NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Il sindaco che usa il suo profilo social per pubblicare i dati dei positivi al Covid-19 paga poi dazio se abusa della sua autorità

Il sindaco che usa il suo profilo social per pubblicare i dati dei positivi al Covid-19 paga poi dazio se abusa della sua autorità

Il sindaco non è un privato cittadino quando parla. E se si esprime sui suoi canali social personali violando la privacy poi paga dazio. Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 627 del 23 ottobre 2025.

Il caso esaminato riguarda il sindaco di Calvi Risorta che, nel pieno della fase emergenziale della pandemia da Covid-19, aveva utilizzato il proprio profilo e una pagina Facebook per pubblicare nominativi di cittadini risultati positivi al virus, inclusi minorenni, e immagini di bambini intenti nella vaccinazione, con indicazione dei relativi dati identificativi.

L’Autorità accerta l’illiceità del trattamento e applica una sanzione amministrativa di 1.000 euro, disponendo al contempo la pubblicazione del provvedimento sul proprio sito istituzionale. L’elemento davvero rilevante non è tanto l’importo pecuniario, contenuto rispetto al massimo astrattamente applicabile, quanto la ricostruzione giuridica della titolarità e della natura del trattamento.

Il Garante precisa infatti che il Comune, come ente, non ha avuto un ruolo operativo nella gestione dei dati. I canali utilizzati non erano quelli ufficiali dell’amministrazione, ma strumenti social gestiti direttamente dal sindaco.

Tuttavia, questo non basta a far ricadere il trattamento nella sfera privata o domestica. Al contrario, l’Autorità sottolinea che la raccolta e la diffusione dei dati sono avvenute in stretto collegamento con le funzioni istituzionali del primo cittadino, con finalità di informazione della popolazione, contenimento dei contagi e promozione della campagna vaccinale.

L’inquadramento è quindi chiaro. Si tratta di trattamento di dati personali effettuato nell’esercizio di pubblici poteri, con il sindaco individuato come titolare. L’istruttoria consente di smontare alcune giustificazioni che, soprattutto nel mondo degli enti locali, vengono spesso richiamate per giustificare forme di comunicazione espansiva.

In primo luogo, la difesa del sindaco insiste sulla circostanza che i dati e le immagini siano stati trasmessi su richiesta degli stessi interessati o dei genitori dei minori, tramite messaggi, chiamate o chat private, allo scopo di rendere pubblica la positività o di sensibilizzare sull’importanza del vaccino.

Il Garante replica richiamando la struttura del GDPR per i soggetti pubblici. Quando il trattamento è legato all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, la base giuridica deve essere una norma di legge, di regolamento o un atto amministrativo generale (art. 6, par. 1, lett. c) ed e), e art. 2-ter del Codice), non il consenso. La volontà del singolo cittadino di esporsi attraverso il canale del sindaco non sana l’assenza di una base normativa per la successiva diffusione.

In secondo luogo, viene valorizzato dalla difesa il contesto emergenziale. Malfunzionamento dei circuiti di tracciamento, necessità di reagire con rapidità, richiami agli artt. 50 e 54 del d.lgs. 267/2000 e alle norme emergenziali dettate per la gestione del Covid-19, in particolare l’art. 17-bis del d.l. 18/2020.

Il provvedimento prende in considerazione questa cornice straordinaria, riconoscendo che la fase iniziale della pandemia ha richiesto un adattamento rapido delle prassi amministrative e dei flussi informativi. Tuttavia, ribadisce che nessuna delle disposizioni emergenziali ha mai derogato al divieto, già stabilito dal GDPR e dal Codice, di diffusione dei dati relativi alla salute a soggetti indeterminati.

La disciplina d’urgenza ha ampliato la possibilità di trattare e comunicare dati sanitari tra soggetti pubblici legittimati, all’interno di uno specifico perimetro funzionale, ma non ha trasformato i social network in strumenti legittimi di diffusione nominativa di positivi o di esposizione di minori. Sul piano sostanziale, il Garante qualifica le operazioni in esame come diffusione di dati personali ai sensi dell’art. 2-ter, comma 4, lett. b) del Codice, resa possibile dalla particolare capacità espansiva dei social network.

Non si tratta di un’informativa anonima sulla situazione epidemiologica, né di un trattamento interno ai circuiti istituzionali. I post contengono nome, cognome, stato di positività al Covid-19 dei cittadini e immagini di minori collegate alla vaccinazione.

Vengono in rilievo dati relativi alla salute, che il legislatore considera appartenenti alle categorie particolari di cui all’art. 9 GDPR, e dati di soggetti vulnerabili, in particolare bambini, la cui protezione è espressamente richiamata, fra l’altro, dal considerando 75. L’art. 2-septies del Codice stabilisce in modo esplicito che i dati relativi alla salute non possono essere diffusi. Il provvedimento ricorda che questa regola è rimasta intatta anche nella normativa emergenziale sul Covid-19 e che l’esigenza di informare la popolazione non può tradursi nella pubblica esposizione della condizione sanitaria di singoli individui.

Un altro passaggio di rilievo riguarda la distinzione, spesso utilizzata in modo strumentale, tra profilo Facebook personale e canale istituzionale. Il sindaco sostiene di aver operato attraverso un profilo non ufficiale, non riconducibile al Comune. L’Autorità osserva però che i dati vengono veicolati al sindaco proprio perché rappresentante della comunità locale.

Il contenuto dei post è strutturato come aggiornamento rivolto alla collettività sul numero di casi e sull’andamento della campagna vaccinale. La finalità dichiarata è quella di tutela della salute pubblica e di prevenzione del contagio. È quindi evidente che non si è di fronte a un utilizzo social della sfera privata, ma a una comunicazione istituzionale di fatto, svolta tramite strumenti personali. Questo comporta che al trattamento si applichino integralmente i principi di cui all’art. 5 GDPR, a partire da liceità, correttezza e trasparenza, nonché i vincoli ulteriori connessi al trattamento di categorie particolari di dati.

Sotto il profilo sanzionatorio il Garante qualifica la violazione come di gravità media, richiamando la natura dei dati, la presenza di soggetti minorenni, la durata della disponibilità online dei contenuti e la circostanza che i post siano stati comunque rimossi, seppur non tempestivamente.

(Nella foto: Stefano Manzelli, Direttore di sicurezzaurbanaintegrata.it)

Il contesto di emergenza viene valorizzato come circostanza attenuante, così come le misure adottate successivamente per limitare la circolazione dei dati. Incide in senso peggiorativo la presenza di una precedente violazione pertinente attribuibile allo stesso titolare. La sanzione viene determinata in 1.000 euro, ritenuti sufficienti, nel caso concreto, a garantire effettività, proporzionalità e funzione dissuasiva.

Al di là dell’importo, assumono rilievo la decisione di pubblicare il provvedimento sul sito del Garante e l’annotazione delle violazioni nel registro interno delle misure adottate dall’Autorità. Elementi che contribuiscono a qualificare in modo formale la responsabilità personale del sindaco nel trattamento dei dati.

Le ricadute pratiche di questo caso per il mondo degli enti locali e per i Data Protection Officer sono significative. In primo luogo, emerge la necessità di definire in modo chiaro il perimetro dei canali di comunicazione istituzionale. Pagine ufficiali, siti web, profili social gestiti dall’ente e soggetti a regole di governance, rispetto dei ruoli e delle responsabilità, informative trasparenti. L’utilizzo dei profili personali degli amministratori per veicolare messaggi che riguardano l’azione pubblica espone questi ultimi al rischio di essere qualificati come titolari di fatto di trattamenti istituzionali, con conseguenze dirette in termini sanzionatori.

In secondo luogo, il provvedimento ribadisce che dati sanitari e dati di minori devono restare fuori dalla logica della comunicazione social, anche quando vi sia una forte pressione politica o sociale a personalizzare la narrazione dell’emergenza o delle campagne di salute pubblica.

Per i responsabili della protezione dei dati e per chi si occupa di compliance in ambito pubblico, il caso Calvi Risorta suggerisce l’opportunità di intervenire non solo sui processi interni all’ente, ma anche sui comportamenti comunicativi dei vertici politici, con linee guida interne che prevedano divieti espressi di pubblicazione nominativa di dati sanitari e immagini di minori sui social; procedure di gestione dell’emergenza che definiscano chi comunica cosa e con quali strumenti; momenti di formazione mirata per sindaci, assessori e staff di comunicazione.

In assenza di questi presidi, il rischio è che l’improvvisazione comunicativa, specie in situazioni di crisi, produca trattamenti illeciti di dati personali difficilmente governabili ex post. In definitiva, questo provvedimento conferma che l’espansione digitale del ruolo politico-amministrativo non attenua i vincoli di responsabilità, ma li rende più visibili. Quando il sindaco decide di utilizzare i propri canali social come strumento stabile di esercizio dell’autorità, si porta con sé non solo consenso elettorale e visibilità, ma anche l’onere di rispettare, in prima persona, il quadro normativo in materia di protezione dei dati. E, come mostra il caso esaminato dal Garante, anche una sanzione di importo contenuto è sufficiente a cristallizzare, in modo ufficiale, questa responsabilità.

Note sull'Autore

Stefano Manzelli Stefano Manzelli

Consulente privacy, divulgatore e il data protection officer. Direttore di sicurezzaurbanaintegrata.it.

Articoli correlati

Prev Le linee guida NIS: misure di sicurezza e specifiche di base dell’Agenzia per la Cybersicurezza Nazionale

Galleria Video

Il presidente di Federprivacy alla trasmissione Ore 12 su CR1 TV

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza