Pubblicato il 27/01/2026

N. 01586/2026 REG.PROV.COLL.

N. 11442/2025 REG.RIC.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Tribunale Amministrativo Regionale per il Lazio

(Sezione Quinta Bis)

ha pronunciato la presente

SENTENZA

sul ricorso numero di registro generale 11442 del 2025, proposto dall’-OMISSIS- - -OMISSIS-, in persona del legale rappresentante pro tempore , rappresentato e difeso dagli avvocati Anna Romano e Mario Natale, con domicilio eletto presso lo studio Anna Romano in Roma, via Arenula, 29;

contro

Autorità Garante per la Protezione dei Dati personali, in persona del legale rappresentante pro tempore , rappresentato e difeso dall'Avvocatura Generale dello Stato, domiciliataria ex lege in Roma, via dei Portoghesi, 12;

nei confronti

-OMISSIS- e -OMISSIS-, non costituiti in giudizio;

per l'annullamento

del provvedimento prot. n. 0108354 del 04 agosto 2025, recante il parziale diniego all'accesso agli atti, richiesto con istanza del 23 maggio 2025, parzialmente rinnovata il 23 luglio 2025, dall'-OMISSIS- - ENPAPI;

nonché per l'accertamento

del diritto di ENPAPI di accedere pienamente e ottenere copia della documentazione richiesta con la predetta istanza di accesso agli atti, ma parzialmente negata con il provvedimento impugnato;

e la condanna

del Garante per la Protezione dei Dati Personali all'ostensione di tale documentazione in forma integrale e senza omissioni.

Visti il ricorso e i relativi allegati;

Visto l'atto di costituzione in giudizio dell’Autorità Garante per la Protezione dei Dati personali;

Visti tutti gli atti della causa;

Relatore nella camera di consiglio del giorno 10 dicembre 2025 la dott.ssa TO IU e uditi per le parti i difensori come specificato nel verbale;

Ritenuto e considerato in fatto e diritto quanto segue.

FATTO e DIRITTO

I. - L’odierno ricorso ha ad oggetto l’annullamento del provvedimento prot. n. 0108354 del 4 agosto 2025, con cui l’Autorità Garante per la Protezione dei Dati personali ha parzialmente negato l’accesso agli atti, richiesto ai sensi degli artt. 22 e ss. della l. 7 agosto 1990, n. 241, con istanza presentata il 23 maggio 2025 e parzialmente rinnovata il 23 luglio 2025 dall’-OMISSIS- – ENPAPI, per acquisire copia della documentazione concernente i fascicoli relativi ai reclami presentati da taluni iscritti allo stesso ENPAPI al Garante, per pretese violazioni di dati personali. Con l’atto introduttivo del giudizio si chiede, in uno con la caducazione del suddetto provvedimento, altresì l’accertamento del diritto di ENPAPI di accedere pienamente e ottenere copia della documentazione richiesta e la conseguente condanna del Garante per la Protezione dei Dati Personali all’ostensione.

Al riguardo, l’Ente ricorrente ha premesso in fatto quanto sinteticamente di seguito riportato:

- in data 8 aprile 2024 il dott. -OMISSIS-, infermiere libero professionista iscritto all’Ente previdenziale, odierno controinteressato non costituito in giudizio, ha presentato un formale reclamo per la denuncia di un asserito illecito trattamento dei suoi dati personali da parte del titolare del trattamento stesso, il dott. Luigi Baldini, in qualità di legale rappresentate dell’Ente (al riguardo, appare utile, incidentalmente, aggiungere che il giorno precedente, il 7 aprile 2024, lo stesso ENPAPI aveva trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento (UE) 2016/679, una notifica preliminare di violazione dei dati personali, riguardante l’accesso contemporaneo alla medesima scheda anagrafica di più richiedenti a causa di un errore del sistema);

- segnatamente, nel reclamo il professionista ha rappresentato che in data 5 aprile 2024 la sua collega, dott.ssa -OMISSIS-, odierna controinteressata, effettuando un accesso, con lo SPID personale, alla propria area riservata nel sito web dell’Ente, è stata reindirizzata all’area riservata del reclamante e che dell’accaduto ha avuto notizia grazie a dalla stessa collega tramite messaggi inviati sull’applicazione di messaggistica istantanea WhatsApp , in una chat di gruppo formata da colleghi, di cui faceva parte anche il reclamante, il quale l’ha subito dopo contattata, chiedendole di documentare quanto riferito con screenshot delle schermate relative alla propria posizione;

- a questo reclamo si sono affiancate altre segnalazioni di pretese violazioni di dati personali, presentate tra il 5 e il 9 aprile 2025 da altri iscritti all’ENPAPI e confluite nei fascicoli DRP/3609358-360935-361458 - DB006003 presso il Garante;

- l’Ente previdenziale con istanza del 23 maggio 2025ha chiesto dunque al Garante di acquisire copia integrale della documentazione, per comprendere appieno quanto accaduto e esercitare il proprio diritto di difesa in sede procedimentale;

- l’Autorità ha formalmente accolto l’istanza dell’Ente con successive note (nota prot. n. 86159 del 17 giugno 2025; nota prot. n. 90895 del 26 giugno 2025; nota prot. n. 102519 del 22 luglio 2025), ma, l’ENPAPI, giudicando incompleta la documentazione ostesa, ha avanzato una successiva richiesta di accesso, in data 23 luglio 2025, segnalando al GPDP l’omessa allegazione degli “ screenshot della chat di WhatsApp ” e delle “ fotografie di altri screenshot ”, posti dal professionista controinteressato a sostegno del proprio reclamo e richiedendone la trasmissione, cui è stato dato riscontro con il provvedimento 4 agosto 2025, odiernamente impugnato.

Con l’atto introduttivo del giudizio, segnatamente, l’ente ricorrente si duole per la preclusione, in nome della “ tutela della libertà e della 4 riservatezza delle comunicazioni, come sancite dall’art. 15 Cost., nonché della protezione dei dati personali dei soggetti coinvolti ”, della piena divulgazione degli “ screenshot della chat di WhatsApp ” e delle “ fotografie di altri screenshot ”, deducendo, di contro, che la documentazione de qua attiene alla correttezza dell’attività di interesse pubblicistico dell’Ente istante e assume rilievo perla ricostruzione dei fatti e l’esercizio del proprio diritto di difesa.

L’Autorità Garante per la Protezione dei Dati personali, costituita in giudizio, ha depositato documenti e una memoria, in cui ha chiesto nel merito il rigetto del ricorso, eccependo preliminarmente l’improcedibilità del ricorso per sopravvenuta carenza di interesse ex art. 35, co. 1, lett. c), c.p.a. dell’ENPAPI, attesa l’archiviazione del procedimento amministrativo avviato nei suoi confronti con provvedimento dello stesso Garante del 3.10.2025.

In vista della camera di consiglio fissata per la trattazione della causa, parte ricorrente ha depositato una memoria difensiva e una memoria di replica, in cui respinta ogni eccezione, deduzione e allegazione contraria, ha insistito per l’accoglimento del ricorso.

Alla camera di consiglio del 10 dicembre 2025 la causa è stata trattenuta in decisione.

II. - Preliminarmente deve essere scrutinata l’eccezione di improcedibilità del ricorso per sopravvenuta carenza di interesse ex art. 35, co. 1, lett. c), c.p.a., sollevata dall’Autority resistente, in conseguenza dell’archiviazione del procedimento avviato innanzi al Garante per presunte violazioni nel trattamento dei dati personali con provvedimento prot. n. 130636 del 3 ottobre 2025, che, nella prospettazione della p.a. resistente esaurirebbe le esigenze difensive dell’Ente ricorrente, facendo venir meno l’interesse ad accedere alla documentazione richiesta.

L’eccezione è infondata.

Con l’istanza di accesso agli atti del 23 maggio 2025, avanzata ai sensi della legge n. 241/1990, l’ENPAPI espressamente chiarisce che la documentazione richiesta, oltre ad essere funzionale ad assicurare la difesa dinanzi alla stessa Autorità per la privacy , è “ contestualmente, utilizzabile in ulteriori contenziosi in cui l’Ente è coinvolto ”, visto che “ nello specifico è emersa, ai fini di altri procedimenti giudiziari, la necessità di valutare la qualità e la quantità esatta di esposti pervenuti ”.

Ne deriva che l’archiviazione del procedimento pendente dinanzi all’Authority non può ex se indurre a ritenere superate le esigenze difensive dell’istante, visto, peraltro, il coinvolgimento effettivo in ulteriori procedimenti per effetto della presunta violazione dei dati personali, in ragione del cattivo funzionamento del proprio sistema informatico.

Da questo punto di vista, in particolare, risulta condivisibile il richiamo dell’Ente previdenziale all’orientamento della giurisprudenza amministrativa, secondo cui “ l’amministrazione detentrice del documento, come pure il giudice amministrativo adito ai sensi dell’art. 116 cod. proc. amm., non devono svolgere ex ante alcuna ultronea valutazione sull’ammissibilità, sull’influenza o sulla decisività del documento richiesto nell’eventuale giudizio instaurato, poiché un simile apprezzamento compete, se del caso, alla sola autorità giudiziaria investita della questione, salvo il caso di una evidente, assoluta mancanza di collegamento tra il documento e le esigenze difensive ” (Cons. Stato, Ad. Plen. n. 4/2021; Sez. V, n. 8589/2023; n. 10498/2023; Sez. VI, n. 3589/2023).

Permanendo, dunque, un interesse ostensivo correlato ad ulteriori esigenze difensive, che trascendono il procedimento instaurato presso l’Autorità, il Collegio ritiene di respingere l’eccezione di improcedibilità del ricorso, formulata dal Garante in sede di costituzione in giudizio.

Nel merito il ricorso è suscettibile di un parziale favorevole apprezzamento.

La controversia prende le mosse dall’azione promossa ai sensi dell’art. 116 c.p.a. dall’-OMISSIS- – ENPAPI per il riconoscimento del diritto di accedere agli atti e documenti relativi agli esposti presentati al Garante per la Protezione dei Dati Personali da taluni iscritti all’Ente, a seguito di un data breach avvenuto nei giorni 3, 4 e 5 aprile 2024. In particolare, l’ENPAPI ha richiesto l’accesso alla predetta documentazione in forma integrale, priva di anonimizzazione e comprensiva degli eventuali allegati, in funzione dell’esercizio del proprio diritto di difesa anche in altri procedimenti, anche di tipo giudiziario, in cui è coinvolto, l’Autorità, tuttavia, non ha osteso parte della documentazione depositata unitamente ai reclami, i. e. le fotografie di screenshot e gli screenshot di conversazioni di taluni iscritti all’Ente, richiamati e allegati nel reclamo presentato da uno degli odierni controinteressati.

Al riguardo, il provvedimento 4 agosto 2025 impugnato, dapprima ha richiamato quanto statuito, in ragione dei principi di trasparenza e responsabilità cui è ispirato il nostro ordinamento, dal Consiglio di Stato nella pronuncia prodotta dallo Ente previdenziale alla base della richiesta di accesso documentale qui in trattazione (Cons. Stato, Sez. III, 6 maggio 2025, n. 3828): un “ Ente previdenziale sottoposto al potere di vigilanza del Ministero ha diritto di accedere alla copia integrale degli esposti e delle segnalazioni, comprensiva dei nominativi dei firmatari, a seguito dei quali il Ministero ha chiesto a detto Ente chiarimenti in merito alle modalità di svolgimento delle elezioni dei suoi organi statutari». Al riguardo, la medesima sentenza precisa che una richiesta di accesso documentale merita accoglimento laddove abbia «ad oggetto il nome di coloro che hanno reso denunce o rapporti informativi nell'ambito di un procedimento ispettivo, giacché al predetto diritto alla riservatezza non può riconoscersi un'estensione tale da includere il diritto all'anonimato di colui che rende una dichiarazione a carico di terzi, tanto più che l'ordinamento non attribuisce valore giuridico positivo all'anonimato ”.

Successivamente, nondimeno, ha precisato che “ l’ostensione, tuttavia, non può riguardare, in assenza di omissis, un documento costituito da screenshot di conversazioni intercorse attraverso lo scambio di messaggi elettronici tra persone determinate, in quanto qualificabile come «corrispondenza privata», in quanto tale «segreta», a tutela della libertà e della riservatezza delle comunicazioni, come sancite dall’art. 15 Cost., nonché della protezione dei dati personali dei soggetti coinvolti ”.

Pertanto, ha concluso accogliendo l’istanza e consentendo l’ostensione dei documenti richiesti oscurata, in ossequio al principio di minimizzazione dei dati ai sensi della normativa vigente in materia di protezione dei dati personale e, più generale, dei principi e delle disposizioni a tutela della vita privata e delle comunicazioni interpersonali, ritenendo, in tal modo, di evitare un sacrificio sproporzionato del diritto alla riservatezza e alla protezione dei dati personali sia del reclamante che delle altre persone fisiche coinvolte, nonché una lesione del diritto alla vita privata e alla corrispondenza, come tutelato dall’art. 8 CEDU.

L’oscuramento, invero, rappresenta una modalità alternativa ed ulteriore rispetto all’ostensione integrale del documento oggetto dell’istanza di accesso, in grado di contemperare le confliggenti esigenze di accesso e di riservatezza di cui all’art. 59 del Codice Privacy, quando la riproduzione integrale del documento richiesto potrebbe tradursi in un pregiudizio per gli interessi di altri soggetti coinvolti, pregiudizio cui peraltro non corrisponde un’utilità per il richiedente ulteriore rispetto a quella già assicurata con la conoscibilità del contenuto sostanziale del documento richiesto. Si tratta, dunque, di una soluzione alla questione scaturente dall’istanza di bilanciamento di esigenze contrapposte, in ossequio a quanto previsto dall’art. 5, co. 1, lett. c) del Regolamento UE 679/2016, secondo cui: “ I dati personali sono: c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati») ”.

Orbene, quanto alle pretese di parte ricorrente, muovendo dalla richiesta di accesso agli screenshot delle chat Whatsapp, il Collegio ritiene di chiarire preliminarmente, in linea con la condivisibile analisi condotta nel provvedimento 4 agosto 2025 sul concetto di “corrispondenza”, che i messaggi scambiati attraverso applicazioni di messaggistica istantanea rientrano nella nozione di “corrispondenza”, visto che in essa “ è possibile ricomprendere, oltre alla tradizionale corrispondenza cartacea recapitata a mezzo del servizio postale e telegrafico (divenuta statisticamente minoritaria), anche i messaggi scritti scambiati attraverso strumenti di tipo informatico e telematico: messaggi assistiti dalla medesima garanzia di segretezza, assicurata dalle credenziali di accesso riservate per la corrispondenza elettronica e dalla disponibilità esclusiva, in capo ai corrispondenti, dei dispositivi elettronici utilizzati per lo scambio dei messaggi di testo ” (cfr., ex pluris , Cass. Pen., Sez. II, 15 maggio 2024, n. 25546; Sez. IV, 20 giugno 2025, n. 31878; Sez. VI, 13 gennaio 2025, n. 1269: il concetto di “corrispondenza” è “ atto ad abbracciare ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate, attuata in modo diverso dalla conversazione in presenza; in linea generale, pertanto, lo scambio di messaggi elettronici ‒ email, SMS, WhatsApp e simili ‒ rappresenta di per sé una forma di corrispondenza ”).

E con specifico riferimento alla tutela accordata dalla Carta Costituzionale, che all’art. 15, evocato nel provvedimento impugnato a fondamento del rifiuto dell’ostensione integrale degli screenshot di WhatsApp, assicura l’inviolabilità della libertà e della segretezza della corrispondenza, consentendone la limitazione soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge, la giurisprudenza costituzionale, puntualmente richiamata dall’autorità procedente, ha chiarito che “ La garanzia si estende, quindi, ad ogni strumento che l’evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici ed informatici, ignoti al momento del varo della Carta costituzionale. Posta elettronica e messaggi inviati tramite l’applicazione WhatsApp (appartenente ai c.d. sistemi di messaggistica istantanea) rientrano, dunque a pieno titolo nella sfera di protezione dell’art. 15 Cost., apparendo del tutto assimilabili a lettere o biglietti chiusi ” (cfr. ex multis : Corte cost, 22 giugno 2023, n. 170; Corte cost., 12 gennaio 2023, n. 2; Corte cost., 24 gennaio 2017, n. 20).

Orbene, alla luce del quadro normativo e giurisprudenziale sopra delineato, visto che le chat delle applicazioni di messaggistica istantanea constano di conversazioni e scambio di messaggi tra soggetti privati determinati, cui deve essere assicurato di scambiarsi liberamente informazioni e di mantenere la segretezza sul loro contenuto, il Collegio che devono essere disattese le doglianze per il rigetto dell’istanza ex art. 22 della legge n. 241/1990 nella parte in cui è volta ad ottenere l’accesso agli screenshot di WhatsApp. Al riguardo, si rileva, invero, una mancata allegazione da parte del richiedente delle specifiche ragioni in grado di prevalere sulle rilevate esigenze di riservatezza, costituzionalmente garantite, refluendo, si ribadisce, detti documenti nell’ambito di tutela previsto dall’art. 15 Cost. in favore della corrispondenza. Del resto, non emerge con chiarezza la specifica ulteriore utilità che l’Ente previdenziale conseguirebbe dall’eventuale accesso integrale anche alle conversazioni private WhatsApp del gruppo di colleghi, professionisti iscritti all’ENPAPI, di cui sono membri anche gli odierni controinteressati, non costituiti in giudizio.

Quanto, invece, alla richiesta di accesso alle fotografie degli screenshot del sito istituzionale dell’Ente ricorrente, il Collegio non ritiene parimenti sussistenti ragioni di riservatezza, in grado di giustificare il diniego ovvero il parziale disvelamento.

Invero, in proposito si richiama l’attenzione sulla circostanza che la tracciabilità degli accessi al proprio portale web istituzionale e alla area riservata da parte di ciascun iscritto rappresenta una misura tecnico-organizzativa ordinariamente adottata, che assicura, tra l’altro, al soggetto responsabile della gestione del sistema informatico – specie, quando, come nel caso che ci occupa, avendo natura pubblica, svolge rilevanti funzioni pubblicistiche – di agire garantendo elevati parametri di sicurezza nonché nel rispetto della normativa in materia di tutela e trattamento dei dati personali (di cui, peraltro, è titolare).

In ogni caso, più in generale, è possibile affermare che in questa ipotesi non trovi giustificazione l’oscuramento, in nome della tutela della riservatezza, visto che vengono in rilievo dati che sarebbero dovuti comunque essere nella disponibilità del soggetto richiedente l’ostensione, consistendo la documentazione richiesta in fotografie delle schermate del portale web istituzionale dello stesso Ente previdenziale istante, pertanto recanti al più dati, cui questi (nell’ipotesi di regolare funzionamento del sistema informatico) avrebbe comunque potuto avere accesso.

In questa prospettiva, peraltro, si rileva come l’acquisizione di detta documentazione possa effettivamente condurre ad una compiuta e puntuale ricostruzione dei problemi informatici che si sono verificati in sede di accesso alla propria area riservata del sito dell’ENPAPI da parte di taluni iscritti e delle cause che li hanno provocati, in ipotesi anche in ragione di una comparazione dei dati acquisiti con le informazioni in possesso dell’Ente e desumibili dal proprio sistema.

In conclusione, sulla scorta delle considerazioni che precedono, il Collegio ritiene che debba essere riconosciuto all’ENPAPI il diritto all’esibizione e al rilascio di copia in forma integrale e senza omissioni dei soli screenshot del proprio Portale web istituzionale, non anche degli screenshot della chat di WhatsApp, richiamati nel reclamo presentato al Garante dall’odierno ricorrente.

Alla luce delle considerazioni svolte, il ricorso è accolto in parte nei termini di cui sopra e, per l’effetto, deve essere ordinato all’Autorità resistente ex art. 116, co. 4, c.p.a. di dare ostensione alla documentazione individuata entro il termine di trenta giorni decorrente dalla comunicazione o, se a questa anteriore, dalla notificazione della presente decisione.

In ragione del parziale accoglimento le spese di lite possono essere compensate tra le parti.

P.Q.M.

Il Tribunale Amministrativo Regionale per il Lazio (Sezione Quinta Bis), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie parzialmente nei termini di cui in motivazione e, per l’effetto, ordina all’Autorità resistente di dare ostensione alla documentazione individuata entro il termine di trenta giorni decorrente dalla comunicazione o, se a questa anteriore, dalla notificazione della presente decisione.

Spese compensate.

Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.

Ritenuto che sussistano i presupposti di cui all'articolo 52, commi 1 e 2, del decreto legislativo 30 giugno 2003, n. 196 (e degli articoli 5 e 6 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016), a tutela dei diritti o della dignità della parte interessata, manda alla Segreteria di procedere all'oscuramento delle generalità.

Così deciso in Roma nella camera di consiglio del giorno 10 dicembre 2025 con l'intervento dei magistrati:

NA ZZ, Presidente

Gianluca Verico, Primo Referendario

TO IU, Primo Referendario, Estensore

L'ESTENSORE	IL PRESIDENTE
TO IU	NA ZZ

IL SEGRETARIO

In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.