NEWS

 

Quando la PA non può “inventarsi” una base giuridica per trattare i dati personali

Con la sentenza n. 15273 del 4 agosto 2025 il TAR del Lazio ha annullato il decreto interministeriale n. 226 del 16 ottobre 2024, che intendeva regolare il cosiddetto foglio di servizio elettronico per i conducenti di NCC.

Secondo i giudici, il provvedimento ministeriale violava diverse norme in materia di protezione dei dati (GDPR e Codice privacy), perché introduceva obblighi sproporzionati e senza un’adeguata base giuridica che legittimasse il trattamento dei dati personali.

Secondo il suddetto decreto, i dati degli utenti e dei conducenti degli NCC (noleggio con conducente) sarebbero stati conservati centralmente dal Ministero dei Trasporti per tre anni, l’accesso sarebbe stato concesso a un’“amplissima platea di soggetti” come comuni, forze di polizia, motorizzazione civile etc. e la la giustificazione addotta era che il decreto, come atto amministrativo generale, fosse sufficiente a costituire la base giuridica del trattamento.

D’altra parte, la Legge n. 21/1992, come fonte primaria stabilisce invece che il foglio di servizio è compilato dal conducente, contiene dati specifici, e va conservato solo 15 giorni.

Il decreto interministeriale 226/2024 avrebbe pertanto potuto disciplinare solo aspetti tecnici, ma non cambiare la sostanza delle regole fissate dalla legge.

Il Tribunale amministrativo del Lazio ha quindi chiarito alcuni punti chiave sui paletti che devono rispettare gli atti amministrativi:

1. un decreto ministeriale non può derogare o modificare norme fissate dalla legge. Non può quindi diventare, da solo, una “base giuridica” per trattamenti invasivi di dati personali

2. passare da 15 giorni a 3 anni di conservazione dei dati sugli spostamenti degli utenti è sproporzionato e lesivo della privacy

3. assenza di garanzie: non c’è stata né una valutazione d’impatto (DPIA), né una motivazione specifica, né misure di tutela adeguate

4. limiti ai poteri dell’Amministrazione: il Ministero non aveva ricevuto dal legislatore il potere di imporre un sistema di controllo generalizzato.

La sentenza 15273/2025 ribadisce perciò un concetto fondamentale: la Pubblica Amministrazione non può crearsi da sola una base giuridica per trattare i dati personali oltre i limiti già stabiliti dalla legge primaria.

In altre parole, anche se un decreto ministeriale ha indubbiamente valore generale, non può però giustificare trattamenti di dati che violano i principi del GDPR (necessità, proporzionalità, limitazione della conservazione).

Tar Lazio sentenza 15273/2025
 

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Articoli correlati

Prev I controlli troppo invasivi sulla vita privata del dipendente in malattia violano il GDPR
Next Scansionare documenti d’identità costa caro: 4 milioni di euro di sanzione a una banca per violazione del Gdpr

Galleria Video

Il presidente di Federprivacy a Rai Parlamento

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza