeguata motivazione, indicare gli elementi essenziali della vicenda o «anche solo il numero di ruolo generale della causa» (cfr. i provvedimenti n. 614 del 17/10/2024, in www.gpdp.it, doc. web n. 10079511; n. 65 del 2/3/2023, ivi, doc. web n. 9874480; n. 212 del 9/6/2022, ivi, doc. web n. 9789037; n. 213 del 9/6/2022, ivi, doc. web n. 9789488; n. 149 del 28/4/2022, ivi, doc. web n. 9777127).

Inoltre, ai sensi degli artt. 18 e 21 del RGPD l’interessato ha il diritto di ottenere la limitazione del trattamento nel caso in cui «il trattamento è illecito» e di opporsi «per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f)».

L’art. 12 del RGPD prevede che il titolare del trattamento deve fornire all'interessato «le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del Regolamento senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa» (parr. 1 e 3). Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve comunque informarlo senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (par. 4). 

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Mirabella Eclano – diffondendo i dati e le informazioni personali prima descritti nonché riscontrando l’istanza di esercizio dei diritti oltre il termine previsto dal RGPD – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto ente le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Mirabella Eclano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

1. «la delibera di Giunta Comunale n. XX del XX è stata pubblicata all’Albo pretorio on line dell’ente in data XX per 15 giorni consecutivi e, in virtù dell’automatismo tra il gestionale degli atti amministrativi dell’Ente e la Sezione e-gov del sito, l’atto è stato trasferito nella sottosezione Provvedimenti dell’Amministrazione Trasparente».

2. «A seguito della nota del Sig. XX pervenuta al prot. comunale n. XX del XX, indirizzata al DPO, in data XX è stato prontamente interessato XX, incaricato con delibera di G.C. n. XX del XX, delle funzioni di DPO».

3. «In data XX il DPO comunicava all’Ente, con nota acquisita al prot. com.le n. XX […], che la gestione della richiesta del Sig. XX non richiedeva attività dirette da parte del DPO».

4. «In data XX, prot. XX [si] inviava nuovamente al DPO la richiesta pervenuta in data XX, con preghiera di fornire le informazioni richieste direttamente all’interessato e, per conoscenza all’ente».

5. «A tale ultima richiesta è stato fornito riscontro dal DPO in data XX ove quest’ultimo invitava l’Ente a provvedere, con cortese sollecitudine, a oscurare, nella delibera di giunta n. XX del XX, i riferimenti al sig. XX, a eliminare verbale di conciliazione ad essa allegato».

6.  «In data XX, con nota prot. XX si comunicava al DPO che il comune di Mirabella Eclano aveva provveduto ad oscurare le generalità del richiedente dalla delibera di G.C. n. XX, pubblicata sul sito dell’ente e ad eliminare l’allegato verbale di conciliazione»;

7. «L’analisi dell’accaduto ha messo in evidenza: la sottovalutazione iniziale della portata della pubblicazione, erroneamente considerata conforme agli obblighi di trasparenza in considerazione di una normativa non sempre chiara[, nonché] la scarsità di risorse in termini del personale preposto alla pubblicazione degli atti, che ha comportato un ritardo nella presa in carico effettiva della richiesta da parte del Sig. XX»;

8. «A seguito dell’accaduto, questa amministrazione ha adottato, con la supervisione del RPD: la revisione delle procedure interne relative alla pubblicazione degli atti con contenuto personale[, nonché] la rimozione del documento e delle relative copie».

9. «Si precisa, inoltre, che:

- l’inadempienza è stata episodica e non intenzionale;

- nessun dato sensibile è stato oggetto di diffusione sistematica;

- sono state attivate misure correttive interne per evitare il ripetersi di simili circostanze, incluso un rafforzamento delle procedure di controllo pre-pubblicazione dei documenti».

10. «Si rappresenta, infine, che dalla data di istanza di esercizio dei diritti (XX) alla data di rimozione dei dati (XX), il comune e il DPO hanno posto in essere una serie di attività, fornendo informazione all’interessato».

5. Esito dell’istruttoria relativa al reclamo presentato 

La questione sottoposta all’attenzione del Garante riguarda la condotta posta in essere dal Comune di Mirabella Eclano, il quale ha diffuso i dati personali del reclamante riportati in alcuni documenti pubblicati online sul sito web istituzionale e non ha provveduto a fornire riscontro all’istanza del reclamante con la quale erano stati esercitati i diritti in materia di protezione dei dati personali ai sensi degli artt. 15 ss. del RGPD nel termine di 30 giorni previsto dal RGPD.

Nelle memorie difensive il Comune ha confermato l’avvenuta diffusione dei dati personali online e la permanenza oltre i 15 giorni dovuta a un errore derivante da un automatismo nel trasferimento degli atti pubblicati nell’albo pretorio online «nella sottosezione Provvedimenti dell’Amministrazione Trasparente» del sito web. L’amministrazione ha inoltre rappresentato che l’istanza di esercizio dei diritti, presentata dal reclamante al Comune, è stata regolarmente istruita (anche per il tramite il Responsabile della protezione dei dati nominato dall’ente) e si è provveduto all’oscuramento dei dati personali riscontrando l’istanza del reclamante, seppur con ritardo rispetto al termine di 30 giorni previsto dal RGPD.  

Il Comune ha rappresentato che la condotta posta in essere «è stata episodica e non intenzionale» ed è derivata da un errore nell’interpretazione della disciplina di settore e dalla «scarsità di risorse in termini del personale preposto alla pubblicazione degli atti, che ha comportato un ritardo nella presa in carico effettiva della richiesta da parte del Sig. XX». L’ente ha aggiunto che, in ogni caso, «nessun dato sensibile è stato oggetto di diffusione sistematica» e che ha posto in essere «misure correttive interne per evitare il ripetersi di simili circostanze, incluso un rafforzamento delle procedure di controllo pre-pubblicazione dei documenti».

La ricostruzione offerta dall’Ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non risulta sufficiente a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

6. Conclusioni

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva che la condotta tenuta dal Comune di Mirabella Eclano non è stata conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto:

1. la diffusione dei dati personali contenuti nella delibera di Giunta Comunale n. XX e nell’allegato contenente il verbale di conciliazione n. XX è avvenuta:

a) senza adottare «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD;

b) senza rispettare i principi di «limitazione della finalità» e di «minimizzazione», secondo i quali i dati personali devono essere necessari e proporzionati, in violazione dell'art. 5, par. 1, lett. b) e c), del RGPD; 

2. il Comune ha fornito riscontro all’istanza di esercizio dei diritti del sig. XX del XX solo in data XX e quindi oltre il termine di 30 giorni, in violazione degli artt. 12, parr. 1, 3 e 4 del RGPD.

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso in esame, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che:

- il Comune di Castelnuovo di Mirabella Eclano è un ente di medie dimensioni con poco più di 6500 abitanti e con un numero ridotto di personale preposto alla pubblicazione degli atti;

- la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, riguarda dati personali (non appartenenti a categorie particolari né a condanne penali o reati di cui agli artt. 9 e 10 del RGPD) riferiti un solo soggetto interessato e – considerato quanto dichiarato dal Comune – deriva da un errore interpretativo, risultando quindi essere di natura colposa;

- la condotta è cessata precedentemente dell’apertura dell’istruttoria dell’Ufficio, sebbene dopo la presentazione del reclamo. Ciò in quanto il Comune ha provveduto a riscontrare l’istanza di esercizio dei diritti del XX con e-mail dell’XX e ad aderire alla richiesta del reclamante di oscuramento dei dati personali pubblicati online prima dell’intervento dell’Ufficio, con un ritardo di poco più di due mesi durante i quali non c’è stata inerzia dell’amministrazione, ma diverse interlocuzioni con il Responsabile della protezione dei dati;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente;

- il Comune ha dichiarato di avere posto in essere «misure correttive interne per evitare il ripetersi di simili circostanze, incluso un rafforzamento delle procedure di controllo pre-pubblicazione dei documenti».

Le circostanze del caso concreto inducono pertanto a qualificare la presente fattispecie come «violazione minore», ai sensi del cons. 148, dell’art. 83, par. 2, del RGPD e delle «Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679», adottate dal Gruppo di Lavoro Art. 29 il 3/10/2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25/5/2018. 

Alla luce di tutto quanto sopra rappresentato e dei termini complessivi della vicenda in esame, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche cons. 148 del RGPD). 

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità della condotta tenuta dal Comune di Mirabella Eclano, in persona del legale rappresentante pro-tempore, con sede legale in Via Municipio,1 - 83036 Mirabella Eclano (AV) – C.F. 81002070647 – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD

AMMONISCE

il Comune di Mirabella Eclano per aver violato gli artt. 5, par. 1, lett. b) e c); 12, parr. 1, 3 e 4 e 25, parr. 1 e 2, del RGPD

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori