La pubblicazione di dati sensibili relativi alla salute del dipendente integra una violazione della normativa sulla privacy, anche se compiuta per finalità di trasparenza
Con la sentenza n. 1399, depositata il 6 ottobre 2025, la Corte d’Appello di Palermo – Prima Sezione Civile ha confermato la condanna di un Comune per illecito trattamento di dati personali ai sensi del D.Lgs. 196/2003 (Codice Privacy), con conseguente risarcimento del danno non patrimoniale in favore di una dipendente.
Il provvedimento delinea i limiti entro i quali la trasparenza amministrativa può essere esercitata senza pregiudicare la tutela della privacy dei lavoratori.
La controversia trae origine dalla pubblicazione, da parte del Comune, di delibere e determinazioni riportanti in chiaro i dati anagrafici e sanitari di una dipendente.
Tra le informazioni diffuse figuravano:
Tali dati erano stati pubblicati sull’albo pretorio comunale e sul sito istituzionale, rendendoli liberamente accessibili.
La lavoratrice, ritenendo lesa la propria riservatezza, agiva in giudizio per ottenere il risarcimento del danno biologico e morale.
Il Tribunale, in primo grado, aveva accertato la responsabilità del Comune, riconoscendo che la pubblicazione di informazioni relative alla salute costituisce trattamento illecito di dati sensibili in violazione dell’art. 11 del D.Lgs. 196/2003.
Conseguentemente, l’ente era stato condannato a risarcire € 7.000,00 per danno non patrimoniale, oltre spese legali, mentre la domanda di risarcimento del danno biologico era stata rigettata per difetto di prova.
Obblighi di trasparenza e assenza di illecito
Il Comune proponeva appello sostenendo di aver agito nel rispetto degli obblighi di pubblicità e trasparenza previsti dagli artt. 183 e 194, comma 1, lett. a), del D.Lgs. 267/2000 (Testo Unico Enti Locali).
Secondo la difesa, la pubblicazione degli atti aveva lo scopo di garantire la tracciabilità delle spese e la legittimità dell’azione amministrativa, non configurando quindi alcun illecito trattamento dei dati.
Contestazione del danno morale e delle spese
L’appellante lamentava, inoltre, che il danno morale fosse stato liquidato senza un’adeguata prova del pregiudizio effettivo e chiedeva, in via subordinata, una riduzione dell’importo risarcitorio.
Infine, contestava la condanna alle spese processuali, richiedendo la compensazione per soccombenza reciproca.
La Corte di gravame, nella propria disamina, ha richiamato la consolidata giurisprudenza della Corte di Cassazione, secondo cui i dati idonei a rivelare lo stato di salute rientrano tra quelli “sensibili” e devono essere trattati esclusivamente con misure di anonimizzazione o cifratura.
I dati sensibili relativi alla salute - come precisato nella decisione a Sezioni Unite di Cassazione n. 30981/2017 - possono essere trattati solo adottando misure tecniche e organizzative di protezione, come cifratura o anonimizzazione, che impediscano l’identificazione dell’interessato. Anche enti pubblici e soggetti privati, quando operano per finalità di interesse pubblico o obblighi contrattuali, devono rispettare tali cautele nel trattamento di questi dati.
In particolare, è stato ribadito che:
Pertanto, la Corte ha escluso che l’obbligo di trasparenza potesse giustificare la diffusione integrale dei dati sensibili della lavoratrice.
Il Collegio di secondo grado ha qualificato la condotta del Comune come responsabilità oggettiva ex art. 2050 c.c. (responsabilità da cose pericolose), richiamando l’art. 15 del D.Lgs. 196/2003 (applicabile ratione temporis).
In base a tale norma, al danneggiato spetta provare il danno e il nesso di causa, mentre l'autore dell'illecito dovrà fornire la prova liberatoria.
In altri termini, il titolare del trattamento risponde del danno salvo che provi di aver adottato tutte le misure idonee a prevenirlo.
Nel caso di specie, l’ente non aveva fornito alcuna prova dell’adozione di cautele tecniche o organizzative idonee a evitare la diffusione dei dati.
La Corte d'appello ha inoltre precisato che il danno da lesione della privacy non può essere considerato “in re ipsa”, ma deve essere effettivamente provato nella sua entità e gravità.
Nel caso concreto, la pubblicazione dei dati personali in un piccolo contesto territoriale aveva determinato un pregiudizio morale evidente, traducibile in sofferenza interiore, imbarazzo e perdita di reputazione.
La liquidazione di € 7.000,00, operata in via equitativa ai sensi degli artt. 1226 e 2056 c.c., è stata ritenuta conforme alle tabelle milanesi 2018 per la valutazione del danno da diffamazione, applicate per analogia.
Più volte, a riguardo, la Cassazione si è espressa sottolineando che "la liquidazione dei danni morali, attesa la loro natura, non può che avvenire in via equitativa, dovendosi ritenere assolto l'obbligo motivazionale mediante l'indicazione dei fatti materiali presi in considerazione e del percorso logico posto a base della decisione, senza necessità di indicare analiticamente i calcoli dell'ammontare del risarcimento” (Cassazione n. 44477/2024).
La Corte d’Appello di Palermo ha quindi:
La sentenza n. 1399/2025 ribadisce un principio di diritto fondamentale per la Pubblica Amministrazione:
Gli enti pubblici devono dunque:
| Sintesi del caso | Una dipendente comunale ha citato in giudizio il proprio Comune per aver pubblicato sull’albo pretorio e sul sito istituzionale deliberazioni contenenti i suoi dati anagrafici e sanitari (assenze per malattia, inabilità al lavoro e collocamento in pensione). Il Tribunale ha condannato l’ente al risarcimento di € 7.000,00 per danno non patrimoniale. Il Comune ha proposto appello. |
| Questione dibattuta | Se la pubblicazione di dati relativi allo stato di salute di un dipendente, effettuata per finalità di trasparenza amministrativa, possa considerarsi lecita o integri una violazione della normativa sulla protezione dei dati personali (D.Lgs. 196/2003 e principi del GDPR). |
| Soluzione della Corte | La Corte d’Appello di Palermo (sent. n. 1399/2025) ha rigettato l’appello del Comune, confermando la condanna. Ha ritenuto che la pubblicazione di dati idonei a rivelare lo stato di salute costituisce diffusione illecita di dati sensibili, anche se compiuta per finalità di interesse pubblico. L’ente è responsabile ex art. 2050 c.c. per mancata adozione di misure di tutela adeguate. |
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".