Salta al contenuto
PL Consulting
IT DE
Parla con un consulente

← Tutti

Sanzione pubblica amministrazione Gravità: bassa

Il Garante della Privacy ha multato la Regione Sardegna per aver inviato per errore dati di performance di una sua ex dipendente (schede di valutazione) a un’altra Amministrazione, presso cui la persona aveva iniziato a lavorare

Garante per la protezione dei dati personali · IT · 28 maggio 2026 · Sanzione € 3.000

Leggi il provvedimento integrale ↗

In sintesi

Il Garante della Privacy ha multato la Regione Sardegna per aver inviato per errore dati di performance di una sua ex dipendente (schede di valutazione) a un'altra Amministrazione, presso cui la persona aveva iniziato a lavorare. Sebbene l'intento fosse di assicurare la ricezione, e la Regione abbia poi cercato di rimediare, l'invio è stato giudicato illecito perché non necessario e senza una valida ragione legale. Questo caso dimostra che anche un semplice errore può costare caro se riguarda la privacy dei dati, specialmente nel settore pubblico.

Cosa fare

  • Verificare come vengono gestiti i dati dei dipendenti quando cambiano azienda o ufficio
  • Assicurarsi che i dati siano inviati solo a chi ne ha strettamente bisogno e per una ragione valida
  • Controllare che i sistemi informatici proteggano i documenti riservati, impedendo accessi non autorizzati
  • Formare i propri dipendenti su come gestire correttamente i dati personali, specialmente quando si tratta di invii esterni.

Cosa evitare

  • Non inviare dati personali a persone o enti esterni se non è strettamente necessario e non si ha una chiara autorizzazione legale
  • Non affidarsi solo a scritte 'Riservato' senza protezioni effettive
  • Non sottovalutare gli 'errori' nella gestione dei dati, anche se fatti in buona fede.

Contesto

Il provvedimento origina da un reclamo di una dipendente, la Sig.ra XX, della Regione Autonoma della Sardegna, che ha lamentato presunte violazioni della normativa privacy in ambito lavorativo. La reclamante ha segnalato due episodi: la trasmissione di una nota di sanzione disciplinare a unità organizzative interne che, a suo dire, non avrebbero dovuto accedere al contenuto, e la trasmissione di una nota di riscontro a un'istanza di accesso agli atti, contenente le sue schede di valutazione della performance, anche a un'altra Amministrazione (XX) presso cui aveva da poco preso servizio, oltre che a lei stessa. La Regione ha fornito spiegazioni, sostenendo la legittimità della prima comunicazione per ragioni organizzative e l'errore materiale per la seconda, pur avendo adottato misure di contenimento post-errore.

La decisione

Il Garante ha ritenuto che la prima lamentela, relativa alla trasmissione della nota di sanzione disciplinare, non costituisse una violazione, in quanto i destinatari erano considerati legittimati ad accedere a tali dati in base alla complessa organizzazione amministrativa regionale e alle loro specifiche mansioni e responsabilità. Tuttavia, per quanto riguarda la seconda lamentela, il Garante ha rilevato l'illiceità del trattamento. La trasmissione della nota di riscontro con allegata la scheda di valutazione della performance alla nuova Amministrazione di servizio della reclamante (XX) è stata giudicata una 'comunicazione' di dati personali a un soggetto 'terzo' non autorizzato. Non sono state ritenute sufficienti a escludere la responsabilità della Regione né le diciture di riservatezza apposte, né le azioni successive per mitigare l'errore, né la presunta assenza di danno effettivo. La violazione è stata quindi ricondotta alla mancanza di liceità e trasparenza, nonché all'assenza di una base giuridica per tale comunicazione, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice. È stata quindi comminata una sanzione pecuniaria.

Ratio decidendi La ratio decidendi si fonda sul principio che i dati personali in ambito lavorativo possono essere resi accessibili solo a soggetti che ne necessitino in ragione delle mansioni assegnate e del ruolo specifico all'interno dell'organizzazione del titolare del trattamento, e che siano espressamente autorizzati. La comunicazione di dati a soggetti che, sebbene facenti parte dell'organizzazione del titolare, non siano autorizzati in base alle loro funzioni, o a soggetti terzi non autorizzati, configura una comunicazione illecita sprovvista di idonea base giuridica. Nel caso specifico, l'invio della scheda di valutazione della performance a un'altra Amministrazione presso cui la reclamante aveva preso servizio, senza una specifica necessità o base giuridica, ha costituito una comunicazione illecita a un terzo non autorizzato, violando i principi di liceità, correttezza e trasparenza.

Articoli GDPR violati

ArticoloDescrizioneRilevanza
5 par.1 lett.a
GDPR 		Principi di liceità, correttezza e trasparenza del trattamento dei dati personali. la comunicazione dei dati di performance a un'amministrazione terza non autorizzata ha violato il principio di liceità e trasparenza del trattamento.
6
GDPR 		Liceità del trattamento, che richiede una base giuridica specifica per il trattamento dei dati personali. la trasmissione dei dati di performance all'amministrazione terza è avvenuta in assenza di una valida base giuridica.
2-ter
Codice Privacy 		Principi generali in materia di trattamento di dati personali da parte di soggetti pubblici, che devono operare in conformità al principio di liceità e correttezza. il trattamento illecito dei dati di performance da parte della regione ha violato i principi del codice privacy applicabili ai soggetti pubblici.

Misure imposte

Pagare la sanzione amministrativa pecuniaria; Pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante; Annotazione delle violazioni nel registro interno dell'Autorità. Non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Sanzione

Il Garante ha inflitto una sanzione amministrativa pecuniaria di 3.000,00 euro alla Regione Autonoma della Sardegna per la violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice. La violazione è stata determinata dalla comunicazione non autorizzata di dati relativi al rendimento lavorativo della reclamante a un'Amministrazione terza, dovuta a un errore umano isolato e colposo, sebbene l'intento fosse di assicurare la ricezione. È stata considerata la bassa gravità della violazione, il discreto grado di cooperazione del titolare e l'assenza di precedenti violazioni pertinenti.

Termini: entro 30 giorni dalla notificazione del presente provvedimento

Implicazioni pratiche

Questo provvedimento sottolinea l'importanza cruciale per le pubbliche amministrazioni (e le organizzazioni in generale) di gestire con estrema cautela la comunicazione dei dati personali dei propri dipendenti, anche quando si tratta di dati non considerati 'particolari'. L'errore, seppur 'materiale' e con buone intenzioni (assicurare la ricezione), non esime dalla responsabilità se la comunicazione avviene a un soggetto terzo non legittimato o non autorizzato, e senza un'adeguata base giuridica. È fondamentale che i sistemi di gestione documentale e le procedure interne siano configurati per impedire la diffusione non necessaria di informazioni, anche tra diverse articolazioni di un'unica entità o verso altre amministrazioni. Anche l'adozione di misure correttive successive all'errore, pur apprezzabili, non annulla la violazione iniziale. La prevenzione del rischio è prioritaria rispetto alla valutazione del danno effettivo, che può al massimo fungere da attenuante.

Errori da evitare

  • Comunicare dati personali a terzi (anche altre P.A.) senza una base giuridica valida o una necessità effettiva
  • Affidarsi solo a diciture generiche come 'Riservato personale' senza adeguate misure tecniche e organizzative
  • Sottovalutare la gravità di un 'errore materiale' se comporta la divulgazione di dati
  • Conservare dati oltre il necessario o renderli accessibili a un numero eccessivo di persone all'interno dell'organizzazione
  • Trascurare la formazione del personale sulla protezione dei dati, specialmente per chi gestisce pratiche sensibili.

Domande di self-assessment

  • Abbiamo una procedura chiara per la gestione e la comunicazione dei dati dei dipendenti in caso di trasferimento o cessazione del rapporto?
  • Ogni comunicazione di dati personali a enti esterni è supportata da una base giuridica documentata?
  • Il nostro sistema di gestione documentale impedisce l'accesso non autorizzato ai dati?
  • Il personale che gestisce dati sensibili è adeguatamente formato sui principi del GDPR?
  • Abbiamo verificato che le diciture di riservatezza siano accompagnate da effettive misure di sicurezza e limitazione dell'accesso?

Riferimenti

Linee guida EDPB: Linee Guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR · Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR

Normativa nazionale: D.Lgs. 196/2003 · L. n. 241/1990 · L.R. n. 27/2011 · D.Lgs. n. 165/2001 · L. n. 689/1981 · D.Lgs. n. 150/2011

Note

Il provvedimento distingue tra comunicazioni interne legittime, basate sulla necessità funzionale all'interno di una complessa organizzazione amministrativa, e comunicazioni illecite a soggetti terzi, anche se effettuate per 'errore materiale' e con tentativi di mitigazione successivi. Sottolinea che l'assenza di un danno concreto non esclude la violazione, ma può influire sulla gravità della sanzione.

Provvedimenti correlati

[10232961] Provvedimento n. 10232961
[10191660] Provvedimento n. 10191660
[1417809] Provvedimento n. 1417809