[doc. web n. 10242536]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 234 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTA la legge 25 maggio 1970, n. 352, recante “Norme sui referendum previsti dalla Costituzione e sulla iniziativa legislativa del popolo”;

VISTA la legge 30 dicembre 2020, n. 178 recante il “Bilancio di previsione dello Stato per l’anno finanziario 2021 e bilancio pluriennale per il triennio 2021-2023”, come successivamente modificata dall’art. 2, commi 1 e 2, del decreto-legge 18 ottobre 2023, n. 144 recante “Disposizioni urgenti per gli Uffici presso la Corte di cassazione in materia di referendum”, che ha istituito la piattaforma per la raccolta delle firme degli elettori necessarie per i referendum previsti dagli articoli 75 e 138 della Costituzione, nonché per i progetti di legge previsti dall’articolo 71, secondo comma, della Costituzione (art. 1, commi 341, 343 e 344), individuando in capo al Ministero della giustizia (il “Ministero”) la titolarità della stessa (art. 1, comma 342-bis) (la “Piattaforma”);

VISTO il decreto del Presidente del Consiglio dei Ministri del 9 settembre 2022, adottato di concerto con il Ministro della giustizia, recante “Disciplina della piattaforma per la raccolta delle firme degli elettori necessarie per i referendum previsti dagli articoli 75 e 138 della Costituzione”, il quale prevede, in particolare, che la Piattaforma, accessibile tramite il portale, è organizzata in un’«area pubblica» - per la consultazione delle proposte referendarie e di legge popolare, in corso e scadute, nonché per le informazioni necessarie per partecipare alla raccolta delle firme - e un’«area privata» - accessibile mediante un’identità digitale basata su credenziali di livello almeno significativo, che consente l’utilizzo delle funzionalità della Piattaforma diversificate in relazione a distinte tipologie di utenti (art. 4, commi da 1 a 3);

VISTI i provvedimenti n. 106 del 24 marzo 2022 (doc. web n. 9760791) e n. 331 del 28 maggio 2024, con cui il Garante ha rilevato in entrambe le occasioni significative criticità, oltre ad una non adeguata valutazione degli specifici rischi per i diritti e le libertà costituzionali degli interessati che i trattamenti di dati personali effettuati mediante la Piattaforma possono comportare, in ragione dei quali  l’Autorità ha formulato prescrizioni e osservazioni volte a rende i trattamenti esaminati coerenti rispetto alla normativa di rango primario vigente, nonché conformi alla disciplina in materia di protezione dei dati personali;

CONSIDERATO che, nell’ambito delle valutazioni in corso sullo schema di decreto modificativo del citato d.P.C.M. 9 settembre 2022, l’Autorità ha avviato d’ufficio un’istruttoria in merito ai trattamenti di dati personali effettuati dal Ministero della giustizia sulla Piattaforma in quanto, dagli accertamenti condotti sul portale accessibile alla URL https://firmereferendum.giustizia.it/referendum/open, è emerso, in particolare, che:

a) a seguito dell’autenticazione, accedendo all’area “privata” del sottoscrittore denominata “Ricerca iniziative”, oltre alle proposte di referendum e di legge popolare per le quali risulta, allo stato, aperta la raccolta delle sottoscrizioni, sono presenti le proposte per le quali tale  raccolta è ormai scaduta; in particolare, selezionando queste ultime, sono conservate sulla Piattaforma tutte le precedenti proposte sottoscritte dall’interessato -  con l’indicazione del relativo testo e del codice identificativo della proposta -  incluse quelle per le quali non è stato raggiunto il quorum, quelle scadute e, in alcuni casi, già sottoposte al voto; l’interessato ha altresì la possibilità di scaricare l’attestato di ciascuna sottoscrizione effettuata;

b) l’informativa resa all’utente ai sensi degli artt. 13 e 14 del Regolamento indica che il termine di conservazione dei dati personali nell’ambito della Piattaforma è pari a 10 anni;

CONSIDERATO, inoltre, che dagli accertamenti da ultimo effettuati dall’Ufficio, risultano attualmente presenti nell’ambito della Piattaforma oltre cinquanta tra proposte di referendum e iniziative di legge popolare, il cui termine per la sottoscrizione è scaduto, alcune delle quali, peraltro, già sottoposte alla consultazione elettorale;

CONSIDERATO che, ai sensi dell’art. 6, comma 1, del citato d.P.C.M. 9 settembre 2022 “Il gestore della piattaforma conserva le informazioni e le evidenze informatiche di cui all'art. 5, commi 1, 2, 3 e 4, per il medesimo periodo di tempo necessario alla verifica della validità delle sottoscrizioni previsto per la conservazione delle firme raccolte con modalità analogica, tramite memorizzazione nel rispetto delle disposizioni del GDPR e del CAD” e che, nell’ambito della valutazione d’impatto del trattamento effettuata dal Ministero della giustizia (su cui il Garante ha reso il prescritto parere con il citato provvedimento n. 331 del 28 maggio 2024), è previsto che ai fini della cancellazione dei dati dalla Piattaforma “il Magistrato, incaricato del processo di verifica, notifichi sull’applicazione il completamento delle attività e il relativo trasferimento dei dati” e che la cancellazione si realizzi “salvo specifiche esigenze comunicate al Ministero della Giustizia dagli altri titolari del trattamento (Corte di Cassazione e Comitato Promotore)”;

CONSIDERATO che l’Autorità aveva già evidenziato al Ministero la necessità di individuare un termine massimo di conservazione dei dati, correlata ai tempi previsti dalla legge per il completamento delle verifiche di competenza della Corte di cassazione, nonché un meccanismo di cancellazione automatica dei dati al fine di scongiurare la conservazione “centralizzata” nell’ambito della Piattaforma dei dati dei sottoscrittori per un periodo eccedente rispetto al raggiungimento delle finalità previste (e quindi in assenza di un valido presupposto di legittimità), con conseguenti rischi per i diritti e le libertà degli interessati; in tale contesto, era stato, altresì, richiesto di espungere il riferimento residuale ad eventuali “specifiche esigenze” di ulteriore conservazione, comunicate dagli altri titolari al Ministero, non potendosi giustificare l’ampio margine di discrezionalità derivante dalla genericità di tale riferimento e al conseguente trattamento in assenza di base giuridica (cfr. parere n. 331 del 28 maggio 2024, par. 3.5);

CONSIDERATO che, su tali basi, con riferimento alla durata del trattamento dei dati sulla Piattaforma, il Garante ha prescritto, in particolare, di:

a) “limitare il trattamento non oltre la verifica della validità delle sottoscrizioni ad opera dell’Ufficio centrale del referendum” ed “espungere la previsione […] relativa alle ulteriori finalità del trattamento” (cfr. par. 3.3 e 4.5 del citato provvedimento n. 106 del 24 marzo 2022);

b) “individuare un termine massimo di conservazione dei dati, nonché un meccanismo di cancellazione automatica dei dati al decorso del termine individuato, ed eliminare il riferimento alle “specifiche esigenze” di ulteriore conservazione comunicate al Ministero dagli altri titolari” (cfr. par. 3.5 del citato provvedimento n. 331 del 28 maggio 2024);

CONSIDERATO che, a seguito degli accertamenti sopra richiamati, con riguardo alla rilevata conservazione dei dati dei sottoscrittori delle proposte scadute, l’Autorità, in data 12 febbraio 2026, ha formulato una richiesta di informazioni ai sensi dell’art. 157 del Codice con cui il Ministero della giustizia è stato invitato a specificare, in modo dettagliato:

a) la finalità del trattamento dei dati personali degli elettori che hanno sottoscritto proposte referendarie “scadute”, i quali, accedendo all’area privata, possono visualizzare lo storico di tutte le proposte da essi sottoscritte;

b) le valutazioni condotte in ordine all’individuazione di un termine di conservazione pari a 10 anni decorrenti - secondo quanto indicato nell’informativa sul trattamento di dati personali pubblicata sulla Piattaforma – “dalla data dell’ordinanza di conformità e di accoglimento o di rigetto dell’Ufficio centrale per i Referendum della Corte di Cassazione” per i referendum popolari, mentre per le leggi di iniziative popolari “dall’accertamento della regolarità della richiesta da parte di uno dei Presidenti” delle due Camere;

c) le misure adottate o che si intendono adottare per garantire che i tempi di conservazione dei dati trattati nell’ambito della Piattaforma non siano eccedenti rispetto alle finalità perseguite; e ciò, anche tenuto conto di quanto previsto nella valutazione d’impatto del trattamento, laddove è previsto che “il tempo di conservazione è limitato fin tanto che i dati saranno necessari alla gestione del quesito referendario e al completamento del processo di verifica delle firme dei sottoscrittori da parte del Magistrato”;

PRESO ATTO della nota del 28 febbraio 2026, con la quale il Ministero della giustizia, con specifico riguardo alla richiesta di elementi formulata dall’Autorità, si è limitato a dichiarare genericamente che “sarà ridefinito il termine relativo alla visualizzazione, da parte dei sottoscrittori, delle proposte referendarie “scadute” nella correlata sezione della piattaforma”;

CONSIDERATO che la con la predetta nota non è stato fornito un puntuale riscontro alle specifiche richieste di chiarimenti dell’Autorità relativamente alla conservazione (e non solo alla mera “visualizzazione”) dei dati dei sottoscrittori delle proposte referendarie scadute, con ciò confermando una inadeguata valutazione dei rischi connessi al compito attribuito dalla legge al Ministero della giustizia in ordine alla gestione della Piattaforma, e alla conservazione “centralizzata” di tali dati;

CONSIDERATO che i dati dei sottoscrittori delle proposte di referendum o dei progetti di legge di iniziativa popolare vanno inquadrati nell’ambito delle particolari categorie di dati personali di cui all’art. 9, par. 1, del Regolamento - in quanto rivelano, ancor più del dato relativo alla mera partecipazione alla consultazione referendaria, le opinioni o la posizione politica del sottoscrittore - e che, di conseguenza, i trattamenti effettuati nell’ambito della Piattaforma, comportano elevati rischi per i diritti e le libertà fondamentali, con particolare riguardo alla tutela della dignità della persona, al diritto di riservatezza e alla protezione dati personali dei soggetti coinvolti in queste tipologie di trattamenti;

CONSIDERATO, altresì, che nell’ambito dei predetti pareri resi dal Garante sono state rilevate significative criticità, in ragione del fatto che il trattamento in esame ha ad oggetto particolari categorie di dati personali (artt. 9 del Regolamento e 2-sexies del Codice) ed è suscettibile di incidere su istituti fondamentali di democrazia diretta;

CONSIDERATO che il trattamento dei dati personali effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, par. 1, lett. c) ed e), del Regolamento e 2-ter del Codice) e deve avvenire, in ogni caso, nel rispetto dei principi in materia di protezione dei dati personali, tra cui in particolare quelli di “liceità correttezza e trasparenza”, “limitazione delle finalità” e “limitazione della conservazione”, in base ai quali i dati sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità e conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par. 1, lett. a), b) ed e), e il titolare deve essere in grado di comprovare il rispetto dei predetti principi e la conformità del trattamento alla normativa in materia di protezione dei dati personali (artt. 5, par. 2, e 24, par. 1, del Regolamento);

CONSIDERATO, inoltre, che, ai sensi del citato art. 1, comma 341, la Piattaforma consente agli elettori la sottoscrizione in modalità digitale delle proposte e delle iniziative, nell’intento di “contribuire a rimuovere gli ostacoli che impediscono la piena inclusione sociale delle persone con disabilità e di garantire loro il diritto alla partecipazione democratica”, con la finalità precipua, quindi, di agevolare la raccolta delle sottoscrizioni;

RITENUTO, pertanto, che, sulla base degli accertamenti effettuati dall’Ufficio e del riscontro fornito dal Ministero con la citata nota del 28 febbraio 2026, il trattamento dei dati dei sottoscrittori delle proposte referendarie scadute, nell’ambito della Piattaforma, non risulta sorretto da una idonea base giuridica, in violazione degli artt. 5, lett. a), b) ed e), e 6, par. 1, lett. e), del Regolamento;

RAVVISATA, pertanto, in ragione della gravità dei rischi per i diritti e le libertà degli interessati, dell’elevato numero di soggetti coinvolti nei trattamenti sopra descritti e della particolare natura dei dati personali trattati nel caso di specie, la necessità di intervenire in via d’urgenza e nelle more del completamento della necessaria istruttoria, a tutela dei diritti e delle libertà degli interessati, adottando ogni misura a tal fine necessaria;

RITENUTO, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, di dover adottare, in via d’urgenza, essendo la previa notifica di cui all'art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento, nei confronti del Ministero della giustizia, la misura dell’ammonimento in merito al trattamento dei dati personali dei sottoscrittori delle proposte referendarie e delle iniziative di legge popolare scadute, imponendo al Ministero l’adozione di misure tecniche volte a prevenire eventuali accessi illeciti o abusivi ai dati stessi;

RAVVISATA, inoltre, la necessità di disporre la predetta misura con effetto immediato, a decorrere dalla data di notifica del presente provvedimento, riservandosi ogni altra determinazione, all’esito della definizione dell’istruttoria avviata sul caso, anche alla luce delle conseguenze per l’inosservanza delle misure disposte dal Garante (cfr. art. 170 del Codice e art. 83, par. 5, lett. e), del Regolamento);

RITENUTO, altresì, necessario ingiungere al Ministero, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, senza ritardo e comunque entro  tre mesi dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle misure che si intendono adottare, al fine di conformare il trattamento di dati personali al quadro normativo sopra richiamato e ai citati provvedimenti già adottati dal Garante, anche al fine di prevenire e/o attenuarne i possibili rischi nei confronti degli interessati, specificando altresì il numero degli interessati coinvolti nel trattamento dei dati personali dei sottoscrittori delle proposte scadute, e ricordando, a tal riguardo, che ai sensi dell’art. 166, comma 2, del Codice, la violazione dell’art. 157 del medesimo Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, dispone in via d’urgenza, nei confronti del Ministero della giustizia, la misura dell’ammonimento in relazione al trattamento dei dati personali dei sottoscrittori delle proposte referendarie e delle iniziative di legge popolare scadute, attualmente conservati nell’ambito della Piattaforma, imponendo che i predetti dati siano resi inaccessibili dalla Piattaforma e siano protetti mediante l’adozione di misure tecniche volte a prevenire accessi illeciti o abusivi ai dati stessi;

il predetto divieto ha effetto immediato a decorrere dalla data di notifica del presente provvedimento, con riserva di ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;

b) ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento n. 1/2019, dispone l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento, invita il titolare del trattamento destinatario del provvedimento, altresì, entro tre mesi dalla data di notifica dello stesso, a comunicare le misure che si intendono adottare al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile in merito a quanto contestato. Si ricorda che per il mancato riscontro alla richiesta ai sensi dell’art. 58 è prevista la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori