[doc. web n. 10220335]

Provvedimento del 16 gennaio 2025

Registro dei provvedimenti
n. 2 del 16 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

L’Autorità nell’ambito degli accertamenti effettuati d’ufficio in relazione ai trattamenti di dati personali connessi all’erogazione della carta “Dedicata a te” per il 2023 (di seguito “Carta”) consistente in 380 euro per l’acquisto di beni alimentari e altri generi destinato a soggetti a basso reddito esclusi da altri sussidi (di seguito, i “Beneficiari”) – ha appreso che il Comune di Cori ha proceduto alla pubblicazione degli elenchi dei beneficiari sul proprio sito istituzionale (https://www.comune.cori.lt.it/it-it/home).

Al riguardo, l’art. 1, comma 450, della legge 29 dicembre 2022, n. 197, ha istituito, nello stato di previsione del Ministero dell’agricoltura, della sovranità alimentare e delle foreste, un fondo, destinato all’acquisito di beni alimentari da parte dei soggetti aventi un indicatore della situazione economica equivalente (ISEE) non superiore a 15.000,00 euro e con nuclei familiari composti da almeno tre persone. Con decreto del 18 aprile 2023 il predetto Ministero, ha emanato le disposizioni attuative, prevedendo che l’erogazione avvenisse mediante carte elettroniche di pagamento, prepagate e ricaricabili, messe a disposizione da Poste Italiane. La procedura per l’erogazione prevedeva che i Comuni, ricevuto dall’INPS l’elenco dei beneficiari ricavato dai dati in possesso dello stesso Ente, avrebbero dovuto verificare la posizione anagrafica dei nuclei familiari e consolidare gli elenchi mediante l’applicazione WEB dell'INPS entro 15 giorni, in modo che, nei successivi 10 giorni, INPS potesse comunicare l’elenco definitivo a Poste Italiane per la predisposizione delle Carte. Ai Comuni è stato, infine, assegnato il compito di comunicare agli interessati l'assegnazione del beneficio e le modalità di ritiro della Carta

Nel caso specifico, sul sito istituzionale del Comune di Cori, risultavano pubblicati l’”Avviso pubblico Carta dedicata a te”, e il documento in formato .pdf di 12 pagine recante la lista dei beneficiari, individuati mediante l’indicazione delle prime 9 lettere del codice fiscale, delle prime 3 lettere del cognome e della data di nascita del beneficiario (cfr. url: https://...).

2. L’attività istruttoria

Sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, l’Ufficio, con nota del XX (prot. n. XX), ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver diffuso i dati e le informazioni personali dei Beneficiari – quali le prime 9 lettere del codice fiscale, le prime 3 lettere del cognome e la data di nascita del beneficiario –, in assenza di una idonea base giuridica.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

A seguito della suddetta notifica, con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“il Comune: l’XX riceveva la lista dei beneficiari selezionati dall’INPS; il XX convalidava la lista dei beneficiari; entro 10 giorni dal XX, l'INPS comunicava gli elenchi definitivi dei beneficiari. Conseguentemente, nelle strettissime tempistiche (tra fine giugno e inizio settembre) [il Comune] aveva la necessità di comunicare ai propri cittadini, il prima possibile e con la massima efficienza, l’inserimento nei su menzionati elenchi, pena l’impossibilità di permettere l’erogazione del beneficio (entro e non oltre il XX)”;

“ipotizzare una procedura di comunicazione tramite raccomandata con ricevuta di ritorno o tramite messi comunali avrebbe imposto una spesa al Comune che non era prevista in bilancio e [...] un forte allungamento dei tempi (ben oltre il XX)”.

“il Comune ha ritenuto di procedere alla pubblicazione sul proprio sito internet dell’elenco dei beneficiari [...] per permettere ai propri cittadini di verificare in maniera semplice se fossero presenti nell’elenco”;

“ha ritenuto che indicare parte del codice fiscale, le iniziali del nome e cognome, nonché la data di nascita, fosse la soluzione più corretta e adeguata ai fini del [...] bilanciamento di interessi”;

“[le] scelte da ponderare ponevano [l’amministrazione] tra il rischio di violare le norme di disciplina economica finanziaria […o] quelle in materia di assistenza alle situazioni di bisogno. È proprio per le dette ragioni che si è valutato tale tipo di trattamento [...] come proporzionato alla finalità perseguita”;

“si è ritenuto che l’eventuale rischio di violazione dei dati personali connesso alla diffusione degli stessi [...] potesse essere accettato” in quanto, sebbene “l’interessato potesse essere individuato procedendo all’incrocio dei dati personali diffusi [...] anche indirettamente attraverso ulteriori fonti, tale circostanza poteva considerarsi abbastanza residuale, nel contesto [...] del Comune montano” e, comunque, “detto rischio, paradossalmente, risulterebbe maggiore (ma comunque residuale in considerazione delle misure di sicurezza organizzative adottate dall’Ente), nel momento dell’effettivo ritiro della carta presso l’Ente comunale [...]”;

“nonostante l’avviso [...], molti cittadini non si presentavano presso gli uffici comunali in quanto non erano stati in grado di visualizzare la comunicazione sul sito o [...] non erano riusciti a riconoscersi nell’elenco [...]. Pertanto, il riscontro di tali difficoltà [...] induceva il Comune, il XX, a procedere alla spedizione di 78 lettere […], al fine di avvisare i cittadini che non si erano presentati autonomamente presso gli uffici dell’Amministrazione di recarsi presso gli stessi”.

”in relazione all’erogazione del medesimo beneficio relativo all’anno 2024, in data XX il su menzionato Ministero competente ha emanato un nuovo decreto di disposizioni attuative [...] chiarendo che gli elenchi dei beneficiari devono essere pubblicati, in evidenza, sui siti internet di ciascun Comune con modalità tali da garantire la riservatezza dei dati, [...], differentemente da [...] quello del XX (applicabile alla fattispecie contestata) [che] non forniva alcuna indicazione in merito al coordinamento con il decreto trasparenza e la normativa in materia di dati personali [...]”.

Con la medesima nota, il Comune ha altresì rappresentato che “a seguito della notifica degli accertamenti predisposti dal Garante ha immediatamente provveduto a rimuovere il documento” e che “ai fini dell’erogazione del beneficio in relazione al corrente anno”, il Comune di Cori sta provvedendo a “redigere un avviso degli elenchi dei beneficiari con modalità del tutto pseudonimizzate tali da impedire, sulla base della mera lettura, l’attribuzione del dato ad una persona ed al contempo rispettare il dato normativo in materia di trasparenza”, oltre ad adottare ulteriori misure, quali l’organizzazione di un evento formativo riservato ai “dipendenti pubblici coinvolti negli adempimenti in materia di pubblicazione e trasparenza [incentrata] sulle linee guida in materia specificatamente predisposte dal DPO e inviate al Comune nel marzo 2024”. Oltre a ciò, il Comune ha evidenziato come “l’attività che si suppone violativa del trattamento dei dati personali ha (ove confermata) carattere assolutamente colposo”, “che i dati personali coinvolti nell’evento non rientrano nelle previsioni di cui agli artt. 9 e 10 del Regolamento”, e che “non sussistono precedenti provvedimenti del Garante a carico del Comune”. Con la medesima nota, infine, il Comune ha altresì richiesto di essere audito.

Nel corso dell’audizione del XX, il Comune ha fornito ulteriori elementi istruttori, rappresentando, in particolare, che:

“la scelta operata nel 2023 è stata dettata dalla tempistica molto stretta e dalla necessità comunque di raggiungere la platea dei beneficiari entro in tempi stabiliti dalla norma”;

“su 360 beneficiari solo circa 10 rientravano tra quelli seguiti dai predetti servizi, e quindi facilmente raggiungibili”, e pertanto, l’Ente ha dovuto effettuare un “un bilanciamento tra il rischio di non erogare il beneficio e la pubblicazione dei dati con le modalità […] adottate”;

“trattandosi di un contesto sociale caratterizzato da un generale basso grado di alfabetizzazione digitale, alcuni beneficiari non si sono riconosciuti nell’elenco pubblicato. [...] Tale circostanza, a parere dell’Ente, conferma le valutazioni di basso rischio effettuate in ordine al trattamento in esame”;

“Tra i responsabili del settore servizi sociali dei Comuni del distretto LT1 è stato creato un coordinamento informale finalizzato ad unificare le procedure, la modulistica le modalità operative [...], tenuto conto delle difficoltà legate alla tempistica molto stringente imposta dalla norma”.

3. Esito dell’attività istruttoria

3.1. La normativa applicabile in materia di protezione dei dati personali

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

In tale quadro, il trattamento effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento nonché art. 2-ter del Codice).

Si evidenzia, inoltre, che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa solo quando sia prevista da un’idonea base giuridica (art. 2-ter, commi 1 e 3, del Codice).

Ai sensi del Regolamento, per “pseudonimizzazione” si intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Cons. 26 e art. 4, par. 1, n. 5, del Regolamento).

Si ricorda inoltre che la normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Cons. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Sul punto, si evidenzia che il dato può considerarsi anonimo solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato.

Al riguardo, il Parere 05/2014 sopra richiamato, precisa che l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale, infatti, qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa: 1. isolare una persona in un gruppo (c.d. single-out); 2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability); 3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, per la diffusione di dati personali online con il provvedimento generale n. 243 del 15 maggio 2014, recante le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito, “Linee guida”) (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale), precisando, in particolare che:

- “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online. Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato (si pensi, ad esempio, alle informazioni relative alla residenza oppure quando si possiede un doppio nome e/o un doppio cognome)”;

- “In molti casi, infatti, in particolari ambiti (ad esempio, per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati – come la data di nascita, il sesso, la residenza, il domicilio, il codice di avviamento postale, il luogo di lavoro, il numero di telefono, la complessiva vicenda oggetto di pubblicazione, etc.– è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti”;

- “Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori”.

Con riguardo agli obblighi di pubblicazione online di dati, informazioni e documenti della p.a., previsti da specifiche disposizioni di settore diverse da quelle in materia di trasparenza – come, fra l’altro, quelli volti a garantire la conoscibilità di atti o provvedimenti amministrativi ai soggetti interessati - le Linee guida citate, precisano che «indipendentemente dalla finalità perseguita, laddove la pubblicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2 del Codice)».

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza”, “minimizzazione”, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2. Valutazioni del Garante

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che il Comune ha diffuso, in assenza di una adeguata base giuridica, i dati e le informazioni personali dei beneficiari della Carta “Dedicata a te” – quali prime 9 lettere del codice fiscale, delle prime 3 lettere del cognome e della data di nascita - contenuti nel documento di .pdf di 12 pagine recante la lista dei beneficiari pubblicato sul sito istituzionale alla url: https://...

In assenza, al momento dei fatti, di istruzioni operative dettagliate da parte delle amministrazioni centrali coinvolte, il Comune ha ritenuto che la “comunicazione” ai beneficiari tramite la pubblicazione sul sito istituzionale, con le modalità sopra descritte, potesse garantire, nei ristretti termini richiesti, la conoscibilità della misura da parte del maggior numero di interessati e facilitare le operazioni di ritiro delle Carte presso gli uffici postali.

Tuttavia, le modalità adottate per raggiungere gli interessati, nei casi in cui i dati pubblicati associati ad altre informazioni eventualmente in possesso di terzi potevano consentire l’identificazione degli interessati, hanno comportato una “diffusione”, ai sensi dell’art. 2-ter, comma 4, lett. b) del Codice, di dati personali dei Beneficiari.

Come già ricordato, per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Per stabilire l'identificabilità di una persona è opportuno considerare “tutti i mezzi” di cui, non solo il titolare del trattamento, ma anche soggetti terzi, possono ragionevolmente avvalersi per identificare detta persona fisica; per accertare la ragionevole probabilità di utilizzo di tali mezzi occorre considerare l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione (cons. 26, del Regolamento). Ai fini della valutazione del “rischio di identificazione”, è necessario, quindi, tenere conto di “tutti i mezzi”, delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalità di ogni tipo di trattamento (cfr. anche cons., 84, 89, 93 e 95 del Regolamento).

Diversamente da quanto rappresentato dal Comune, nel caso in esame, il rischio di identificazione non può considerarsi trascurabile. Ciò, in primo luogo, in ragione della scelta del numero di informazioni rese disponibili – le prime 9 lettere del codice fiscale, le prime 3 lettere del cognome e la data di nascita – dalle quali non è particolarmente difficile tentare di ricostruire dati identificativi di potenziali interessati. Tali informazioni potevano essere raffrontate o incrociate con altre fonti, o comunque con informazioni di contesto nella disponibilità di terzi nell’ambito della comunità o del contesto familiare o sociale, più o meno ampio, di appartenenza. Inoltre, a beneficiare della Carta sono i cittadini appartenenti ai nuclei familiari composti da almeno tre persone, aventi ISEE non superiore a 15.000 euro, residenti nel comune. Considerato, altresì, il ristretto e circoscritto bacino territoriale di riferimento, limitato al Comune, e non ad un più ampio ambito regionale o nazionale, il rischio di identificazione, appare tutt’altro che trascurabile.

Al riguardo, si ricorda, che l’operazione di “diffusione” di dati personali è ammessa solo quando sia prevista da un’idonea base giuridica (art. 2-ter, commi 1 e 3, del Codice).

In tale contesto, la disposizione di cui all’art. 7 del Decreto 18 aprile 2023, pur imponendo agli enti locali l’obbligo di comunicare agli interessati l’assegnazione del beneficio e le modalità di ritiro delle Carte presso gli uffici postali abilitati, non può in alcun modo ritenersi autorizzativa della “pubblicazione” generalizzata dei dati personali relativi ai beneficiari, che deve, pertanto, ritenersi effettuata in assenza di una base giuridica adeguata ai sensi dell’art. 6, par. 2 e 3, lett. b) del Regolamento. La norma invocata non è infatti idonea a giustificare le modalità adottate dal Comune per informare gli interessati dell’inclusione nella graduatoria dei beneficiari.

Si evidenzia, inoltre, che il trattamento in esame, consistendo nella diffusione di informazioni personali che, anche indirettamente, rivelano aspetti economici o sociali delicati, potrebbe determinare effetti pregiudizievoli per gli interessati, compromettendone la dignità e l’autodeterminazione.

Come chiarito anche nelle Linee guida citate, la pubblicazione di dati identificativi di soggetti beneficiari di benefici economici, deve essere, in ogni caso, evitata qualora da tali informazioni sia possibile desumere, anche indirettamente, elementi riferibili allo stato di salute o alla condizione di disagio economico-sociale dell’interessato. Tale divieto – come evidenziato anche dal Garante nelle citate Linee guida in materia– è “funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale” (cfr. parte prima, par. 9.e).

Nel caso di specie, la Carta era destinata a nuclei familiari in stato di bisogno economico, sulla base di parametri ISEE non superiori ad Euro 15.000. Pertanto, la pubblicazione degli elenchi – anche se finalizzata, a facilitare la comunicazione con i Beneficiari e attuata con le modalità sopra descritte - ha comunque esposto informazioni idonee a rendere riconoscibile, anche indirettamente, la condizione di vulnerabilità economico-sociale degli interessati.

Pur tenendo conto della formulazione del testo normativo vigente all’epoca dei fatti e dell’assenza, in quella fase, di indicazioni operative puntuali, circostanze che possono aver determinato un’errata interpretazione da parte dell’Ente, deve ritenersi che il trattamento posto in essere abbia comportato una diffusione illecita di dati personali in quanto effettuata in assenza di una adeguata base giuridica.

In tale quadro, si ritiene utile evidenziare, che all’atto del rinnovo della misura per l’anno successivo, il decreto del 4 giugno 2024 del Ministero dell'agricoltura, della sovranità alimentare e delle foreste, recante “Individuazione dei nuclei familiari in stato di bisogno, beneficiari del contributo economico previsto dall'articolo 1, commi 2, 3, 4 e 5 della legge 30 dicembre 2023 n. 213”, ha previsto, quale modalità di comunicazione agli interessati dell’assegnazione del beneficio, la pubblicazione degli elenchi sui siti internet di ciascun comune “con modalità tali da garantire la riservatezza dei dati” (art. 7, commi 3 e 4). Tale previsione è stata poi oggetto di ulteriore specificazione operativa attraverso la Circolare INPS n. 2575 del 10 luglio 2024 e le FAQ relative alla “Carta dedicata a te”, aggiornate al 30 luglio 2024, che hanno indicato, quale modalità idonea per garantire la riservatezza dei dati, l’utilizzo, per esempio del “numero del protocollo ISEE o altre analoghe modalità parimenti efficaci individuate dallo stesso Comune”.

Alla luce di quanto sopra, la diffusione dei dati personali effettuata dal Comune deve ritenersi avvenuta in assenza di una valida base giuridica, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, del Codice.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato che i dati personali in questione sono stati prontamente rimossi dal sito istituzionale del Comune e non risultano più accessibili agli URL indicati nella notifica di violazione, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze di seguito riportate.

Con specifico riguardo alla natura e alla gravità della violazione, occorre considerare che la violazione ha interessato un numero limitato di interessati; inoltre, la diffusione dei dati è avvenuta per un periodo di tempo limitato, e non risultano, allo stato, comprovati danni subiti dagli interessati (art. 83, par. 2, lett. a), del Regolamento).

Deve inoltre, considerarsi:

- il carattere colposo della violazione, attesa l’erronea interpretazione della normativa e in assenza – al momento dei fatti – di istruzioni operative dettagliate da parte delle amministrazioni centrali coinvolte. Il Comune ha agito, infatti, in buona fede, nell’errata convinzione di poter perseguire finalità di trasparenza dell’azione amministrativa, e ritenendo, sulla base di un’analisi interna, che le misure di parziale oscuramento adottate fossero idonee a garantire la non identificabilità degli interessati da parte di terzi (art. 83, par. 2, lett. b) del Regolamento);

- il trattamento non ha riguardato dati personali appartenenti a categorie particolari o dati relativi a condanne penali o reati (art. 83, par. 2, lett. g), del Regolamento)
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere preso in considerazione, in senso favorevole, che:

- il titolare ha proceduto alla tempestiva rimozione degli elenchi pubblicati, ponendo fine alla diffusione non autorizzata (art. 83, par. 2, lett. c) del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dall’Ente (art. 83, par. 2, lett. e) del Regolamento);

- il Comune ha dimostrato buona cooperazione con l’Autorità nel corso del procedimento istruttorio (art. 83, par. 2, lett. f) del Regolamento), considerato che, in sede di memoria difensiva, ha rappresentato che ai fini dell’erogazione del beneficio per l’annualità in corso sta provvedendo a redigere l’elenco dei beneficiari con modalità del tutto pseudonimizzate tali da impedire l’attribuzione del dato ad una persona, di aver posto in essere e programmato diverse iniziative di sensibilizzazione e formazione del personale, e di essersi altresì, attivato, nell’ambito di un coordinamento tra i responsabili dei servizi interessati alla misura dei comuni del distretto territoriale di riferimento, al fine unificare le procedure, la modulistica e le modalità operative per la gestione ottimale del beneficio;

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), la circostanza che il soggetto contravventore è un’amministrazione comunale di dimensioni medio-piccole.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di Euro 2000 (duemila/00) per la violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche modalità adottate per raggiungere gli interessati, che hanno concretizzato una diffusione online di dati personali che – sebbene parzialmente oscurati – risultavano comunque idonei a consentire l’identificazione degli interessati, in assenza di una base giuridica adeguata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Cori nei termini di cui in motivazione, per la violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Cori, con sede legale in Via della Liberta, 36 - Cori (LT), C.F. 00106170590, di pagare la complessiva somma di Euro 2000 (duemila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Cori di pagare la complessiva somma di Euro 2000 (duemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori