g-docweb-display Portlet

Provvedimento del 18 giugno 2026 [10268672]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10268672]

Provvedimento del 18 giugno 2026

Registro dei provvedimenti
n. 465 del 18 giugno 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, adottato con deliberazione del 28 giugno 2000 (doc. web n. 1098801);

RELATORE il dott. Agostino Ghiglia;

1. FATTO E SVOLGIMENTO DELL’ISTRUTTORIA

1.1. Origine dell’istruttoria preliminare

Con il reclamo pervenuto a questa Autorità in data 11 agosto 2025, la signora XX (di seguito “reclamante” o “interessata”), per il tramite del proprio legale di fiducia – Avv. XX -, ha lamentato la permanente reperibilità sul motore di ricerca Google, in associazione al proprio nominativo, di un articolo pubblicato nel febbraio 2017 dalla testata giornalistica on-line “XX” (XX), edita dall’impresa individuale Edizioni Grandangolo di Giuseppe Castaldo (di seguito “titolare”). 

In particolare tale articolo, rinvenibile all’indirizzo di rete (c.d. URL) https://..., reca la notizia della scomparsa e del successivo ritrovamento della reclamante, all’epoca dei fatti ancora minorenne, della quale viene riportato il nominativo e, a corredo visivo, un’immagine della stessa. Inoltre l’interessata ha rappresentato di aver previamente formulato, in data 29 maggio 2025, una richiesta di rimozione dei propri dati personali dall’articolo oggetto di doglianza che, tuttavia, è rimasta inevasa. 

Pertanto, con l’atto introduttivo del procedimento è stato chiesto un intervento dell’Autorità al fine di vedere soddisfatta la citata istanza di rimozione, in ragione del venire meno dell’interesse pubblico alla notizia lamentata e del decorso del tempo dall’accadimento dei fatti ivi narrati (febbraio 2017) relativi a “un episodio ormai trascorso della […] vita privata” della reclamante, la cui riproposizione in rete appare idonea ad arrecare un “grave ed irreparabile nocumento […] alla serenità ed alla vita relazionale” della stessa. 

1.2. Attività svolta

Con nota del 23 settembre 2025 (prot. n. 124821/25) è stato chiesto al titolare di fornire le proprie osservazioni, ai sensi dell’art. 157 Codice, riguardo a quanto rappresentato nel reclamo e “di esplicitare le motivazioni alla base del mancato riscontro” all’istanza dell’interessata.

In risposta alla citata richiesta di informazioni, il titolare - nella persona di XX, Direttore responsabile della testata giornalistica on-line “XX” - con comunicazione pervenuta in data 29 settembre 2025, ha rappresentato di aver tempestivamente rimosso l’articolo segnalato non appena ricevuta la nota dell’Autorità. Inoltre, lo stesso ha precisato di non aver fornito riscontro alla richiesta di cancellazione del contenuto editoriale lamentato dalla reclamante in ragione degli attacchi informatici che avrebbero interessato, “da oltre due anni”, il sito internet e gli indirizzi e-mail e pec della redazione, nonché “documenti […] personali e finanziari”; tant’è che “Di questa vicenda si sta occupando la Polizia postale di XX e XX”, stanti, peraltro, i recenti e continui “tentativi di accesso illecito al […] sito e ai […] documenti”.  

Il titolare ha, altresì, precisato che la pec - XX – alla quale risulta essere stata inviata la richiesta della reclamante, sarebbe stata “hackerata in data antecedente al maggio 2024”; gli attacchi informatici avrebbero riguardato anche l’indirizzo pec - XX – utilizzato dall’Ufficio per la richiesta di informazioni del 23 settembre 2025 e dal quale sarebbe poi provenuto il relativo riscontro.

Le dichiarazioni rese dal titolare, con particolare riguardo alle argomentazioni di carattere tecnico, sono state sottoposte all’esame del Dipartimento tecnologie digitali e sicurezza informatica del Garante al quale è stato altresì richiesto di valutare la sussistenza, nel caso di specie, dell’eventuale obbligo di notificare all’Autorità una violazione dei dati personali, ai sensi dell’art. 33 del Regolamento.

2. AVVIO DEL PROCEDIMENTO PER L’ADOZIONE DEI PROVVEDIMENTI CORRETTIVI E SANZIONATORI E DIFESE DELLA PARTE 

2.1. Avvio del procedimento (art. 166, comma 5, del Codice)

In base agli elementi acquisiti nel corso delle attività sopra descritte, con nota del 31 dicembre 2025 (prot. n. 179535/25), notificata ai sensi dell’art. 166, comma 5, del Codice, l’Ufficio ha avviato il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti del titolare del trattamento, invitando lo stesso a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Le presunte violazioni contestate hanno riguardato le seguenti disposizioni: 

1. artt. 33 e 34 del Regolamento per l’omessa notifica all’Autorità e agli interessati della violazione dei dati personali derivante dai ripetuti attacchi informatici che avrebbero coinvolto un’ingente mole di informazioni eterogenee, incluse quelle di natura finanziaria, con conseguente esposizione a rischi specifici per i diritti e le libertà delle persone fisiche, non avendo, peraltro, il titolare dimostrato di aver adottato misure idonee alla mitigazione del danno;  

2. artt. 5, par. 1, lett. f) e 32 del Regolamento per la mancata adozione di misure tecniche e organizzative idonee a garantire la sicurezza e l’integrità dei dati personali degli interessati; 

3. artt. 12, parr. 1 e 2, e 13 del Regolamento per l’assenza di una privacy policy nel sito internet in esame – XX – e, quindi, di informazioni sul trattamento realizzato in ambito giornalistico, nonché di recapiti specificatamente dedicati all’esercizio dei diritti degli interessati, rinvenendosi, invece, nella home page un indirizzo e-mail destinato a richieste di carattere generale e non chiaramente riferibile alla gestione delle istanze in materia di protezione dei dati personali (come da verifiche effettuate in data 14 novembre 2025 e formalizzate in un verbale di compiute operazioni, acquisito agli atti del fascicolo);

4. art. 5, par. 2, 24 e 25 del Regolamento per non aver dimostrato gli adempimenti effettuati in materia di protezione dei dati personali, anche tenuto conto del principio di privacy by design. 

2.2. Difese della Parte (art. 166, comma 6, del Codice)

Con memoria pervenuta il 25 gennaio 2026 il titolare del trattamento ha chiesto l’archiviazione del procedimento instaurato nei suoi confronti e, in via subordinata, nella denegata ipotesi di accertamento di responsabilità, l’applicazione della misura correttiva dell’ammonimento ovvero l’irrogazione di una sanzione amministrativa pecuniaria nel minimo edittale. 

In particolare, il titolare ha inteso precisare che l’attacco informatico - dal quale è originata la contestata violazione degli artt. 33 e 34 del Regolamento – avrebbe interessato esclusivamente l’account e-mail redazionale (XX), senza coinvolgere né il sito internet in argomento, né gli indirizzi pec (XX e XX), utilizzati rispettivamente per l’istanza di rimozione della reclamante e per la richiesta di informazioni dell’Autorità, attribuendo le difformità nelle dichiarazioni rese in sede istruttoria allo stato di grave difficoltà personale del Direttore responsabile della testata giornalistica in esame. A conferma di ciò, il titolare ha prodotto copia della denuncia-querela sporta in data 7 giugno 2024 presso il Centro Operativo per la Sicurezza Cibernetica - Polizia Postale di XX - dalla quale emerge che il sito internet in esame non avrebbe subìto alcuna intrusione né “alterazione del pannello di controllo”, diversamente da quanto avvenuto con riferimento all’account e-mail redazionale. 

Ad ogni modo, il titolare ha rappresentato che non vi è evidenza che i dati - anche di natura personale “del Direttore e dei collaboratori” della redazione - presenti nell’account hackerato, “siano stati copiati o utilizzati”; né “le analisi dei log di sistema e del traffico di rete”, effettuate a seguito dell’evento anomalo, hanno rilevato trasferimenti o esfiltrazione di dati dai server della testata giornalistica. Ciò sarebbe ulteriormente confermato dalla circostanza che gli hacker, che avrebbero avuto accesso alle informazioni, “non hanno mai fornito alcun campione di dati – c.d. proof of life – limitandosi a minacce generiche tipiche delle campagne di bluff estorsivo”.  

Il titolare ha, quindi, dichiarato che - a seguito dell’attivazione tempestiva delle “procedure di verifica e messa in sicurezza dell’infrastruttura informatica”, anche con l’ausilio di una società esterna appositamente incaricata – l’evento segnalato sarebbe stato risolto “integralmente in un arco temporale estremamente contenuto”, non concretizzandosi un rischio per i diritti e le libertà delle persone fisiche; tant’è che, come evidenziato dal titolare, a distanza di tempo dall’evento non sarebbero pervenute segnalazioni da parte degli utenti della testata giornalistica circa indebiti utilizzi o diffusioni dei dati. Pertanto, secondo il titolare, in assenza dell’elemento costitutivo del “rischio”, non si rinviene alcun obbligo di notifica al Garante e di comunicazione agli interessati. 

Inoltre, il titolare ha ritenuto di respingere la contestata violazione relativa all’assenza di misure di sicurezza, sottolineando come l’evento segnalato non abbia inciso sulla riservatezza dei dati, né determinato una effettiva compromissione degli stessi, avendo comunque adottato presidi idonei a prevenire accessi abusivi, come illustrati nella relazione tecnica allegata alla memoria difensiva.

Da ultimo, il titolare ha ricondotto l’assenza della privacy policy nel sito internet, rilevata dall’Autorità nell’atto di avvio del procedimento, a un “mero disservizio tecnico temporaneo” tempestivamente ripristinato con l’intervento della società terza di cui si è avvalso. Secondo il titolare, la carenza di tale adempimento sarebbe, dunque, imputabile a un evento “involontario e transitorio, prontamente sanato” che non avrebbe comunque inciso sulla sostanziale trasparenza del trattamento, considerato che nel tempo sarebbero state regolarmente gestite ed evase le richieste degli interessati. A detta del titolare, l’informativa privacy – che “esisteva ed era caricata nel database” – avrebbe assolto alla propria funzione sostanziale di rendere edotti gli interessati sui diritti esercitabili e sui relativi canali di contatto.

3. VALUTAZIONI DELL’AUTORITÀ

La peculiarità della vicenda descritta e le successive integrazioni documentali, prodotte dal titolare in fase difensiva, hanno reso necessaria l’effettuazione di ulteriori valutazioni tecniche da parte del competente Dipartimento tecnologie digitali e sicurezza informatica, i cui esiti sono stati acquisiti agli atti del procedimento con nota del 16 marzo 2026 (prot. n. 39645/26).  

In tale sede è stato osservato che sebbene il perimetro dell’attacco informatico sia stato circoscritto alla sola e-mail redazionale (XX) esso integra comunque un evento di violazione di dati personali, considerata la natura delle informazioni usualmente reperibili all’interno di una qualsiasi casella di posta elettronica, tanto più se utilizzata da un titolare operante in ambito giornalistico. Nel caso in esame, infatti, l’account oggetto di accesso abusivo risulterebbe contenere una significativa quantità di dati personali, come puntualmente indicato nella denuncia-querela presentata presso la Polizia Postale di XX, tra cui “documenti di identità e codice fiscale […], credenziali di accesso ai conti correnti” e ai relativi servizi bancari, nonché documentazione inerente all’attività giornalistica.

Per tali ragioni, pur mancando una compiuta valutazione in merito al livello di rischio dell’evento occorso, non può ritenersi applicabile l’esclusione dall’obbligo di notifica di una violazione dei dati personali, prevista dall’art. 33, par. 1, del Regolamento; in base alla richiamata norma regolamentare, la notifica può essere omessa laddove il titolare ritenga che “[…] sia improbabile che la violazione dai dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. 

Al riguardo, il Regolamento richiede che la valutazione del rischio tenga conto sia della probabilità di accadimento sia della gravità delle possibili conseguenze per i diritti e le libertà degli interessati, sulla base di un’analisi oggettiva delle circostanze del caso concreto (cfr. considerando nn. 75 e 76 del Regolamento). In tale prospettiva, le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” (di seguito “Linee guida”) individuano, tra i criteri rilevanti ai fini della valutazione del rischio per i diritti e le libertà degli interessati in caso di violazione dei dati personali, “il tipo di violazione”, “la natura, il carattere sensibile e il volume dei dati personali”, “la facilità di identificazione delle persone fisiche”, “la gravità delle conseguenze per le persone fisiche”, “le caratteristiche particolari dell’interessato”, “le caratteristiche particolari del titolare del trattamento dei dati”, nonché “il numero delle persone fisiche interessate” (v. punti da 106 a 118 delle citate Linee guida). 

Diversamente da quanto sostenuto dal titolare, si ritiene che la violazione dei dati personali in esame sia suscettibile di presentare un rischio non trascurabile per i diritti e le libertà delle persone fisiche, alla luce della natura della violazione stessa e delle categorie di dati coinvolti, nonché della gravità e della possibile persistenza delle conseguenze pregiudizievoli per gli interessati. Invero, come previsto dalle richiamate Linee guida, “Violazioni relative a […] documenti di identità o dati finanziari come i dettagli di carte di credito, possono tutte causare danni di per sé, ma se tali dati fossero usati congiuntamente si potrebbe avere un’usurpazione d’identità. Di norma una combinazione di dati personali ha un carattere più sensibile rispetto a un singolo dato personale” (v. p. 108). 

Muovendo da tale assunto, l’evento anomalo che ha interessato l’account di posta elettronica redazionale - incidendo su un perimetro particolarmente ampio di dati, comprensivo anche di informazioni di natura finanziaria e relative a vicende personali, nonché alla luce del potenziale danno reputazionale e del settore di attività del titolare - non può ritenersi connotato da un rischio trascurabile per i diritti e le libertà delle persone fisiche; ne consegue che esso avrebbe dovuto essere notificato all’Autorità ai sensi dell’art. 33 del Regolamento, fermo restando, in ogni caso, l’obbligo per il titolare di annotarlo nel Registro delle violazioni dei dati personali (data breach).

Per le ragioni sopra esposte, si ritiene di confermare la violazione dell’art. 33 del Regolamento.

Con riferimento, invece, agli obblighi di comunicazione agli interessati di cui all’art. 34 del Regolamento - alla luce di quanto rappresentato nella memoria difensiva e della documentazione prodotta a corredo della stessa - non risulta possibile procedere a una compiuta valutazione circa la qualificazione del rischio come “elevato”, in ragione della sostanziale rimodulazione del perimetro dell’asserito attacco informatico così come prospettata dal titolare. Pertanto, in relazione a tale profilo, si ritiene di procedere all’archiviazione della contestata violazione dell’art. 34 del Regolamento.

Ad ogni modo, si rammenta che il titolare, nella denuncia-querela allegata alla memoria difensiva, ha dichiarato che la testata giornalistica in esame - “XX” - non sarebbe stata oggetto di attacchi informatici, diversamente dal sito internet "XX" (XX), parimenti sotto la sua gestione, il quale, in data 7 giugno 2024, avrebbe subìto un accesso abusivo, prontamente individuato e risolto. Tale evento – che ha riguardato un sito internet distinto rispetto alla testata giornalistica di cui al presente procedimento - non risulta essere stato notificato all’Autorità né, da quanto prodotto in atti, il titolare avrebbe provveduto a comunicare agli interessati la descritta violazione, ai sensi dell’art. 34 del Regolamento. Peraltro, nella richiamata denuncia-querela il titolare, pur dichiarando di aver adottato le opportune misure di sicurezza, non ha escluso tuttavia “che possano verificarsi in futuro ulteriori episodi […]'' analoghi a quello segnalato. Con riferimento a tale sito internet e all’evento informatico che lo ha interessato è stata avviata una separata istruttoria finalizzata ad accertare compiutamente eventuali ulteriori profili di responsabilità in capo al titolare del trattamento.

Quanto sin qui descritto, unitamente alla circostanza testé prospettata – relativa a un trattamento distinto ed estraneo al petitum originario del presente reclamo - in considerazione delle dichiarazioni rese in sede di denuncia-querela, non rafforza la posizione difensiva del titolare; al contrario, evidenzia la persistenza di profili di vulnerabilità dei sistemi o, quantomeno, l’assenza di garanzie sufficienti circa l’effettiva idoneità delle misure adottate per prevenire il ripetersi di eventi lesivi e per tutelare la sicurezza dei dati personali degli interessati. 

Invero - pur prendendo atto degli interventi migliorativi successivamente adottati con riguardo al sito internet “XX”, come illustrati nella relazione tecnica allegata alla memoria difensiva - non può tuttavia escludersi una responsabilità del titolare con riferimento ai trattamenti già realizzati. Come già ampiamente rappresentato, si ha avuto modo di evidenziare un vulnus nella sicurezza dei sistemi informatici adottati, in violazione dell’obbligo di garantire un’adeguata protezione dei dati personali da trattamenti e accessi non autorizzati mediante l’adozione di misure tecniche idonee ad assicurarne l’integrità e la riservatezza, nonché di comprovare il rispetto di tale adempimento. Del resto, soltanto a seguito dell’evento anomalo e dell’intervento dell’Autorità, il titolare ha implementato le proprie misure tecniche per prevenire accessi abusivi. Pertanto, per i trattamenti già realizzati, si ritiene integrata la violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento. 

Con riferimento al profilo della trasparenza, il titolare ha dichiarato che la privacy policy è sempre stata presente nel sito internet in questione e che la sua temporanea assenza, rilevata in sede di accertamento, sarebbe stata determinata da un “mero disservizio tecnico temporaneo […] prontamente sanato”. 

Tenuto conto che le dichiarazioni rese all’Autorità in corso di istruttoria sono rilasciate nella consapevolezza delle conseguenze previste in caso di false dichiarazioni al Garante (ai sensi degli artt. 157 e 168 del Codice) e assumendo dunque agli atti la giustificazione fornita dal titolare del trattamento, sebbene il dedotto “disservizio tecnico” non sia stato in alcun modo comprovato, si osserva che, da una verifica del sito internet, la lacuna informativa emersa durante l’accertamento è risultata essere stata sanata; infatti, a conferma di quanto dichiarato dal titolare nelle proprie memorie difensive, è possibile visualizzare il testo dell’informativa privacy mediante apposita sezione in calce alla home page (rinvenibile all’URL https://...).

Tuttavia, al fine di verificare l’informativa privacy precedentemente rilasciata agli utenti della testata giornalistica on-line “XX”, l’Ufficio ha eseguito l’accesso al servizio WayBack Machine – Internet Archive (web.archive.org) che conserva le istantanee (snapshot) delle home page dei siti internet e della relativa strutturazione anche in epoca risalente. Tali verifiche hanno quindi consentito di visualizzare il sito internet in esame al momento o comunque attiguamente alla data di presentazione dell’istanza di esercizio dei diritti dell’interessata (29 maggio 2025), nonché di consultare versioni risalenti a un precedente arco temporale di cinque anni, dal 2020 al 2025.

All’esito del descritto accertamento, è emerso che il sito internet in esame è risultato sprovvisto di una privacy policy e, quindi, di informazioni sul trattamento realizzato in ambito giornalistico, nonché di dati di contatto e indirizzi e-mail dedicati all’esercizio dei diritti degli interessati per l’intero intervallo temporale assunto a campione (2020-2025). 

Solo a partire dalla fine del 2022 risulta inserito, in calce alla home page, un indirizzo e-mail (XX) che sembrerebbe, tuttavia, destinato a richieste di carattere generale rivolte alla testata giornalistica, non strettamente riferibili a profili relativi al trattamento dei dati personali. Tale carenza non può ritenersi colmata dalla sezione “Contatti” che prevede la compilazione di un form on-line, attualmente attivo per la raccolta di dati personali (nominativo ed e-mail) ai fini dell’iscrizione alla newsletter, in calce al quale risulta pre-selezionata la presa visione dell’informativa privacy che, come sopra evidenziato, non è risultata disponibile all’interno del sito internet in esame sino all’intervento operato dal titolare a seguito della contestazione. Peraltro, nella versione del sito internet riferibile all’anno 2020 non è stata rinvenuta neppure la predetta sezione “Contatti”. 

Le verifiche condotte dall’Ufficio sono state sottoposte all’esame del Dipartimento tecnologie digitali e sicurezza informatica del Garante che, con nota del 28 aprile 2026 (prot. n. 65425/26), ha illustrato gli approfondimenti tecnici effettuati sul sito internet XX mediante analisi del codice sorgente della pagina contenente l’attuale informativa privacy, nonché tramite l’accesso al servizio WayBack Machine – Internet Archive (web.archive.org). L’analisi tecnica ha rilevato che le evidenze relative alla presenza della privacy policy sul sito internet risultano comparire esclusivamente a partire dal 5 gennaio 2026, come attestato dalle istantanee archiviate, dunque in data successiva all’avvio del presente procedimento, notificato il 31 dicembre 2025, confermando quanto emerso dalle verifiche dell’Ufficio. Pertanto - nel prendere atto delle misure correttive adottate a seguito della comunicazione di avvio del procedimento - non può escludersi una responsabilità in capo al titolare per aver precluso agli interessati di avere informazioni in merito al trattamento dei propri dati personali per un periodo di tempo potenzialmente più ampio di quello attenzionato dall’Autorità. 

L’assenza di idonee informazioni sul trattamento di dati personali in ambito giornalistico e sui recapiti dedicati alle istanze di esercizio dei diritti si pone come limite sostanziale al basilare principio di trasparenza e di autodeterminazione degli interessati. Tale esigenza informativa risulta, peraltro, imprescindibile per un’attività imprenditoriale orientata al settore dell’editoria. Per tali ragioni, si ritiene integrata la violazione degli artt. 12, parr. 1 e 2, e 13 del Regolamento.

Dalle sopra descritte condotte discende una valutazione di complessiva negligenza da parte del titolare, tale da potersi ritenere integrata anche la violazione degli artt. 5, par. 2 e 24 del Regolamento, che inquadrano le competenze del titolare in un’ottica di necessaria valorizzazione del principio di responsabilizzazione (“accountability”) finalizzata a dimostrare gli adempimenti effettuati in materia di protezione dei dati personali, anche tenuto conto del principio di privacy by design (art. 25 del Regolamento).

4. CONCLUSIONI

Alla luce di tali considerazioni, risultano confermati i profili oggetto di contestazione con l’atto di avvio del procedimento di cui all’art. 166 del Codice, in quanto le dichiarazioni rese nel corso dell’istruttoria e le difese addotte non sono idonee a superare i rilievi formulati dall’Ufficio e, peraltro, non ricorre alcuno dei casi previsti dall’art. 11 del regolamento n. 1/2019.

Pertanto, l’Autorità rileva l’illiceità della condotta posta in essere dal titolare del trattamento, in violazione degli artt. 5, parr. 1, lett. f), e 2; 12, parr. 1 e 2; 13; 24; 25; 32 e 33 del Regolamento. 

5. MISURE CORRETTIVE 

Accertata dunque l’illiceità delle sopra rilevate condotte: 

- con riferimento al profilo della trasparenza, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, tenuto conto che il titolare del trattamento ha provveduto a introdurre nel sito internet l’informativa privacy resa agli interessati, indicando nella stessa il soggetto al quale rivolgere le eventuali richieste nella qualità di Responsabile della protezione dei dati, nonché i relativi indirizzi e-mail preposti all’esercizio dei diritti; 

- con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.

6. ORDINANZA INGIUNZIONE 

In base a quanto sopra rappresentato, ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, del Regolamento, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

Quali circostanze da prendere in considerazione, nel caso di specie, devono essere valutati, sotto il profilo delle aggravanti:

1) la gravità delle violazioni rilevate in ragione dell’inosservanza degli obblighi informativi gravanti sul titolare per un lungo periodo di tempo, potenzialmente superiore all’arco temporale quinquennale assunto a riferimento dall’Ufficio (2020-2025), con conseguente preclusione, per gli interessati, della possibilità di esercitare i propri diritti (art. 83, par. 2, lett. a, del Regolamento);

2) il numero potenzialmente elevato dei soggetti coinvolti nell’attacco informatico asseritamente verificatosi in prossimità della presentazione dell’istanza di esercizio dei diritti dell’interessata, non notificato all’Autorità (art. 83, par. 2, lett. a, del Regolamento); 

3) il carattere gravemente colposo della violazione, atteso che il titolare non ha adeguatamente considerato il rischio per i diritti e le libertà delle persone fisiche coinvolte dal predetto attacco hacker, minimizzandone l’impatto, pur avendo l’evento interessato un perimetro particolarmente ampio di dati, comprensivo anche di informazioni di natura finanziaria e relative a vicende personali. A ciò si aggiunge il carattere negligente della condotta, tenuto conto che il titolare ha agito con noncuranza rispetto agli obblighi derivanti dalla normativa in materia di protezione dei dati personali, con particolare riferimento ai doveri di trasparenza (art. 83, par. 2, lett. b, del Regolamento);

4) il grado di responsabilità del titolare, che ha dimostrato un’importante carenza nel controllo della sicurezza del trattamento (art. 83, par. 2, lett. d, del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1) della natura isolata della condotta, dal momento che il procedimento in parola è scaturito da un solo reclamo (art. 83, par. 2, lett. a, del Regolamento);

2) delle finalità perseguite dal titolare, riconducibili all’esercizio del diritto di cronaca e alla libertà di informazione, secondo quanto stabilito dal Regolamento (art. 85) e dal Codice (artt. 136 e ss.) (art. 83, par. 2, lett. a, del Regolamento);

3) dell’adozione di misure correttive avviate subito dopo la contestazione dell’Autorità (art. 83, par. 2, lett. c, del Regolamento);

4) dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e, del Regolamento);

5) del grado di cooperazione con l’Autorità di controllo, risultato non adeguato, atteso che, come descritto, il titolare ha fornito risposte laconiche, non coerenti con quanto dichiarato in sede istruttoria e comunque prive di adeguato riscontro documentale (art. 83, par. 2, lett. f del Regolamento);

6) della circostanza relativa alle modalità con cui l’Autorità è venuta a conoscenza della violazione, esclusivamente a seguito della presentazione del reclamo (art. 83, par. 2, lett. h, del Regolamento); 

7) delle condizioni economiche del titolare del trattamento, desumibili dalla documentazione fiscale acquisita nel corso dell’istruttoria e riferita al periodo d’imposta 2024 (cfr. dichiarazione dei redditi per persone fisiche – anno 2025). Dall’esame della predetta documentazione emerge, infatti, la sussistenza di ricavi complessivi di entità contenuta, ulteriormente ridimensionati ove si considerino i costi e le spese sostenute per l’esercizio dell’attività (art. 83, par. 2, lett. k, del Regolamento).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività, di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali e occupazionali del titolare, si ritiene debba applicarsi a Edizioni Grandangolo di Giuseppe Castaldo la sanzione amministrativa del pagamento di una somma di euro 2.075,00 (duemilasettantacinque/00). 

In conclusione, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento n. 1/2019, debba applicarsi la sanzione accessoria della pubblicazione del presente provvedimento contenente l’ordinanza ingiunzione sul sito internet del Garante, in ragione del particolare disvalore delle violazioni rilevate, nonché in considerazione dell’inosservanza degli obblighi di trasparenza gravanti sul titolare per un periodo di tempo più ampio di quello attenzionato dall’Autorità nell’ambito della presente istruttoria. 

Ricorrono, infine, i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

PER QUESTI MOTIVI

ai sensi degli artt. 57 e 83 del Regolamento, si dichiara l’illiceità del trattamento di dati personali effettuato dall’impresa individuale Edizioni Grandangolo di Giuseppe Castaldo con sede legale in Via Mazzini 177, 92100 Agrigento, P.IVA 02569340843, per la violazione degli artt. 5, parr. 1, lett. f) e 2; 12, parr. 1 e 2; 13; 24; 25; 32 e 33 del Regolamento, nei termini di cui in motivazione; 

SI ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al predetto titolare di pagare la somma di euro 2.075,00 (duemilasettantacinque/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione.

SI INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.075,00 (duemilasettantacinque/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

SI DISPONE

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 17 del regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre opposizione all’autorità giudiziaria ordinaria, con ricorso depositato presso il tribunale ordinario del luogo individuato nel medesimo art. 10, a pena di inammissibilità, entro il termine di trenta giorni dalla data di comunicazione del provvedimento ovvero entra sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 giugno 2026 

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori