Pulsantiera di navigazione Home Page
Pagina Facebook Pagina Linkedin Canale Youtube Versione italiana
Notizie
Notizie legali

TUTELA DEI DATI PERSONALI

INAD e PEC professionali: il Garante Privacy sanziona AgID per carenze informative nel riversamento automatico dei dati.

Il Garante per la protezione dei dati personali ha sanzionato l’Agenzia per l’Italia Digitale, AgID, per alcune criticità nella gestione del riversamento automatico degli indirizzi PEC dei professionisti dall’INI-PEC all’INAD, l’Indice nazionale dei domicili digitali.

La vicenda riguarda il passaggio degli indirizzi PEC professionali, già presenti nell’Indice nazionale degli indirizzi di posta elettronica certificata di imprese e professionisti, all’interno dell’INAD, dove tali indirizzi hanno assunto la funzione di domicilio digitale della persona fisica. Attraverso il domicilio digitale, le pubbliche amministrazioni possono inviare comunicazioni aventi valore legale.

Il Garante non ha messo in discussione l’esistenza dell’INAD né il meccanismo normativo che prevede il riversamento automatico degli indirizzi PEC dei professionisti. Il punto critico, secondo l’Autorità, ha riguardato invece le modalità concrete con cui tale operazione è stata gestita, in particolare sotto il profilo dell’informazione agli interessati, della trasparenza e della possibilità di scegliere consapevolmente un domicilio digitale diverso prima della pubblicazione.

Secondo il provvedimento, molti professionisti non sarebbero stati messi nelle condizioni di conoscere in modo effettivo e tempestivo che la PEC utilizzata per finalità professionali sarebbe stata inserita anche nell’INAD come domicilio digitale personale. Ciò ha determinato un cambio di contesto d’uso del dato: un indirizzo originariamente impiegato nell’ambito dell’attività professionale è diventato anche recapito per comunicazioni riferibili alla sfera personale dell’interessato.

Questo passaggio è particolarmente delicato perché la PEC professionale può essere gestita, in concreto, anche da collaboratori di studio, personale amministrativo o altri soggetti autorizzati ad accedere alla casella per esigenze lavorative. Ne deriva il rischio che comunicazioni personali aventi valore legale siano visibili a soggetti diversi dal diretto interessato.

Il Garante ha ritenuto che la condotta di AgID non fosse conforme a diversi principi del GDPR, tra cui trasparenza, correttezza, limitazione della finalità, accountability e protezione dei dati fin dalla progettazione e per impostazione predefinita. Particolare rilievo è stato attribuito anche alla mancata piena attuazione delle garanzie previste dalle stesse Linee guida INAD, che richiedevano adeguata informazione dei professionisti e la possibilità di modificare il domicilio digitale prima della pubblicazione.

La decisione assume rilievo oltre il caso specifico, perché riguarda un progetto centrale della digitalizzazione pubblica. Anche quando un trattamento di dati personali è previsto da una norma, la pubblica amministrazione deve comunque rispettare gli obblighi del GDPR: informare correttamente gli interessati, valutare il cambio di finalità o di contesto d’uso del dato, adottare misure organizzative adeguate e dimostrare le scelte compiute.

Stampa la pagina