Pubblicazione di immagini sui social e obblighi di trasparenza: nuovo intervento del Garante Privacy

Con un provvedimento dell’11 settembre 2025, il Garante per la Protezione dei Dati Personali è intervenuto nei confronti di un ente pubblico per la diffusione online di immagini di minori e soggetti vulnerabili tramite la propria pagina Facebook istituzionale, nonché per la mancata pubblicazione dei dati di contatto del Responsabile della Protezione dei Dati (RPD).

Diffusione illecita di dati personali

L’Autorità ha accertato che l’ente aveva pubblicato, sui propri canali social, numerose fotografie raffiguranti minori e persone affette da disabilità, in alcuni casi riconoscibili nonostante i tentativi di oscuramento parziale dei volti. Tali condotte sono state ritenute in violazione del Regolamento (UE) 2016/679 (“GDPR”) e del Codice Privacy, in quanto effettuate senza una valida base giuridica e in contrasto con i principi di liceità, correttezza, trasparenza e minimizzazione del trattamento.

Il Garante ha sottolineato che la diffusione di dati personali – in particolare di categorie particolari di dati, come quelli relativi alla salute – può avvenire solo se espressamente prevista da una norma di legge o di regolamento. La pubblicazione sui social network di immagini che permettano l’identificazione di minori o soggetti vulnerabili è pertanto vietata, salvo specifiche basi giuridiche.

La vicenda

L’Autorità ha ricevuto una segnalazione in merito alla pubblicazione, su una pagina Facebook istituzionale, di numerose fotografie raffiguranti minori e persone con disabilità mentale, scattate durante eventi pubblici. Le immagini risultavano accessibili a chiunque, senza restrizioni o avvisi sulla tutela della privacy. Nonostante la successiva rimozione di parte dei post, il Garante ha accertato che molti contenuti erano ancora online e che, in diversi casi, le persone ritratte potevano essere identificate anche a causa di elementi di contesto, come l’abbigliamento o i luoghi riconoscibili.

La valutazione dell’Autorità

Secondo il Garante, la pubblicazione di tali immagini costituiva una vera e propria diffusione illecita di dati personali. Tale attività, quando posta in essere da un ente pubblico, può essere legittima solo se fondata su una idonea base giuridica, ossia una norma di legge o di regolamento che la preveda espressamente. Nel caso di specie, tale presupposto mancava del tutto.

Il provvedimento evidenzia inoltre che i dati trattati comprendevano categorie particolari di dati, in particolare quelli relativi alla salute, che godono di una tutela rafforzata e non possono essere diffusi (art. 9 GDPR e art. 2-septies del Codice). L’Autorità ha ricordato che anche un’immagine apparentemente “anonima” può consentire l’identificazione di una persona, specialmente in contesti territoriali ristretti, rendendo così inefficaci tecniche di offuscamento parziale come la “pixelatura” o l’uso di emoticon sui volti.

I principi violati

Il Garante ha ritenuto violati diversi principi fondamentali del trattamento previsti dall’art. 5 del GDPR, tra cui:

• liceità, correttezza e trasparenza, poiché i soggetti ritratti non erano stati adeguatamente informati e la diffusione non era sorretta da un presupposto legittimo;
• minimizzazione, in quanto erano stati diffusi più dati personali del necessario rispetto alle finalità istituzionali dell’ente;
• limitazione della finalità, poiché la pubblicazione sui social non costituiva una necessità connessa all’esercizio di un compito di interesse pubblico.

L’omessa pubblicazione dei dati del RPD

Parallelamente, l’Autorità ha contestato all’ente la mancata pubblicazione dei dati di contatto del Responsabile della Protezione dei Dati, obbligo previsto dagli artt. 13, par. 1, lett. b) e 37, par. 7 del GDPR. Secondo le Linee guida del Gruppo di lavoro Articolo 29 e il Documento di indirizzo del Garante del 2021, tali informazioni devono essere facilmente accessibili dal sito istituzionale, preferibilmente nella home page e nella sezione dedicata all’organigramma. La loro assenza rappresenta una violazione del principio di trasparenza e limita il diritto degli interessati a contattare direttamente il RPD.

Le misure correttive e le sanzioni

A conclusione dell’istruttoria, il Garante ha ordinato all’ente di:

• rimuovere le immagini ancora presenti sui social network e cessare la diffusione di contenuti analoghi;
• pubblicare i dati di contatto del RPD sul sito web istituzionale e includerli nell’informativa privacy.

Sono state inoltre comminate due sanzioni amministrative pecuniarie:

• 4.000 euro per la diffusione non autorizzata di dati personali, incluse categorie particolari di dati;
• 2.000 euro per l’omessa pubblicazione dei dati di contatto del RPD.

Il totale della sanzione ammonta quindi a 6.000 euro, con la pubblicazione integrale del provvedimento sul sito del Garante, ai sensi dell’art. 166, comma 7, del Codice Privacy.

Conclusioni

Il provvedimento ribadisce la necessità, per gli enti pubblici e i titolari del trattamento, di gestire con particolare attenzione le attività di comunicazione e promozione sui social network. Le finalità di trasparenza e informazione istituzionale non possono mai giustificare la diffusione di immagini che rendano identificabili minori o soggetti vulnerabili.

Inoltre, la corretta individuazione e visibilità del Responsabile della Protezione dei Dati rappresenta un elemento essenziale per garantire la fiducia dei cittadini e il rispetto dei loro diritti in materia di protezione dei dati personali.

Per le amministrazioni e gli operatori pubblici, il caso costituisce un importante promemoria: la conformità al GDPR non è un mero adempimento formale, ma un requisito sostanziale che incide direttamente sulla legittimità e sulla trasparenza dell’azione amministrativa.