Il Garante per la protezione dei dati personali ha sanzionato AgID con 55.000 euro per una mancata conformità alle norme del GDPR nel corso del riversamento degli indirizzi di PEC professionale da INI-PEC a INAD. La decisione riconosce un errore nell’implementazione degli obblighi di trasparenza, accountability e protezione dell’interessato nel contesto del riutilizzo dati.

Le violazioni commesse

Le critiche del Garante vertono su articoli specifici del GDPR. Secondo l’autorità, AgID ha violato gli articoli 5, paragrafo 1, lettera a) e b), 5, paragrafo 2; e gli articoli 12, 14 e 25. La principale mancanza riguarda la mancata informativa agli interessati, l’assenza di controllo pre-pubblicazione e la scarsa documentazione sulle misure adottate, tutti fattori essenziali per il rispetto dei princìpi della privacy by design e by default.

Contesto operativo e normativo

Il trasferimento di indirizzi di PEC da INI-PEC a INAD rappresenta un’azione di digitalizzazione pubblica che richiede particolare attenzione. Il Codice dell’amministrazione digitale prevede l’esistenza dell’INAD, gestito da AgID, come sistema centrale di domicilio per le comunicazioni con la Pubblica Amministrazione. Secondo la normativa, i professionisti iscritti negli albi sono obbligati, in mancanza di scelta volontaria, a utilizzare la loro PEC già registrata in INI-PEC come domicilio digitale.

Come funziona il sistema INAD

Dal 6 giugno 2023, ogni cittadino maggiorenne ha potuto designare un domicilio digitale su INAD. Contemporaneamente, i professionisti con PEC registrata su INI-PEC hanno visto il loro indirizzo riversato automaticamente nell’INAD. A partire dal 6 luglio 2023, questi dati sono stati pubblicamente accessibili senza richiedere autenticazione.

Il problema del cambio di contesto

Il Garante ha identificato un punto cruciale: con il trasferimento, le informazioni di PEC, inizialmente legate all’ambito professionale, sono state utilizzate anche per comunicazioni personali. Questo ha rappresentato un rischio per la privacy, in quanto un’indirizzo di posta elettronica, in precedenza limitato al contesto di lavoro, poteva ora essere utilizzato per notifiche civili o amministrative.

Rischio concreto per la sfera privata

Il Garante ha evidenziato un reale rischio per la privacy: le comunicazioni potenzialmente private, come quelle giudiziarie o amministrative, potevano arrivare in una casella condivisa con collaboratori. L’autorità non contesta la legittimità del trasferimento in sé, ma i modi in cui AgID ha gestito questa transizione, soprattutto in relazione alla trasparenza e al consenso.

Gli obblighi di informazione non sono stati rispettati

AgID aveva progettato, insieme ad una campagna di mitigazione delle criticità, una procedura transitoria di 30 giorni senza pubblicazione per consentire agli interessati di modificare i dati registrati. Nonostante questo, il Garante ha ritenuto insufficiente l’azione compiuta. La comunicazione diretta agli Ordini professionali, senza coinvolgere tutti i professionisti, non è stata ritenuta una misura idonea a garantire l’informazione preventiva effettiva.

La mancata adozione di misure efficaci

AgID ha avanzato l’argomentazione che una comunicazione diretta a circa due milioni di professionisti sarebbe stata sproporzionata rispetto agli obblighi di cui all’art. 14 del GDPR. Ha invece optato per una comunicazione più generale, sostenendo che fosse meno percepita come phishing e più facile da implementare. Tuttavia, il Garante ha sostenuto che le misure alternative, comprese quelle realizzate successivamente, erano pienamente applicabili e non potevano essere rifiutate solo per ragioni di sforzo.

Un tempo inadeguato per attivare contromisure

La misura correttiva congiunta tra AgID e MIMIT è arrivata circa due anni dopo l’inizio del trattamento. Tale ritardo ha rappresentato, secondo il Garante, un inadempimento nei confronti degli obblighi di trasparenza e accountability. Se una misura mirata era realizzabile, la motivazione dello “sforzo sproporzionato” non poteva giustificare anni di comunicazioni insufficienti.

L’art. 14, paragrafo 5 del GDPR

AgID ha invocato l’esonero fornito dall’art. 14, par. 5, lett. c) del GDPR, in base al quale gli obblighi di informativa non sono obbligatori se le leggi ne prevedono l’uso con mezzi adeguati. Il Garante ha ribadito che la misura adeguata esisteva, e consisteva proprio nell’inserimento provvisorio e nella possibilità di modifica preventiva, come previsto fin dall’inizio.

Le indicazioni del Garante

Le Linee guida INAD avevano incluso le misure di mitigazione, tra cui l’inserimento temporaneo, il periodo di previsualizzazione e la possibilità di modificare il domicilio. Queste garanzie strutturali erano note, ma non sono state implementate in modo puntuale. Il Garante ha rimosso ogni ambiguità: la trasparenza non può essere un passo secondario ma deve rappresentare una garanzia integrata nel processo.

Un principio applicabile a ogni sistema digitale

Questo caso non riguarda soltanto il funzionamento specifico di INAD ed INI-PEC. Rappresenta una svolta per tutti i progetti di digitalizzazione pubblica. Quando un dato cessa di essere utilizzato per un contesto originario e entra in un ambito diverso - ad esempio da professionale a privato - diventa fondamentale verificare nuovamente il consenso, la trasparenza e la possibilità per l’interessato di esprimere le proprie opzioni.

Lezioni per la governance digitale

Il provvedimento offre un chiaro messaggio alla Pubblica Amministrazione: una base normativa non è sufficiente a garantire la conformità con il GDPR. Bisogna progettare, documentare e dimostrare in ogni fase del ciclo di vita del dato le misure adottate per tutelare l’interessato.

La responsabilizzazione del titolare

Il Garante ribadisce il concetto fondamentale della responsabilizzazione (accountability). Il titolare del trattamento non può delegare la propria responsabilità: deve adottare misure concrete e registrare chiaramente l’esistenza, l’efficacia e l’applicazione di quelle garanzie.