Provvedimento dell'11 settembre 2025 [10177128]
Provvedimento dell'11 settembre 2025 [10177128]
Condividi[doc. web n. 10177128]
Provvedimento dell'11 settembre 2025
Registro dei provvedimenti
n. 483 dell'11 settembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Con una segnalazione pervenuta il XX ai sensi dell’art. 144 del Codice, l’Autorità ha appreso che su una pagina Facebook (URL: https://...) riferibile al Comune di Buccino (di seguito, il “Comune”) erano state pubblicate numerose foto di minori e di “soggetti non sani di mente ricoverati presso XX del Comune di Buccino”.
In particolare, in base alla documentazione allegata alla predetta segnalazione, nonché a quanto inizialmente accertato dall’Autorità, era possibile visualizzare le immagini di tali interessati nei post pubblicati il XX, XX e XX, XX, XX, XX, XX, XX, XX, XX e XX, l’XX, il XX, il XX e il XX.
2. L’attività istruttoria
Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, in data XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:
- in assenza di idonei presupposti normativi, in violazione degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, del Codice;
- in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3, lett. b), e 9 del Regolamento.
Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), cui si rinvia integralmente, il Comune ha dichiarato in particolare, che:
- “le foto oggetto di contestazione non sono in possesso di questa Amministrazione in quanto eliminate dal sito Facebook e non riprodotte in copia”;
- “la pubblicazione delle foto, in ogni caso, riguarda eventi pubblici svoltisi in luoghi pubblici o aperti al pubblico e con assenso dei titolari dei relativi diritti”;
- “le foto, poi rimosse, sono ad ogni modo inidonee a ledere o porre in pericolo dati sensibili dei soggetti ritratti (dati personali, genetici, biometrici, salute, orientamento religioso ed altro)”.
Il Comune, dopo una prima richiesta di audizione, non ha dato seguito alla convocazione per la stessa inviata dall’Autorità con nota del XX (prot. n. XX).
In data XX, l’Autorità ha ricevuto una successiva segnalazione, con la quale sono state lamentate ulteriori violazioni della normativa in materia di protezione dei dati personali da parte del Comune sulla medesima pagina Facebook, in relazione a successive e ulteriori “pubblicazioni di volti di bambini sul profilo Istituzionale avvenute il XX, XX, XX e XX, […] comprendenti anche video”.
Sulla base della segnalazione integrativa, l’Autorità in data XX, ha accertato che sulla citata pagina Facebook erano consultabili le immagini di interessati minorenni, pubblicate con i post del XX, XX e XX.
Nella medesima data, l’Autorità ha altresì accertato la pubblicazione di ulteriori post della medesima tipologia di quelli inizialmente contestati al Comune, anch’essi relativi a interessati minorenni (a titolo esemplificativo, post datati XX, XX, XX, XX (2 post con tale data), XX (2 post con tale data), XX e XX, XX, XX e XX, XX (2 post con tale data), XX, XX e XX, XX, XX e XX) nonché il fatto che, contrariamente a quanto dichiarato dal Comune con la citata nota del XX, alcuni dei post oggetto della prima segnalazione risultavano ancora reperibili sulla medesima pagina Facebook (post del XX, XX e XX).
In aggiunta, con riferimento al Responsabile della protezione dei dati personali (di seguito “RPD”) del Comune - non coinvolto da quest’ultimo nelle precedenti interlocuzioni con l’Autorità - è stato altresì accertato che i dati di contatto dello stesso non risultano reperibili sul sito web istituzionale del Comune. Al riguardo, nell’informativa privacy presente in tale sito, è indicato che: “Il Comune di Buccino quale titolare del trattamento ha provveduto a designare come Responsabile della protezione dei dati, ex art. 37 regolamento UE, comunicato all'Autorità Garante della Protezione dei Dati Personali. A tal scopo si forniscono i recapiti presso i quali possibile contattare la designata per le questioni concernenti il trattamento dei dati stessi”, senza però indicare i dati di contatto (cfr. https://...).
Pertanto, con riferimento alla condotta del Comune, l’Ufficio, sulla base dei sopravvenuti elementi acquisiti e dei successivi fatti emersi in corso d’istruttoria, in data XX (prot. XX), ha notificato allo stesso, ai sensi dell’art. 166, comma 5, del Codice, una nota integrativa di avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:
a) con riferimento alle ulteriori foto relative a soggetti minori (post datati XX, XX, XX, XX- 2 post con tale data -, XX – 2 post con tale data -, XX, XX e XX, XX, XX e XX, XX, XX - 3 post con tale data -, XX, XX e XX, XX, XX e XX):
- in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3 del Codice;
- in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del Regolamento;
b) con riferimento all’omessa pubblicazione dei dati di contatto del Responsabile per la protezione dei dati personali, in violazione degli artt. 13, par. 1, lett. b), e 37, par. 7, del Regolamento.
Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).
A seguito della suddetta notifica, il predetto Comune non ha presentato memorie difensive, né ha chiesto di essere audito.
3. Esito dell’attività istruttoria.
3.1. La normativa applicabile in materia di protezione dei dati personali.
Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.
Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).
Al riguardo, si evidenzia che, al fine di considerare identificabile una persona “è opportuno considerare tutti i mezzi [di cui] un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente” (cons. 26 del Regolamento). Con “identificare” non si intende “solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216). La diffusione di immagini di persone fisiche, anche nel caso in cui il cui volto non sia visibile o sia stato preventivamente oscurato può, in taluni casi, comunque consentire l’identificazione delle stesse, allorquando taluni elementi di contesto, considerati in associazione tra di loro, riconducano a uno specifico interessato (es. abbigliamento, situazioni o elementi di contesto, etc.).
Per quanto concerne le categorie particolari di dati, sono considerati tali “i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9, par. 1, del Regolamento).
Con particolare riferimento al caso in esame, si ricorda che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa solo quando sia prevista da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice) e sempre nel rispetto dei principi in materia di protezione dei dati personali, tra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).
Per quanto concerne la pubblicazione dei dati di contatto del RPD, si rappresenta che l’art. 37, par. 1, lett. a) e par. 7 del Regolamento prevede che “il titolare del trattamento [debba designare] un responsabile della protezione dei dati ogniqualvolta […] il trattamento [sia] effettuato da un'autorità pubblica” e che “il titolare del trattamento [debba pubblicare] i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo”.
Inoltre, nelle Linee-guida sui responsabili della protezione dei dati (RPD), adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate in data 5 aprile 2017, si aggiunge che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).
Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che “Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti”(par. 7).
Si rappresenta inoltre che, in osservanza dei principi in materia di protezione dei dati personali, fra cui il citato principio di “liceità, correttezza e trasparenza”, l’art. 13, par. 1, lett. b) del Regolamento prevede che l’informativa sul trattamento dei dati personali che il titolare del trattamento è tenuto a rendere agli interessati all’atto della raccolta dei dati debba indicare anche “i dati di contatto del responsabile della protezione dei dati, ove applicabile”.
3.2. La diffusione online di dati personali e categorie particolari di dati
Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, è stato rilevato che il Comune ha diffuso dati personali – incluse particolari categorie di dati - mediante la pubblicazione di immagini concernenti interessati in condizione di disabilità mentale nonché soggetti minorenni, sulla propria pagina Facebook (URL: https://...), contenute nei seguenti post:
- post del XX, per quanto concerne interessati affetti da disabilità mentale;
- post del XX, XX e XX, XX, XX, XX, XX, XX, XX, e XX, XX, dell’XX, XX e XXX, nonché dell’XX, XX, XX, XX (2 post con tale data), XX (2 post con tale data), XX e XX, XX, XX e XX, XX (3 post con tale data), XX, XX e XX, XX, XX e XX, relativi a interessati minorenni.
In aggiunta, dagli accertamenti effettuati dall’Ufficio in data XX, alcuni dei suddetti post (XX, XX e XX, XX, XX, XX, XX - 2 post con tale data -, XX - 2 post con tale data -, XX, XX e XX, XX, XX e XX, XX, XX - 3 post con tale data - XX, XX e XX, XX, XX e XX) risultano tuttora pubblicati sulla pagina Facebook del Comune (documentazione acquisita in atti). È stato inoltre accertato che nella medesima pagina Facebook sono stati pubblicati, altresì, ulteriori e successivi post relativi a minori, in cui sono presenti foto grossolanamente pixelate (a titolo esemplificativo, tra gli ultimi, post del XX e XX e del XX).
Sul punto, si rappresenta che il trattamento dei dati personali effettuato da soggetti pubblici è, di regola, lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento). È inoltre previsto che “Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento), con la conseguenza che al caso di specie, nell’ordinamento italiano, risulta applicabile l’art. 2-ter, del Codice.
In tale quadro, come già indicato nel precedente paragrafo 3.1., i soggetti pubblici possono diffondere dati personali se tale operazione è prevista da una norma di legge o di regolamento o da atti amministrativi (art. 2-ter, commi 1 e 3, del Codice).
Il titolare del trattamento, è poi, in ogni caso, tenuto a rispettare i principi di cui all’art. 5 del Regolamento, tra i quali, i suindicati principi di “liceità, correttezza e trasparenza” e di “minimizzazione” (art. 5, par. 1, lett. a) e c), del Regolamento).
Per quanto concerne i trattamenti aventi ad oggetto categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del par. 2, lett. g), del medesimo articolo, tali trattamenti “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno” siano previsti da un’idonea base giuridica che specifichi “i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice.
In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (artt. 4, par. 1, n. 15, e 9, nonché considerando 35 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, è espressamente previsto che “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).
Nel caso di specie, il Comune ha diffuso online dati personali – inclusi dati relativi alla salute - sia di interessati maggiorenni affetti da disabilità (in un caso), che di interessati minorenni, comunque suscettibili di essere identificati. Ciò in considerazione della definizione di “dato personale”, nonché del concetto di “identificabilità” riportati nel precedente paragrafo 3.1. (cfr. art. 4, par. 1, n. 1, del Regolamento, cons. 26 del Regolamento nonché Parere 05/2014 sulle tecniche di anonimizzazione, WP216, cit.), alla luce dei quali la diffusione di immagini di persone fisiche, anche nel caso in cui il cui volto non sia visibile o sia stato preventivamente oscurato – come in alcune delle foto di minori fotografati in gruppo, che sono state parzialmente coperte con la tecnica denominata in gergo tecnico “pixelatura” o mediante l’apposizione di appositi sticker ed emoticon sul volto - può, in taluni casi, comunque consentire l’identificazione degli stessi, allorquando taluni elementi di contesto, considerati in associazione tra di loro, riconducano a uno specifico interessato (es. abbigliamento, situazioni o elementi di contesto, etc.), specie in limitate realtà territoriali come quella del predetto Comune.
Né si condivide quanto rappresentato dal Comune in merito al fatto che “le foto […] sono ad ogni modo inidonee a ledere o porre in pericolo dati sensibili dei soggetti ritratti (dati personali, genetici, biometrici, salute, orientamento religioso ed altro)“, data la capacità diffusiva – e dunque, potenzialmente altamente lesiva per gli interessati – dei cd. social network, quale è la piattaforma in questione utilizzata. A tale fine, si ricorda che è il Regolamento stesso ad attribuire rilievo alla considerazione dei “rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, [che] possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: […] se sono trattati […] dati relativi alla salute […]; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori (considerando 75 del Regolamento).
Si richiamano, infine, le specifiche indicazioni – tuttora valide – fornite dall’Autorità alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, posto che, all’interno dello stesso, sono indicati i principi da seguire da parte dei soggetti pubblici e da altri enti obbligati in merito alla diffusione di dati personali online.
Pertanto, la diffusione di dati personali – incluse categorie particolari di dati – sulla pagina Facebook del Comune avrebbe dovuto essere sorretta da una idonea base giuridica, che non è stata indicata dal titolare nelle memorie, e non si ritiene, comunque, sussistente nel caso in esame. Per quanto di interesse ai fini del caso concreto si ricorda inoltre che, al fine di adempiere i predetti “obblighi legali” o “compiti di interesse o connessi all’esercizio di poteri pubblici”, i soggetti pubblici, contrariamente a quanto indicato dal Comune in corso d’istruttoria, non devono chiedere alcun consenso (o autorizzazione) agli interessati per il trattamento dei loro dati personali, in quanto in tali casi, anche il consenso, tendenzialmente, non può costituire “un valido fondamento giuridico per il trattamento dei dati personali”.
Allorquando, infatti, il titolare del trattamento è chiamato a perseguire, come nel caso di specie, una finalità d’interesse pubblico che comunque già trova la propria legittimazione nella cornice giuridica di settore, sussiste un evidente squilibrio tra l’interessato e il titolare del trattamento (v. cons. 43 del Regolamento).
In ragione delle considerazioni che precedono, la diffusione delle immagini di numerosi interessati sulla pagina Facebook del Comune (https://...) e in particolare, delle immagini relative a minori, di cui ai post sopra indicati, taluni reperibili anche alla data odierna, nonché delle ulteriori immagini, relative a soggetti con disabilità, risulta essere stata effettuata dal Comune in assenza di una adeguata base giuridica, in violazione degli artt. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) e 2-ter, commi 1 e 3, del Codice, e, per quanto riguarda le particolari categorie di dati personali, degli artt. 9 del Regolamento e 2-sexies e 2-septies, comma 8 del Codice, nonché in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione” previsti dall’ art. 5, par. 1, lett. a) e c), del Regolamento.
3.3. L’omessa pubblicazione dei dati di contatto del Responsabile della protezione dei dati
Con riguardo alla contestazione in merito agli adempimenti relativi al Responsabile della protezione dei dati personali, si fa presente che l’art. 37, par. 1, lett. a), del Regolamento prevede l’obbligo, per ogni autorità pubblica od organismo pubblico che effettui trattamenti di dati personali, di nominare tale figura. Inoltre, il par. 7 del medesimo art. 37 richiede l’obbligo da parte del titolare del trattamento non solo di comunicazione all’Autorità di controllo dei dati di contatto del predetto RPD ma anche di pubblicazione degli stessi.
Al riguardo, come anticipato nel precedente paragrafo 3.1, nelle “Linee-guida sui responsabili della protezione dei dati (RPD)”, si prevede che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6). In aggiunta, come chiarito dal Garante nel citato “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, occorre considerare che “la pubblicazione […] dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti” (par. 7; ma v. già le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29””, FAQ n. 4; cfr. anche provv. ti del 11 aprile 2024, n. 199, doc. web n. 10013391, 22 febbraio 2024, n. 102, doc. web n. 10006478, del 16 gennaio 2025, n. 5, doc. web. n. 10110910, del 16 gennaio 2025, n. 6, doc. web. n. 10110989).
Ciò si traduce altresì, in ossequio al menzionato principio di trasparenza, nella previsione di cui all’art. 13, par. 1, lett. b) del Regolamento, che dispone, per quanto concerne l’informativa da fornire agli interessati che il titolare del trattamento è tenuto ad indicare anche “i dati di contatto del responsabile della protezione dei dati, ove applicabile”.
Per quanto concerne il caso di specie, nella comunicazione ricevuta dall’Autorità in data XX (prot. XX n. XX), il Comune ha indicato all’Autorità i dati di contatto del RPD, specificando inoltre che gli stessi sono resi pubblici dal Comune, titolare del trattamento, mediante pubblicazione sul proprio sito web istituzionale (URL: XX). Tuttavia, dagli accertamenti compiuti dall’Autorità, i predetti dati di contatto non sono stati reperiti sul sito web del Comune. Né lo stesso ha fornito evidenze, a fronte della contestazione dell’Autorità, circa l’avvenuta pubblicazione dei dati di contatto del RPD sul proprio sito. Inoltre, si evidenzia che nell’informativa in merito al trattamento dei dati personali presente nel footer del sito web istituzionale del Comune è unicamente previsto che “Il Comune di Buccino quale titolare del trattamento ha provveduto a designare come Responsabile della protezione dei dati, ex art. 37 regolamento UE, comunicato all'Autorità Garante della Protezione dei Dati Personali. A tal scopo si forniscono i recapiti presso i quali possibile contattare la designata per le questioni concernenti il trattamento dei dati stessi”, senza alcuna indicazione dei predetti dati di contatto.
Tenuto conto di quanto precede e preso atto che, attualmente, il sito web istituzionale del Comune non reca tuttora l’indicazione dei dati di contatto del RPD, deve concludersi che il Comune di Buccino, omettendo di pubblicare i dati di contatto del RPD, ha agito in violazione degli artt. 13, par. 1, lett. b) e 37, par. 7, del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3, lett. b), 9, 13, par. 1, lett. b), e 37, par. 7, del Regolamento e degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8, del Codice.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).
L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).
Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che alcuni dei post oggetto di istruttoria risultano tuttora pubblicati sulla pagina Facebook del Comune di Buccino (https://...), nonché che i dati di contatto del RPD non risultano tuttora pubblicati sul sito del predetto, né indicati nell’informativa presente sul sito web istituzionale del Comune (https://...), si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune:
- di cessare l’ulteriore diffusione dei dati personali, pubblicati sulla predetta pagina Facebook, contenuti nei post del XX, XX e XX, XX, XX, XX, XX - 2 post con tale data -, XX - 2 post con tale data -, XX, XX e XX, XX, XX e XX, XX, XX - 3 post con tale data - XX, XX e XX, XX, XX e XX, nonché in post aventi contenuto analogo, anche pubblicati in data successiva ai predetti post;
- di provvedere a pubblicare i dati di contatto del RPD sul sito web istituzionale nonché ad indicare gli stessi nell’informativa in merito al trattamento dei dati personali presente sul predetto sito istituzionale (https://...).
Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Nel caso di specie, il Comune di Buccino ha posto in essere due condotte distinte, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.
6.1 La condotta di cui al paragrafo 3.2.
Tenuto conto che, in relazione alla pubblicazione di immagini sulla pagina Facebook del Comune, la violazione delle disposizioni sopra citate da parte dello stesso ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in considerazione del fatto che la pubblicazione dei post contenenti i suddetti dati personali è stata effettuata con l’intento di fornire aggiornamenti rispetto ai progetti e/o alle iniziative portate avanti dal Comune), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate – artt. 5, 6 e 9 del Regolamento, nonché 2-ter, 2-sexies e 2-septies, comma 8, del Codice - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare la specifica natura del trattamento – concernente la diffusione di dati personali mediante una pagina Facebook, pubblicamente accessibile, del Comune – la prolungata durata dello stesso, nonché il fatto che, nella maggior parte dei casi accertati, la violazione abbia riguardato dati inerenti a soggetti vulnerabili, quali interessati minorenni. Si ritiene che debba, altresì, essere presa in considerazione la delicatezza dei dati trattati (art. 83, par. 2, lett. g), del Regolamento), essendo gli stessi, con riferimento a interessati disabili, suscettibili di poter rivelare le condizioni di salute.
In senso favorevole al titolare deve tuttavia considerarsi che la pubblicazione di dati relativi alla salute ha riguardato un numero esiguo di interessati (un solo post, del XX) e che il predetto Comune ha, comunque, oscurato i dati personali contenuti nelle immagini, concernenti gli interessati minorenni, pubblicate online, sebbene tale operazione, come riscontrato dall’Ufficio nel corso dell’istruttoria, non risulti essere stata effettuata in modo completo o adeguato, non impedisce, come sopra osservato, l’identificabilità degli interessati (art. 83, par. 2, lett. a).
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole, che il titolare del trattamento è un Comune di modeste dimensioni, di circa 4.400 abitanti; in senso sfavorevole allo stesso occorre invece considerare che, con riferimento alle misure adottate dal Comune per attenuare il danno subito dagli interessati, lo stesso non ha provveduto a rimuovere tutti i post contestati dall’Autorità e che risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. c) ed e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3, lett. b), e 9, del Regolamento e degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione delle specifiche circostanze del caso concreto, data la particolare capacità diffusiva dello strumento di pubblicazione utilizzato dal Comune (social network) nonché del comportamento tenuto dallo stesso nell’ambito dell’istruttoria.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
6.2 La condotta di cui al paragrafo 3.3.
La violazione degli artt. 13, par. 1, lett. b), e 37, par. 7 del Regolamento, citata nel precedente paragrafo 3.3, per effetto dell’omessa pubblicazione dei dati di contatto del Responsabile della protezione dei dati personali ha, invece, avuto luogo in conseguenza di un’ulteriore unica condotta, trovando applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave accertata – art. 13 del Regolamento - è soggetta alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).
Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), occorre considerare che la stessa si è protratta per un considerevole lasso di tempo e risulta tuttora non sanata. La mancata pubblicazione dei dati di contatto del RPD da parte del Comune ha inciso negativamente sulla possibilità che gli interessati contattassero il RPD in modo facile e diretto.
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia di grado medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si devono considerare, in senso favorevole al titolare, le predette caratteristiche dimensionali del titolare e l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (cfr. art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila/00) per la violazione degli artt. 13, par. 1, lett. b), e 37, par. 7 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, trattandosi del mancato assolvimento a un adempimento divenuto obbligatorio da più di cinque anni, al fine di garantire il rispetto del principio di trasparenza nei confronti degli interessati.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3, lett. b), 9, 13, par. 1, lett. b), e 37, par. 7, del Regolamento e degli artt. 2-ter, commi 1 e 3, 2-sexies e 2-septies, comma 8, del Codice
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Buccino, con sede legale in Piazza Municipio 1, Buccino (SA), 84021, C.F. 82003670658, di pagare la complessiva somma di euro 6.000 (seimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al Comune di Buccino:
- di pagare la complessiva somma di euro 6.000 (seimila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a cessare l’ulteriore diffusione dei dati personali, pubblicati sulla pagina Facebook del Comune di Buccino (https://...), contenuti nei post del XX, XX e XX, XX, XX, XX, XX - 2 post con tale data -, XX - XX post con tale data -, XX, XX e XX, XX, XX e XX, XX, XX - 3 post con tale data - XX, XX e XX, XX, XX e XX, nonché nei post aventi contenuto analogo, anche pubblicati in data successiva ai predetti post, di provvedere a pubblicare i dati di contatto del RPD sul sito web istituzionale nonché ad indicare gli stessi nell’informativa in merito al trattamento dei dati personali presente sul predetto sito web istituzionale (https://...);
- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.
DISPONE
ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;
ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;
ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 settembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Fanizza
