Provvedimento dell'11 settembre 2025 [10176998]
Provvedimento dell'11 settembre 2025 [10176998]
Condividi[doc. web n. 10176998]
Provvedimento dell'11 settembre 2025
Registro dei provvedimenti
n. 482 dell'11 settembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento nei confronti dell’Ente Parco Regionale Migliarino San Rossore Massaciuccoli (di seguito “Ente Parco”), il sig. XX ha lamentato la pubblicazione di propri dati personali a seguito di presentazione di una domanda di partecipazione a una selezione pubblica per la nomina di Direttore dell’Ente-Parco (Deliberazione del Consiglio Direttivo n. XX del XX e provvedimento n. XX del XX).
In particolare è stato rappresentato che sono stati pubblicati sul sito web istituzionale dell’Ente Parco, e indicizzati sui motori di ricerca, i verbali della commissione del XX e del XX della predetta selezione pubblica, contenenti, tra gli altri, i dati personali del reclamante. Inoltre sono state, diffuse anche “le dichiarazioni autocertificate relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità” riguardanti sette interessati, tra cui il reclamante.
Dal reclamo è emerso che “con nota del reclamante del XX è stato esercitato diritto alla rimozione dei ridetti verbali dal sito web dell’ente ovvero dei riferimenti all’istante ivi contenuti nei medesimi verbali del XX e del XX, nonché delle discendente indicizzazione Google” e che l’Ente Parco, con nota dell’XX “si è immediatamente attivato alla rimozione dei verbali […] dal Sito Istituzionale nella sezione Amministrazione Trasparente, per l’evidente mero errore e l’inserimento erroneo nella documentazione da pubblicare. Inoltre [l’Ente Parco] ha avviato subito e urgentemente la procedura di [de]indicizzazione, chiedendo a Google la cancellazione dei dati esistenti e relativi ai due verbali considerati”.
2. L’attività istruttoria.
In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), l’Ente Parco, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:
“in data XX, ns prot. n. XX, perveniva istanza ai documenti amministrativi/esercizio dei diritti in materia di trattamento dei dati personali del Dott. XX. Esperite immediatamente le dovute verifiche, l’Ente Parco Regionale di Migliarino San Rossore ha effettivamente constatato che sono stati pubblicati per mero errore materiale verbali contenenti dati personali non ostensibili. Tale documento è stato, quindi, prontamente eliminato dalla sezione “Amministrazione Trasparente” del Sito Istituzionale. Contestualmente è stata esperita, senza indugio, la procedura di deindicizzazione”;
“alla procedura di selezione pubblica per la nomina del Direttore hanno partecipato 45 interessati, ivi compreso il Dott. XX. Nei verbali erano presenti: - nome e cognome dei candidati - il numero di pratica (progressivo secondo l'ordine alfabetico dei candidati);- il numero di protocollo attribuito alla domanda; la data di protocollo;- la data di arrivo all'Ufficio Protocollo; - la circostanza della presentazione della domanda nei termini; - la circostanza della presenza della copia di un documento d'identità; - la circostanza della presenza del curriculum formativo e professionale e del possesso del titolo di studio richiesto dal bando, nonché dell’esperienza quinquennale richiesta;- la circostanza della presenza delle dichiarazioni richieste e della firma. Erano inoltre presenti le dichiarazioni autocertificate relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità nelle dichiarazioni degli stessi relativamente di sette interessati, compreso il reclamante”;
“i verbali sono stati pubblicati dal XX fino al XX, data in cui il Dott. XX inviava la comunicazione oggetto del reclamo. L’ente, come già sopra specificato, ha prontamente operato per eliminare tale pubblicazione nel più breve tempo possibile nella consapevolezza dell’erronea pubblicazione. Si rappresenta che, sino a tale data, nessun altro interessato si era rivolto all’Ente per evidenziare l’erronea pubblicazione dei menzionati verbali”.
Con nota del XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ente Parco, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver pubblicato dal XX fino al XX, sul proprio sito web istituzionale, e indicizzato sui motori di ricerca, i verbali della commissione del XX e del XX relativi alla selezione pubblica per la nomina di Direttore dell’Ente-parco (Deliberazione del Consiglio Direttivo n. XX del XX e provvedimento n. XX del XX), contenenti numerosi dati personali riferiti a quarantacinque candidati, compreso il reclamante. L’Ente Parco ha, inoltre, pubblicato “le dichiarazioni autocertificate relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità” riguardanti sette interessati, tra cui il reclamante.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX) l’Ente Parco ha presentato le proprie memorie difensive, dichiarando, in particolare, che:
“l’Ente Parco Regionale Migliarino, San Rossore, Massaciuccoli è una realtà pubblica di dimensioni molto ridotte, con soli 40 dipendenti, di cui la metà con mansioni non amministrative. Infatti, a fronte delle numerose ed eterogenee competenze attribuite dalle finalità istituzionali di questo ente parco regionale di Migliarino San Rossore Massaciuccoli, risulta un organico sotto dimensionato con la conseguenza di una sola risorsa umana per singola competenza”;
“dall’entrata in vigore del GDPR, l’Ente in merito al trattamento oggetto del procedimento ha implementato nel rispetto del principio di accountability tutte le misure organizzative e tecniche, volte a ridurre i rischi derivanti da detto trattamento. A tal proposito si specifica che i dati personali, vista la loro natura, sono stati trattati esclusivamente dal personale strettamente preposto tramite il software (Halley), in un’area di tale software con la classificazione di “Documentazione Riservata”, adottando dunque apposite misure di sicurezza tecnico e organizzative, affinché’ non fossero conoscibili da soggetti terzi non autorizzati, anche all’interno dello stesso perimetro del Titolare del Trattamento”;
“con Deliberazione del Consiglio Direttivo n. XX del XX, l’Ente Parco si è dotato di una Data Protection Policy e di un modello organizzativo privacy piramidale, al fine di dare piena esecuzione al GDPR, implementando lo stesso all’interno dell’Ente”;
“l’Ente Parco, pur nella piena consapevolezza che i dati personali oggetto di errata diffusione per un mero errore materiale rientrano astrattamente nella categoria di cui agli art. 10 GDPR e 2 octies del Codice Privacy, evidenzia come gli stessi presentino un grado di identificabilità basso. In particolare, ad avviso di questo Ente, la circostanza di aver diffuso “indicazioni relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità nelle dichiarazioni” presentate dai candidati non consente di identificare con precisione i motivi alla base dell’esistenza di un precedente penale ovvero di un carico pendente, rectius il titolo di reato, così come l’Autorità Giudiziaria procedente o la pena comminata, ma esclusivamente la mera presenza”;
“è del tutto evidente da quanto accaduto l’assenza di qualsivoglia carattere doloso della condotta nonché l’assenza anche dell’elemento della colpa essendovi un mero errore materiale del tutto scusabile, si da far venir meno l’elemento soggettivo della violazione contestata. È dimostrata l’assoluta buonafede dell’ente parco confermata dal fatto che sono state immediatamente messe in atto tutte le azioni volte a interrompere l’errore fatto, dandone immediata comunicazione all’interessato”.
In occasione dell’audizione, richiesta con nota del XX (prot. XX) ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n.XX), l’Ente Parco ha dichiarato, in particolare, che:
“l’Ente Parco Regionale Migliarino San Rossore Massaciuccoli è un ente di dimensioni contenute ed è assimilabile, sotto il profilo organizzativo, ad una piccola amministrazione comunale”;
“a carico dell’Ente vi sono limiti di spesa che impediscono all’Ente stesso di integrare il proprio personale”;
“a partire dal dicembre XX, è stato assunto un istruttore amministrativo contabile, nell’ottica di rafforzare il controllo e la gestione dei processi legati al personale, anche con riferimento al trattamento dei dati personali del personale dipendente”;
“la pubblicazione lamentata dal reclamante può ritenersi sia dipesa anche dalla carenza di personale; in ogni caso, l’Ente si è prontamente attivato per porre rimedio alla violazione occorsa”;
“a seguito dell’avvio dell’istruttoria da parte dell’Autorità Garante, sono state effettuate attività di verifica dei processi relativi al trattamento dei dati personali; nell’ambito di tali attività, viene impiegata anche una specifica checklist”;
“è stata altresì prevista un’attività di formazione e sensibilizzazione del personale dipendente con riguardo alla materia della protezione dei dati personali”.
3. Esito dell’attività istruttoria.
3.1 La liceità del trattamento.
Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati e, in particolare, delle disposizioni del Regolamento e del Codice.
Al fine di garantire un elevato livello di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata con riguardo al trattamento dei dati personali, sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea (v. art. 1 del Regolamento), qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi enunciati all’art. 5 del Regolamento e soddisfare le condizioni di liceità di cui all’art. 6 dello stesso (v. Corte di giustizia dell’Unione europea, sentenza C‑621/22, del 4 ottobre 2024, parr. 26 e 27, e i precedenti ivi richiamati).
In tale quadro, i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati se il trattamento è necessario, in generale, per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di trattamento che consiste nella “diffusione” (art. 2-ter, comma 4, lett. b), del Codice) di dati personali è ammessa solo al ricorrere delle condizioni previste dall’art. 2-ter del Codice.
Con specifico riguardo al trattamento dei dati personali relativo a condanne penali e reati, si evidenzia che lo stesso è ammesso soltanto se avviene “sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati” (art. 10 del Regolamento; v. anche art. 2-octies del Codice).
3.2 Diffusione dei dati personali.
Ciò premesso, all’esito dell’istruttoria relativa al reclamo, è emerso che l’Ente Parco ha pubblicato nella sezione “Amministrazione Trasparente” del proprio sito web istituzionale, e indicizzato sui motori di ricerca, fino al XX, data in cui è pervenuta all’Ente Parco la richiesta di cancellazione dei dati da parte del reclamante, i verbali del XX e del XX relativi alla selezione pubblica per la nomina di Direttore dell’Ente-Parco, contenenti numerosi dati personali riferiti a quarantacinque candidati, compreso il reclamante. Inoltre sono state diffuse anche “le dichiarazioni autocertificate relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità” riguardanti sette interessati, tra cui il reclamante.
Sebbene l’Ente Parco abbia dichiarato che la pubblicazione sia avvenuta per mero errore, avendone avuto contezza solo a seguito del ricevimento dell’istanza di cancellazione dei propri dati personali presentata dal reclamante – riscontrata nei termini previsti dal Regolamento, con conseguente rimozione e deindicizzazione dal web dei dati personali di tutti gli interessati coinvolti - occorre, tuttavia, evidenziare che il sistema di protezione dei dati personali richiede per qualsiasi operazione di trattamento (art.4, punto 2 del Regolamento) compresa la diffusione (art.2-ter comma 4 lett. b) del Codice) la necessità di disporre di un’idonea base giuridica A tale riguardo si rappresenta che il Garante ha nel tempo fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b; v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, n.23, doc. web n. 1417809) chiarendo, anche attraverso numerose decisioni su singoli casi adottate nei confronti di specifiche amministrazioni, che la presenza di un regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online di dati personali, né una deroga ai principi in materia di protezione dei dati personali, come confermato dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento debba mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto ai sensi degli artt. 5, par. 2, 24 e 25, par. 2, del Regolamento (cfr. tra i tanti, provv. n. 287 del 6 luglio 2023, doc. web n. 9920145 e provvedimenti in esso citati). Ciò anche al fine di evitare che si verifichino errori analoghi a quelli occorsi nel caso di specie.
In ogni caso, come in più occasioni affermato dalla Corte di Giustizia dell’Unione europea, quando il trattamento riguarda dati, come nel caso di specie, particolarmente delicati, quali “le dichiarazioni autocertificate relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità”, il loro trattamento proprio a causa della particolare delicatezza, può costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Seppure l’Ente Parco abbia dichiarato che nel caso concreto le autodichiarazioni “non consent[ono] di identificare con precisione i motivi alla base dell’esistenza di un precedente penale ovvero di un carico pendente” tale circostanza non rileva ai fini della legittimità del trattamento tenuto conto, inoltre, dei rischi connessi alla maggiore esposizione delle informazioni sul web, la loro indicizzazione e la potenziale riutilizzabilità anche da parte di terzi.
Pertanto, con specifico riguardo al trattamento che consiste nella comunicazione al pubblico di tali dati da parte di soggetti pubblici, si rileva che la Corte di Giustizia ha evidenziato che “dal momento che simili dati riguardano condotte che suscitano la disapprovazione della società, la concessione di un accesso a simili dati può comportare la stigmatizzazione dell’interessato e costituire, in tal modo, una grave ingerenza nella sua vita privata o professionale” (v. sentenze C-740/22, Endemol Shine Finland, del 7 marzo 2024, par. 54, e C-439/19, Latvijas Republikas Saeima (Punti di penalità), del 22 giugno 2021, parr. 74, 75 e 112).
Nel prendere favorevolmente atto, in ogni caso, delle misure tecniche e organizzative che l’Ente Parco ha inteso implementare proprio al fine di prevenire violazioni della disciplina in materia di protezione di dati personali a seguito dell’episodio in questione, alla luce di tutte le considerazioni che precedono si deve comunque concludere che l’Ente Parco ha diffuso, dal XX fino al XX, sul proprio sito web istituzionale, e indicizzato sui motori di ricerca, i dati personali di quarantacinque partecipanti alla selezione pubblica per la nomina di Direttore dell’Ente-Parco, contenuti nei verbali della commissione, comprese “le dichiarazioni autocertificate relative alla sussistenza di procedimenti penali in atto e/o di condanna o difformità” riguardanti sette interessati, tra cui il reclamante, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 10 del Regolamento, nonché 2-ter e 2-octies del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ente Parco, per aver diffuso i dati personali di quarantacinque interessati, partecipanti alla predetta selezione, tra cui, in relazione a sette interessati, anche dati relativi a condanne penali e reati, in violazione degli artt. 5, par. 1, lett. a), 6, 10, del Regolamento, nonché 2-ter e 2-octies del Codice.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6, e 10 del Regolamento, nonché 2-ter e 2-octies del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
la violazione ha comportato la diffusione online di dati personali di quarantacinque interessati e di dati personali relativi a condanne penali e reati di sette partecipanti alla selezione. Tali ultimi dati sono caratterizzati da particolare delicatezza, potendo detto trattamento esporre potenzialmente gli interessati a ripercussioni negative nella propria vita di relazione, nonché in ambito lavorativo (art. 83, par. 2, lett. a) e g), del Regolamento);
con specifico riguardo al profilo soggettivo la violazione ha carattere colposo, in quanto la diffusione di tali dati è avvenuta per un mero errore (art. 83, par. 2, lett. b), del Regolamento);
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, nel considerare che il titolare del trattamento è un Ente di piccole dimensioni e che è sottoposto a limiti di spesa “che impediscono all’Ente stesso di integrare il proprio personale”, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:
l’Ente Parco ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria avendo, inoltre, già provveduto a cancellare i dati personali del reclamante e degli altri partecipanti alla selezione a seguito della istanza di cancellazione del reclamante (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dall’Ente Parco (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5, par. 1, lett. a), 6, 10, del Regolamento, nonché 2-ter e 2-octies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra rilevato, la violazione è consistita nella diffusione online di dati personali relativi a lavoratori e particolarmente delicati in quanto informazioni riferite anche a condanne penali e reati.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’ Ente Parco per violazione degli artt. 5, par. 1, lett. a), 6, 10, del Regolamento, nonché 2-ter e 2-octies del Codice, nei termini di cui in motivazione;
ORDINA
all’Ente Parco Regionale Migliarino San Rossore Massaciuccoli, in persona del legale rappresentante pro-tempore, con sede legale in Pisa – Tenuta di San Rossore- Loc. Cascine Vecchie, C.F.93000640503, di pagare la somma di euro 8.000 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto Ente Parco, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
-ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 settembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Fanizza
