[doc. web n. 10232869]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 113 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente e il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento il XX, che ha svolto la propria attività lavorativa presso la Fondazione Centro sperimentale di cinematografia (di seguito “Fondazione”), ha rappresentato che “in data XX, attraverso il sito istituzionale [della Fondazione], sezione amministrazione trasparente, è stata pubblicata la delibera XX del XX, avente per oggetto: licenziamento per giusta causa del Dirigente XX”, contenente propri dati personali.

A seguito delle verifiche effettuate dall’Ufficio, acquisite in atti, è stato accertato che al link https://... indicato dal reclamante, la delibera XX del XX in data XX risultava pubblicata con i dati personali del reclamante oscurati.

2. L’attività istruttoria.

In merito alla vicenda lamentata, nell’ambito dell’istruttoria, con nota del XX, la Fondazione ha rappresentato, in particolare, che:

- “la fondazione è un organismo di diritto pubblico ed è in quanto tale soggetto agli obblighi di trasparenza e pubblicità dei propri atti”;

- ”le delibere dell’organo di gestione dell’Ente devono essere pubblicate ai fini della trasparenza affinché con la pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni, vengano favorite forme diffuse di controllo sull´azione amministrativa, sull´utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi […]; devono essere pubblicati gli atti che riguardano l´organizzazione e l´attività delle pubbliche amministrazioni, comprese le deliberazioni”;

- “stabilita l’esistenza dell’obbligo di pubblicazione della delibera in parola, non era possibile, ai fini di rendere effettivo il rispetto del principio di trasparenza, oscurare il nominativo del XX in quanto ciò avrebbe snaturato l’obbligo di trasparenza e avrebbe reso non intellegibile il contenuto dell’atto pubblicato”;

- “in data XX – prima della pubblicazione sul sito internet della delibera in parola, avvenuta il XX - il Dirigente XX ha rilasciato un'intervista al Corriere della Sera rendendo pubbliche le informazioni sul licenziamento che lo riguardavano”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla predetta Fondazione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che il trattamento dei dati personali del reclamante fosse stato effettuato in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a) e c) e 6, par.1 lett. c) ed e) del Regolamento e 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, la Fondazione, ha depositato le proprie memorie difensive, rappresentando, in particolare, che:

- “la comunicazione istituzionale pubblicata dalla Fondazione aveva come unica finalità quella di assicurare trasparenza rispetto a rilevanti mutamenti nell’assetto organizzativo e gestionale dell’Ente, in coerenza con i principi di pubblicità e trasparenza amministrativa (artt. 1 e 97 Cost.; art. 12 d.lgs. 33/2013), nonché con il legittimo interesse del pubblico e dei portatori di interesse (stakeholder) a essere informati.”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (formalizzatasi con l’accettazione del titolare pervenuta in data XX) la Fondazione ha dichiarato, in particolare, che:

- “la delibera del Consiglio di Amministrazione concernente il licenziamento del reclamante è stata pubblicata sul sito della Fondazione poiché il reclamante rivestiva una posizione particolarmente strategica nell’ambito della struttura organizzativa della Fondazione medesima”;

- “in particolare sotto il profilo del collegamento del reclamante con soggetti terzi ed esterni alla Fondazione; tale circostanza ha determinato nel caso di specie l’esigenza di rendere noto all’utenza il fatto che il reclamante non fosse più in servizio presso la Fondazione;

- “a dimostrazione dell’assoluta assenza di dolo in capo alla Fondazione, che ha provveduto a sostituire la delibera pubblicata con una nella quale i dati del reclamante risultavano oscurati, anche tenuto conto che la vicenda in questione presenta carattere isolato, in quanto storicamente la Fondazione ha sempre assicurato il rispetto della disciplina di protezione dei dati.

3. Esito dell’attività istruttoria.

All’esito dell’attività istruttoria è emerso che la Fondazione ha pubblicato, sul proprio sito web istituzionale, nella sezione “Amministrazione trasparente” la delibera XX del XX, avente per oggetto “licenziamento per giusta causa del Dirigente XX” contenente i dati personali del reclamante che, successivamente, alla data del XX, risultavano oscurati (in atti).

A tal riguardo si rappresenta preliminarmente che la disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).

Pertanto si evidenzia che il quadro normativo in materia di protezione dei dati personali richiede per qualsiasi operazione di trattamento (art.4, punto 2 del Regolamento) tra cui la diffusione (art. 2-ter comma 4 lett. b) del Codice) la necessità di disporre di un’idonea base giuridica e a tale riguardo si ricorda che il Garante ha fornito fin dal 2007 indicazioni in ordine ai presupposti (e al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione di atti e documenti che contengono dati personali dei dipendenti precisando, in particolare, che non è lecito diffondere informazioni personali riferite a singoli lavoratori se non espressamente previsto da una disposizione normativa (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809).

Il Garante in proposito ha in numerose occasioni chiarito che anche la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v., tra i tanti, provv. n. 320 del 4 giugno 2025, doc web 10163025 e provv. n.768 del 12 dicembre 2024 doc web 10102355). Pertanto anche con riguardo alla pubblicazione nella sezione “Amministrazione trasparente” del proprio sito istituzionale il titolare del trattamento deve sempre verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare in applicazione della normativa di settore che regola modi, tempi e forme di pubblicità.

Al riguardo si osserva che il d.lgs. 14 marzo 2013, n. 33 non contiene alcuna specifica disposizione che obblighi la Fondazione a pubblicare la determinazione del licenziamento disciplinare di un dipendente, non rilevando, ai fini della valutazione della complessiva condotta del datore di lavoro, quanto dichiarato in merito al fatto che il reclamante abbia resa pubblica l’informazione sul proprio licenziamento.

Pertanto, stante la mancata previsione dell’obbligo di pubblicazione di tale tipologia di dati personali tra le ipotesi puntualmente elencate dal legislatore nel capo II del citato decreto legislativo o in altra specifica norma in materia di trasparenza, non trova applicazione al caso di specie il regime di conoscibilità stabilito dalla normativa sulla trasparenza (sul punto, cfr. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” provv. del 15 maggio 2014 n. 243 doc. web n. 3134436).

Tutto ciò premesso, alla luce dei principi sopra richiamati, ne deriva che la pubblicazione della delibera XX del XX sul sito web della Fondazione per tutto il periodo in cui è stata pubblicata con il nominativo del reclamante in chiaro, ha determinato un trattamento di dati personali non previsto da alcuna disposizione normativa, considerato, inoltre, la particolare delicatezza delle informazioni relative a un provvedimento di licenziamento trattandosi di informazioni che incidono sulla dignità professionale del lavoratore.

Deve pertanto concludersi che la pubblicazione della predetta delibera comprensiva dei dati personali del reclamante ha determinato a una “diffusione” di dati personali in assenza di un idoneo presupposto normativo e in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione”, in violazione degli artt. 5, par. 1, lett. a) e c) e 6, par.1 lett. c) ed e) del Regolamento e 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Fondazione nei termini di cui sopra.

Tanto premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

la violazione ha riguardato un solo interessato e tale violazione rappresenta un episodio di carattere isolato (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione non ha riguardato categorie di dati particolari (cfr. art. 83, par. 2, lett. g), del Regolamento)

la Fondazione ha, comunque, provveduto, seppure successivamente, ad oscurare il nominativo del reclamante contenuto nella delibera XX del XX (cfr. art. 83, par. 2, lett. c), del Regolamento)

la violazione presenta carattere colposo, essendo dipesa da un errore di valutazione commesso in buona fede ritenendo che la pubblicazione del nominativo del reclamante fosse necessaria per l’esatta conoscibilità delle informazioni ai fini degli obblighi di trasparenza e pubblicità dei propri atti (cfr. art. 83, par. 2, lett. b), del Regolamento);

la Fondazione ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, con riferimento ai trattamenti effettuati in ambito lavorativo (art. 83, par. 2, lett. e), del Regolamento).

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 e art. 83, par. 2, del Regolamento).

Considerato che la condotta ha ormai esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dalla Fondazione Centro sperimentale di cinematografia, in persona del legale rappresentante pro-tempore, con sede legale in Via Tuscolana, 1520 – 00173 Roma, Codice Fiscale 01602510586, per violazione degli artt. 5, par. 1, lett. a) e c) e 6, par.1 lett. c) ed e) del Regolamento e 2-ter del Codice nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Fondazione, quale titolare del trattamento in questione, per aver violato gli artt.5, par. 1, lett. a) e c) e 6, par.1 lett. c) ed e) del Regolamento e 2-ter del Codice, come sopra descritto; 

c) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori