VEDI ANCHE Newsletter del 9 marzo 2026

[doc. web n. 10225195]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 72 del 16 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

In data XX è pervenuta all’Autorità una segnalazione con la quale sono state lamentate alcune presunte criticità in merito al trattamento dei dati personali connessi all’erogazione di alcuni servizi mediante l’applicazione “Aldilàpp” (di seguito l’”Applicazione” o “Piattaforma Aldilapp”).

Tale Applicazione, scaricabile gratuitamente, consente, tra l’altro, agli utenti, previa registrazione, di ricercare l’ubicazione dei defunti all’interno dei cimiteri dei Comuni aderenti al servizio, nonché di fruire di alcune funzionalità in stile "social media" (quali, in particolare, diventare amministratore del profilo digitale di un defunto, attivare notifiche push in Applicazione, seguire il profilo digitale di un defunto nonché interagire con il relativo profilo digitale mediante pubblicazione di messaggi, dediche, o accensione di un cero virtuale) e di alcuni servizi offerti da imprese locali, tra cui servizi di fornitura di fiori freschi e di pulizia della tomba (cfr. https://aldilapp.it/app/).

L’Ufficio ha conseguentemente avviato una complessa attività istruttoria dapprima nei confronti di due dei maggiori Comuni (Ancona e Velletri) i cui cimiteri sono censiti nell’Applicazione, dei relativi gestori dei servizi cimiteriali locali, e successivamente della società STUP1 Srls – oggi STUP 1 S.r.l. SB - (di seguito “Società” o anche “STUP”), in quanto sottoscrittore dei contratti di concessione della licenza d’uso dell’Applicazione con i Comuni/gestori dei servizi cimiteriali nonché distributore dell’Applicazione in Italia.

In particolare, nei confronti di quest’ultima, l’Autorità ha avanzato diverse richieste di informazioni con le note del XX prot. n. XX, del XX prot. n. XX e del XX, prot. nn. XX e XX, alle quali la Società ha fornito riscontro con note del XX (prot. dell’Autorità n. XX dell’XX), del XX ( prot. dell’Autorità n. XX) e del XX (prot. dell’Autorità nn. XX e XX del XX).

Sono stati effettuati, altresì, accertamenti di carattere ispettivo nelle giornate del XX, XX e XX presso la Società, al fine di effettuare approfondimenti per i profili di natura tecnica, a seguito dei quali, con nota del XX (prot. dell’Autorità n. XX) la Società ha trasmesso ulteriore documentazione a scioglimento delle riserve effettuate in sede d’ispezione.

Inoltre, a seguito della contestazione di violazione amministrativa effettuata nei confronti della Società e dei predetti soggetti coinvolti nell’istruttoria, sono state effettuate le audizioni dei Comuni di Ancona e Velletri, in data XX, perfezionatesi con note di riscontro del XX (prot. dell’Autorità n. XX del XX), per il Comune di Ancona, e del XX (prot. Autorità n. XX) per il Comune di Velletri, nonché acquisite le memorie difensive dei vari soggetti.

2. Attività istruttoria

2.1. Il contesto di riferimento e i servizi erogati

L’Applicazione è stata sviluppata dalla società Issam Consultancy LTD (con sede a Malta, di seguito “Issam”), con finalità, inizialmente, di rispondere all’esigenza dei piccoli Comuni nella digitalizzazione e dematerializzazione degli archivi cimiteriali, di consentire la consultazione online dei cimiteri e, al contempo, di fornire un servizio ai cittadini nella richiesta e la messa in opera di servizi di decoro cimiteriale (cfr. verbale di ispezione del XX).

L’Applicazione, distribuita esclusivamente in Italia da parte della STUP su apposito mandato della ISSAM, viene concessa in licenza d’uso tramite un contratto stipulato con i Comuni aderenti o i relativi gestori dei servizi cimiteriali. Nello specifico, l’oggetto della licenza è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore […che dalla] relativa Piattaforma software” (cfr. atto di nomina allegato al contratto di concessione).

L’istruttoria ha rilevato che i Comuni e/o gestori dei servizi cimiteriali che usufruiscono dei servizi “Aldilapp” sono “20 Comuni, più 1 Società Partecipata che rappresenta 21 comuni“, per un numero complessivo di defunti censiti in Applicazione pari a “476.234 al XX” ed un totale di utenti registrati pari a “52.958 al XX” (cfr. nota del XX, p. XX).

Tra i servizi accessori contemplati nel predetto contratto è prevista, nei casi in cui il Comune non disponga di registri cimiteriali digitalizzati o gli stessi siano incompleti o inaffidabili, un’attività di censimento in loco, consistente nella rilevazione delle sepolture e della loro collocazione fisica all’interno del cimitero, mediante la raccolta dei dati riportati sulle lapidi quali nome e cognome del defunto, data di nascita e di morte, ove presenti, nonché ubicazione della sepoltura all’interno dell’area cimiteriale (cfr. verbale del XX, p. XX, nonché nota del XX, pp. XX).  

Sul punto, la Società ha precisato che tale attività di censimento, effettuata una tantum solo nei casi di Comuni sprovvisti di elenchi cimiteriali digitalizzati, non è giuridicamente inquadrabile nella ricostruzione dei registri cimiteriali, di cui all’art. 52 del D.P.R. 285/1990, ma è finalizzata a consentire, da un lato, al Comune di effettuare il successivo aggiornamento dei dati relativi alle sepolture (es. in caso di nuove sepolture, traslazioni) e implementazione e, dall’altro, di consentire agli utenti di rinvenire l’esatta ubicazione del defunto nel cimitero mediante la ricerca in Applicazione (cfr. verbale del XX, p. XX e del XX, p. XX).

Gli elenchi cimiteriali (risultato del censimento o dell’acquisizione dei registri comunali digitalizzati) vengono messi a disposizione dei Comuni mediante un’apposita dashboard (di seguito anche “Dashboard” o “Piattaforma Software”) utilizzata dai Comuni privi di un proprio applicativo come sistema gestionale. Inoltre, sebbene la predetta dashboard consti di “funzionalità minime rispetto ad un vero e proprio gestionale cimiteriale, […consente], comunque, [ai Comuni] di caricare documentazione quale contratti di concessione cimiteriali, documenti relativi agli eredi e relativi dati di contatto. Tali servizi sono comunque disponibili funzionalmente e attivi per i clienti” (cfr. verbale del XX, p. XX).

A tali funzionalità si aggiunge, in ogni caso, la geolocalizzazione delle sepolture, effettuata tramite “l’acquisizione delle coordinate GPS, da parte di personale e/o collaboratori della STUP1, attraverso servizi di “Google maps” (cfr. verbale del XX, p. XX).

Con riferimento, infine, alla durata del contratto di fornitura di servizi la STUP, nel riscontrare alla nota della società AnconAmbiente del XX (prot. n. XX), in cui veniva rappresentato che “Il contratto per la fornitura dell’App, derivante dall’atto a contrarre […] di affidamento diretto emesso da parte della Società a STUP 1 S.r.l.s., risulta ad oggi decaduto, giunto a regolare scadenza in data XX”), precisava, in particolare, che “il servizio erogato ha natura giuridica “di fornitura di durata”, per cui, […] non è soggetto ad alcun termine di scadenza né di rinnovo” e che “l’interesse pubblico nell’erogazione del servizio dev’essere bilanciato con l’interesse soggettivo delle migliaia di utenti registrati, i quali hanno usufruito, ed usufruiscono quotidianamente, delle funzioni dell’App, le quali contengono manifestazioni di pensieri e di cordoglio nel ricordo dei cari defunti, meritevoli di tutela e protezione, non essendo questi ultimi suscettibili di facile misurazione economica e/o negoziale […]”precisando altresì che “i contratti di affidamento sono contratti di durata, non aventi pertanto scadenza naturale” (cfr. nota del XX, pp. XX).

2.2.  I servizi offerti in Applicazione agli utenti

I dati dei defunti inizialmente acquisiti vengono automaticamente pubblicati in Applicazione, ai fini della consultazione da parte degli utenti (“I dati inseriti dal Cliente, saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp®” attualmente pubblicata sugli App Store® di Apple e GooglePlay® di Google […]” (cfr. art. 14, par. 1 del contratto di concessione).

Anche al solo fine di poter usufruire dei servizi di consultazione e localizzazione delle sepolture offerti dall’Applicazione, gli utenti devono previamente registrarsi, mediante la creazione di apposito account. Ai fini della registrazione, attualmente, l’identificazione degli gli utenti finali avviene “tramite numero di cellulare validato con one time password (OTP). […] Successivamente alla validazione del numero di telefono con OTP, all’utente viene chiesto di completare il profilo con un nome utente ed un indirizzo email. […] L’email non viene validata e non è univoca […]” (cfr. verbale del XX, p. XX). L’utente ha inoltre la facoltà di completare il proprio profilo aggiungendo una foto, mediante caricamento dalla Galleria del proprio dispositivo mobile o con scatto istantaneo.

In tale contesto, la “presa visione dell’informativa privacy viene richiesta all’utente solo a seguito del perfezionamento della validazione del numero di cellulare mediante OTP e della finalizzazione dell’account con inserimento del nome utente e dell’indirizzo email”;” (cfr. verbale del XX, p. XX). Per quanto concerne le informazioni fornite agli utenti in merito al trattamento dei dati personali, in Applicazione sono presenti due informative: l’“A1 - Informativa sul trattamento dei dati per gli Utenti della Piattaforma “Aldilapp” e la “A2 - Informativa sul trattamento dei dati per le persone defunte presenti sulla Piattaforma “Aldilapp” […]” (cfr. in atti).

A seguito della predetta registrazione, l’utente è abilitato ad usufruire delle varie funzionalità presenti in Applicazione, quali:

1. Cercare un defunto: tale ricerca avviene mediante un modulo a partire dal Comune di sepoltura. Ciò in quanto, “tutte le attivazioni dei servizi legati al precipuo funzionamento di “Aldilapp” avvengono solo ed esclusivamente dietro richiesta dell’Ente Pubblico Comune e/o dal Gestore Cimiteriale avente l’opportuna delega da parte dell’Ente Pubblico Delegante. […]”; di conseguenza “i Comuni che non hanno attivato e/o aderito ai servizi offerti in APP non sono attualmente disponibili nell’elenco della funzione “Comune di sepoltura […]” (cfr. nota del XX, p.XX). L’utente, selezionando il Comune d’interesse, otterrà un elenco di defunti ordinati “per numero di visualizzazioni e per ordine alfabetico”. È prevista anche la ricerca di un defunto inserendo direttamente nome e/o cognome; in tale caso, “Man mano che la casella di ricerca viene compilata vengono filtrati i defunti aventi nel nome o nel cognome il testo digitato. In questo modo sarà possibile, ad esempio, cercare tutti i defunti che hanno un determinato cognome” (cfr. https://aldilapp.it/app/#cercare-defunto). Inoltre, come accertato dall’Autorità in data XX, all’avvio della consultazione nella bacheca principale, con indicata solo la “Nazione di sepoltura” (unicamente Italia), vengono indicate le “Dediche più visualizzate”, con indicazione sia della dedica che dell’utente autore della stessa.

Procedendo poi alla ricerca del defunto, valorizzando i campi relativi al Comune di sepoltura, in aggiunta alle predette dediche vengono inoltre proposti all’utente i “Defunti in evidenza”, consistente in un elenco di defunti con indicato nome e cognome, età, cimitero di sepoltura ed eventuale foto. Il funzionamento dell’evidenza profili in bacheca principale “è legato alle semplici interazioni degli utenti, […quali]: i) ricerche, ii) messaggi di cordoglio lasciati sulla bacheca dei defunti, iii) eventuali visite in altri profili liberamente consultabili ed, in ogni caso, collegate solo ed esclusivamente ad una rilevazione statistica delle interazioni che, attraverso un algoritmo, vengono poste in relazione “numerica” ed “anonimizzata” allo scopo di evidenziare temporaneamente i profili più ricercati, o che hanno conseguito un numero maggiore di interazioni” (cfr. nota del XX, p. XX). Tuttavia, l’Autorità ha accertato che i profili dei defunti in evidenza risulterebbero tra loro correlati anche sulla base delle interazioni ricevute, essendo indicati profili di defunti che hanno ricevuto attività, come accensione del cero virtuale o pubblicazione di messaggi, da parte del medesimo utente;

2. Visitare il “profilo digitale” di un defunto: tale funzione consente di accedere alla scheda di un defunto, contenente, in primo luogo, nome, cognome, data di nascita e di morte, nonché l’ubicazione del luogo di sepoltura, rilevati da STUP in fase di censimento in loco. Mediante la funzione di geolocalizzazione (“Apri mappa”) l’utente può, altresì, ricevere le indicazioni per raggiungere il luogo di sepoltura mediante consultazione delle coordinate GPS su Google maps. Il profilo digitale può essere, inoltre, arricchito mediante caricamento della foto e della biografia del defunto, da parte dell’utente/degli utenti che ha/hanno rivendicato il profilo. Al riguardo, la Società ha rappresentato, in particolare, che “le foto che si trovano nell’Applicazione non sono state acquisite da STUP1 durante l’attività di rilevazione dei dati riportati sulle sepolture, ma sono esclusivamente inserite dai familiari a seguito della rivendicazione del profilo”; analogamente, “la funzione di “Amministratore” del profilo digitale del defunto, […] consente […] la redazione di una biografia dei propri cari soggetta ad attività di monitoraggio e moderazione al fine di evitare l’utilizzo di turpiloqui […sul] profilo oggetto di consultazione da parte di altri utenti” (cfr. verbale del XX, p. XX; si veda altresì nota del XX, p. XX). Nel medesimo profilo risultano altresì visibili le ulteriori attività degli utenti (caricamento di messaggi e dediche e accensione di ceri virtuali commemorativi) nonché l’elenco dei “Defunti correlati” mediante il quale all’utente che visita il relativo profilo vengono segnalati ulteriori profili di potenziale interesse. Sul punto, l’Autorità in data XX ha accertato che i profili dei defunti suggeriti all’utente risulterebbero tra loro correlati anche sulla base delle interazioni ricevute; a titolo di esempio, vengono proposti profili di defunti che hanno ricevuto attività, come accensione del cero virtuale o pubblicazione di messaggi, da parte dello stesso utente.

L’Applicazione prevede inoltre una funzionalità “Condividi” che consente, ad ogni utente (anche non amministratore) di poter esportare il profilo digitale del defunto, mediante creazione di una scheda linkabile, accessibile anche da utenti non registrati all’Applicazione, in cui sono riportate, altresì, le più recenti attività di interazione (ceri virtuali, commenti più recenti, ecc.) realizzate, con indicazione dello specifico utente che le ha effettuate. Il profilo esportato è suscettibile, inoltre, di poter essere ulteriormente condiviso mediante la funzione “Condividi questo profilo sul tuo social preferito” (cfr. relazione di servizio dell’Autorità dell’XX);

3. Scrivere messaggi/dediche e accendere ceri virtuali: tale funzione consente a ciascun utente, sia nei profili rivendicati che non, di poter scrivere un pensiero per il defunto in una casella di testo a campo libero, e/o accendere un cero virtuale. Tali attività risultano automaticamente visibili a tutti gli utenti che visitano il profilo, unitamente all’indicazione dell’utente che l’ha effettuata nonché con il riferimento temporale (es. il giorno precedente, 15 giorni prima), senza possibilità di limitarne la visibilità. Al riguardo, la Società ha rappresentato che “la scelta attuale di […non] limitare la visibilità deriva dall’intento di offrire un servizio trasparente ed accessibile che favorisca l’interazione sociale e commemorativa tra gli utenti, tenendo altresì conto del fatto che si tratta di bacheche virtuali che non devono essere confuse, per dinamiche e modalità, con quanto avviene sui Social Network – pur trovandone analoga ispirazione. […] nondimeno, […] tale configurazione può presentare criticità relative ai diritti ed alle libertà degli interessati […]” (cfr. nota del XX, p. XX);

4. Segnalare un errore o un abuso sul profilo digitale: ciascun utente può inviare alla STUP una segnalazione in merito alla presenza di contenuti offensivi o non veritieri o errori sul profilo di un defunto. Rispetto ai contenuti pubblicati è prevista, altresì, un’attività di moderazione direttamente da parte della STUP nonché anche da parte dell’amministratore di un profilo “rivendicato” (cfr. nota del XX, pp. XX);

5. Seguire un defunto: tale funzione consente all’utente, in particolare, di restare aggiornato sulle attività svolte dagli altri utenti sul profilo “seguito”. Per attivare tale funzione l’utente è tenuto a selezionare il tipo di rapporto con il defunto (i.e. “Genitore”, “Moglie/Marito, “Figlio/a”, ecc., “Amico/a”, “Collega” o “Altro”; cfr. relazione di servizio dell’Autorità dell’XX);

6.  Acquistare fiori o servizi in favore di un defunto: l’utente può acquistare, altresì, dei servizi di natura commerciale di varie tipologie, da effettuare presso il luogo di sepoltura del defunto; in particolare, “Le categorie ed i prodotti di servizi pubblicati dai Fornitori sono suddivisi in sezioni predeterminate condivise con il Gestore/Ente di riferimento e gli articoli contenuti nei cataloghi sono fissi ed invariabili, segnatamente, vengono erogati solo i seguenti servizi: […] Fornitura fiori freschi […e] finti sul sito cimiteriale; […] Pulizia […e] Lucidatura della Lapide/Sito cimiteriale; […]  Altri gadget di abbellimento del sito (n.d.r. Lumini Elettrici, crocifissi ed accessori di ornamento)” (cfr. nota del XX, p. XX);

7. Diventare amministratori del profilo digitale: tale funzionalità è stata implementata sin dal primo rilascio dell’Applicazione (XX), al fine di poter “identificare i soggetti abilitati ad esercitare i diritti GDPR” (cfr. verbale del XX, p. XX) ed è stata successivamente oggetto di aggiornamenti successivi dell’Applicazione, in quanto ”attualmente, per rivendicare il profilo di un defunto è necessario “auto-certificare” attraverso una dichiarazione sostitutiva […] DPR n. 445/2000 […] il proprio grado di parentela […] a seguito del quale […l’] utente che lo ha riscattato […], in qualità di soggetto ex art. 2-terdecies D.Lgs. 196/2003 co. 1, assumerà il ruolo di “amministratore” del profilo […]. A seguito del corretto espletamento della procedura di verifica, l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente” (cfr. nota del XX, p. XX, nonché verbale del XX, p. XX).

In occasione della visita ispettiva, è stato precisato che vengono effettuati controlli di coerenza sui dati inseriti e quelli riportati sul documento di identità caricato, ma tale controllo è meramente formale e non è bloccante in ordine alla finalizzazione del processo di “rivendicazione”, anche in caso di richieste avanzate da soggetti minorenni (cfr. verbale del XX, pp. XX). Anche in sede di rivendicazione è richiesta l’indicazione del tipo di rapporto col defunto. Al termine delle varie fasi l’utente deve confermare la dichiarazione di riscatto del profilo mediante OTP ricevuto via SMS. Nell’ambito del processo di rivendicazione non viene fornita nuovamente l’informativa all’utente che riscatta il profilo. Tuttavia, all’avvio del processo di rivendicazione l’utente viene informato mediante apposita schermata che i suoi dati personali verranno condivisi con l’”Ente titolare dei dati” (cfr. verbale del XX, p. XX).

In caso di richiesta di co-amministrazione da parte di un utente con grado inferiore di parentela con il defunto rispetto al primo amministratore, a quest’ultimo viene notificata l’istanza indicando il nome e cognome dell’utente, che è semplicemente informato che il profilo è già amministrato da altro soggetto (senza specificarne il nome) e che la richiesta di co-amministrazione sarà oggetto di validazione da parte di quest’ultimo (cfr. verbale del XX, pp. XX; vedi anche note del XX, p. XX, e del XX, pp. XX).

In sede d’ispezione, è stato accertato che l’amministratore di un profilo può caricare la fotografia e/o la biografia del defunto, inviare “istanze GDPR” (nei termini sotto indicati),  autorizzare altri co-amministratori, effettuare attività di moderazione del profilo; l’amministratore può inoltre abilitare la ricezione di notifiche push sulle attività effettuate dagli altri utenti sul profilo amministrato (es. pubblicazione di messaggi, accensione di ceri virtuali, utilizzo di servizi commerciali), comprensive dell’indicazione del loro username (cfr. verbale del XX, p. XX, verbale del XX, pp.XX, nonché nota del XX, p. XX).

Con riguardo, in particolare, alle modalità di esercizio dei diritti, ai sensi dell’art. 2- terdecies del Codice, riguardanti le persone decedute da parte di un amministratore del profilo, è stato precisato che “Grazie […] all’inserimento della procedura di verifica di conformità del grado di parentela, all’interno del profilo dell’utente sarà presente la funzione per le comunicazioni dirette da parte dei soggetti ex art. 2-terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo) verso la Stup1 la quale, ricevute le istanze, provvede ad inoltrare automaticamente queste ultime al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […]” cfr. nota del XX, pp.XX); si specifica inoltre che “mediante la stessa funzione l’utente amministratore può esercitare sia i diritti ai sensi del 2-terdecies del Codice che per sé stesso ai sensi degli artt. 15-22 del Regolamento. Una volta valorizzati i campi, la richiesta viene perfezionata […e la] Stup1 […] provvederà a trasmetterla al titolare competente (Comune o Issam). L’utente […] che non ha rivendicato alcun profilo può esercitare, […] i diritti di cui agli artt.15-22 del Regolamento attivando un contatto diretto con la società (cfr. verbale del XX, pp. XX).

Con riferimento ai sopra menzionati servizi, si evidenzia che, in corso d’istruttoria, è emerso che il contratto stipulato con i clienti istituzionali comprende “l’intero pacchetto dei servizi forniti dall’applicazione Aldilapp […]”. Infatti, solo a seguito della richiesta del Comune di XX, datata XX, di limitare i servizi forniti “a quelli strettamente collegati alla gestione e all’aggiornamento dell’anagrafica cimiteriale” la Società ha dichiarato di aver “dato corso alle attività di sviluppo di questa opzione di erogazione del servizio” escludendo le funzionalità relative alla gestione dei profili dei defunti e delle interazioni degli utenti (cfr. verbale del XX, p. XX).

La predetta comunicazione veniva riscontrata dalla Società, inizialmente, in data XX, confermando la presa in carico della richiesta rappresentando, tuttavia, complessità tecniche per le quali risultava “necessario un intervento programmatico per […non] compromettere la funzionalità di geolocalizzazione delle tombe, che resterà operativa […]”; a tale riscontro, a seguito di alcune interlocuzioni, con la nota del XX la Società comunicava, in particolare, alla Velletri Servizi che “Gli aggiornamenti richiesti all'applicazione ALDILAPP sono stati completati il giorno 5 ottobre [n.d.r. rectius, 5 novembre] e sono stati pubblicati sulle rispettive piattaforme  […e di essere] in attesa dell'approvazione finale da parte di Apple Store Google Play per la distribuzione […]”, chiedendo, altresì, alla Velletri Servizi di predisporre un messaggio ufficiale per comunicare all’utenza “l'indisponibilità della funzionalità di invio dediche e messaggi. (cfr. “XX” e “Doc. XX” allegati alla nota del XX).

La Società ha rappresentato inoltre che solo in data XX la Velletri Servizi rappresentava che “Preso atto del contenuto della nota del GPDP del XX […] con la presente comunichiamo l'immediato recesso dal contratto con Voi sottoscritto il XX intimando la contestuale sospensione dell'utilizzo dell'applicativo denominato ALDILAPP ad esso collegato in modo che risulti inibito ogni utilizzo riferito al Cimitero del Comune di Velletri […e] richiesta di restituzione di tutti i documenti e dei dati da voi prodotti e/o acquisiti nell’esecuzione del contratto in parola, così come indicato nell’accordo sottoscritto ex art. 28 GDPR. […]”  (cfr. nota del XX, p. XX, nonché “Doc.XX” allegato alla predetta nota).

2.3. I servizi offerti in Dashboard ai Comuni

Sulla Piattaforma Software sono a disposizione dei Comuni:

- le pagine del/dei singoli cimiteri, visibili dal Comune di riferimento, nei quali sono visualizzabili la denominazione e la localizzazione del cimitero, le aree di sepoltura e le singole tombe, ciascuna di esse “cliccabile e […contenente] i dati dell’occupante e dello stato della lampada votiva”, ai fini della “gestione e della fatturazione dei servizi di illuminazione votiva”;

- le schede relative ai defunti, contenenti i dati anagrafici del defunto, incluse le date di nascita e di morte e in cui è “altresì visualizzabile una sezione […] denominata “profilo defunto” ove, in caso di rivendicazione, sono presenti la foto o la biografia del defunto stesso”;

- nel “menù “contratti” relativo ai contratti di concessione”, ove inseriti dal Comune, sono presenti “i dati personali […] delle persone fisiche titolari di contratti di concessione (soggetti passivi dei canoni di concessione)” e la scadenza della concessione; nella relativa scheda “è possibile caricare documenti relativi al contratto di concessione”;

- “i dati personali delle persone fisiche che hanno riscattato il profilo di un defunto” comprensivi dei dati anagrafici degli stessi, della data di rivendicazione del profilo del defunto e del grado di parentela/legame con il defunto stesso nonché, per le rivendicazioni effettuate “successivamente al mese di XX, la documentazione conferita (dichiarazione sostitutiva, foto fronte e retro del documento di identità)” dai richiedenti, consultabili dagli operatori comunali nella sezione “rivendicazioni” della Dashboard. A decorrere dalla predetta data, le nuove rivendicazioni sono notificate “al Comune […] con trasmissione della relativa documentazione […] con la finalità di verifica della correttezza dei dati dichiarati dai soggetti legittimati”.

L’istruttoria ha, tuttavia, rilevato che le mail di notifica della richiesta di rivendicazione dei profili sono state inviate da STUP “all’indirizzo email assegnato al Comune quale username di accesso alla dashboard […]”. Tale casella di posta elettronica non era tuttavia consultabile dagli stessi “in quanto non gli […erano state] fornite le relative credenziali di accesso […]” (cfr. verbale del XX, pp. XX e XX; nota del XX, pp. XX nonché p. XX).

2.4. I tempi di conservazione dei dati personali

Con riguardo ai tempi di conservazione dei dati personali degli utenti registrati all’Applicazione, la Società ha precisato che:

-    i dati personali degli utenti registrati “vengono cancellati entro le 24 ore dalla chiusura dell’account”;

-    con riguardo agli utenti che hanno effettuato acquisti in Applicazione, i dati relativi agli acquisti “vengono conservati dopo la cancellazione dell’account per 10 anni per finalità fiscali” mentre “i commenti postati su profili di defunti […] vengono […] cancellati entro le 24 ore dalla chiusura dell’account;

-    con riguardo agli utenti che hanno rivendicato un profilo, la “foto del documento d’identità viene cancellata automaticamente decorsi 6 mesi dal conferimento, indipendentemente dalla volontà dell’utente e dal fatto che la rivendicazione sia ancora attiva o meno. Pertanto, se un utente vuole rivendicare dopo 6 mesi un nuovo profilo, dovrà effettuare l’intero processo di rivendicazione, reinserendo anche un nuovo documento d’identità”; i dati anagrafici e di contatto, come detto, “sono invece […] cancellati entro 24 ore dalla chiusura dell’account. […unitamente ad ogni] rivendicazione effettuata […] nonché […] ogni ulteriore interazione” posta in essere nei profili in Applicazione (cfr. verbale del XX, pp. XX).

Con riferimento ai tempi di conservazione dei dati dei defunti, la Società ha dichiarato, in particolare, che:

- “in caso di cessazione del contratto, i dati vengono cancellati, dietro comunicazione della STUP1, dai database della Issam. Il contratto […] prevede che, in occasione della cessazione dello stesso, vi sia la facoltà per le parti di concordare tempi e modalità per permettere ai clienti di esportare i dati in vista della successiva cancellazione”;

- “in caso di profilo rivendicato, i dati vengono conservati da ISSAM anche in caso di cessazione del contratto da parte del comune […]. La ratio di tale conservazione deriva dal fatto che un profilo rivendicato assume una valenza di bacheca virtuale, contenente messaggi, ricordi e altre informazioni anche di terzi, che il soggetto rivendicante il profilo potrebbe avere interesse a conservare. Nei casi di cessazione dal contratto i dati dei profili riscattati, di titolarità della Issam, rimangono memorizzati sul database pur non essendo visibili a ragione della logica di funzionamento dell’Applicazione; ciò in quanto la consultazione dei profili dei defunti prevede un preliminare filtro su base comunale”;

- “nel caso di sospensione delle attività contrattuali - ad esempio in caso di inadempimento del comune nel pagamento del canone di manutenzione del server - senza scioglimento del contratto, vengono oscurati nell’Applicazione i profili non rivendicati” (cfr. verbale del XX, pp. XX).

La Società ha infine dichiarato che, per il futuro, “la scelta di business che si intende attuare è frutto di un bilanciamento tra l’interesse del soggetto pubblico primo committente e l’interesse privato dell’utente che si registra all’Applicazione e rivendica il profilo di amministratore di un defunto, in quanto, all’atto della registrazione nell’Applicazione lo stesso instaura un rapporto di tipo privatistico direttamente con la società e al momento della rivendicazione manifesta uno specifico interesse soggettivo rispetto al profilo rivendicato. Tale scelta di business comporta la conservazione dei profili rivendicati e dei commenti anche a seguito dello scioglimento del rapporto contrattuale con il Comune di riferimento e il conseguente mantenimento della visibilità dei profili rivendicati nell’Applicazione e delle funzionalità correlate” (cfr. verbale del XX, p. XX).

2.5. Le misure di sicurezza tecniche e organizzative adottate

Nell’ambito dell’istruttoria è emerso in primo luogo che la Società “è concessionaria in esclusiva per l’Italia per la distribuzione dell’applicazione “Aldilapp”, di proprietà della Issam Consultancy ltd. […]” e che “l’intera gestione tecnica dei database è di esclusiva competenza della Issam Consultancy Ltd, [.] azienda sviluppatrice dell’APP ed attuale titolare degli account di distribuzione su Apple Store® e Google Play® Store, nonché licenziante in favore della Stup1 s.r.l. - SB- per la distribuzione dell’APP in Italia” (cfr. (cfr. nota del XX, p. XX; nota del XX, p. XX).

In corso d’ispezione, la Società ha chiarito che “il sistema informativo consta di due applicazioni. Aldilàpp (l’Applicazione) e una dashboard, esposta su rete pubblica con accesso con credenziali” e che “L’accesso alla dashboard avviene mediante tre profili autorizzativi:

1. un profilo amministratore, utilizzato da STUP1 per supporto ai Comuni e per la gestione dei clienti;

2. un profilo di gestione per gli operatori comunali, con visibilità specifica dei cimiteri di propria pertinenza e dedicata alla gestione delle informazioni censite (inserimento di nuove sepolture, traslazioni, etc.);

3. un profilo aldilapper, attraverso il quale i fornitori di servizi di decoro (fioristi, marmisti, etc) possono pubblicare i loro cataloghi. […].

È emerso, inoltre che “L’autenticazione per l’accesso alla dahsboard di tutti i predetti profili avviene tramite singolo fattore di autenticazione” (cfr. verbale del XX, pp. XX).

La creazione dei profili per gli operatori comunali avviene a valle della stipula del contratto di concessione di licenza d’uso e di una sessione formativa, a seguito della quale sono inviate le credenziali di accesso alla Dashboard ad un indirizzo email fornito dall’ente in sede di stipula del contratto. Le predette credenziali, a singolo fattore di autenticazione, constano di un indirizzo e-mail fittizio quale nome utente e di una password. Tale indirizzo email è considerato “fittizio” “in quanto viene creato ad hoc da ISSAM sotto dominio @aldilapp.it (e.g. nomecomune@aldilapp.it) esclusivamente quale credenziale di accesso e non è altrimenti accessibile ai Comuni”. Inoltre, “La password per l’accesso alla dashboard può essere modificata facoltativamente mediante funzionalità esposta dalla dashboard stessa. Le credenziali non sono nominative; ogni Comune ha, difatti, una credenziale unica che viene condivisa da tutto il personale” (cfr. verbale del XX, p. XX). Sul punto, si evidenzia che la società Velletri Servizi S.p.A., con nota del XX (prot.n. XX) ha dichiarato che “Relativamente all’accesso alla Dashboard, in seguito a richiesta espressa nell’ambito dell’Ufficio è emerso come le credenziali non risultino trasmesse alla Velletri Servizi”.

In sede d’ispezione è stato inoltre precisato che “all’inizio del progetto era previsto un unico database; a seguito della contrattualizzazione del […gestore di circa 21 Comuni] si è scelto di riorganizzare l’architettura del sistema informativo in due database distinti, uno per i soggetti viventi e uno per i soggetti defunti. Tale soluzione è stata adottata per motivi di efficienza prestazionale del sistema complessivo. Tale soluzione è allo stato ancora in fase di sviluppo cosicché in produzione tutto è ancora organizzato in un unico database“ (cfr. verbale del XX, pp. XX).

Al riguardo, con riferimento al cimitero di Velletri, la società Velletri Servizi S.p.A. ha rappresentato che “La trasmissione dei dati relativi ai soggetti deceduti, da parte di Velletri Servizi S.p.A. verso STUP1, è proseguita fino a data successiva alla comunicazione di interruzione del rapporto contrattuale, per una mancata tempestiva interruzione dei flussi informativi. In particolare, in data XX è stata inviata comunicazione interna ai dipendenti, notificando formalmente la risoluzione del contratto con STUP1 e disponendo la sospensione dell’utilizzo dell’applicazione “AldilApp”. Contestualmente, è stata redatta una nota informativa destinata all’utenza […] Tuttavia, in assenza di un blocco automatico dei flussi di dati e per una disallineata gestione tecnica del canale di trasmissione, la fornitura dei dati relativi ai soggetti defunti è proseguita in maniera non intenzionale, sino alla restituzione formale dei dati da parte di STUP1, avvenuta in data XX conseguentemente ad apposito sollecito. Solo a seguito di verifica successiva, effettuata internamente nel primo trimestre XX, è stato possibile rilevare che nella banca dati restituita erano presenti riferimenti relativi a soggetti deceduti dopo la cessazione contrattuale, evidenza che ha determinato l’avvio di ulteriori misure correttive e di revisione delle procedure interne con interruzione immediata dei flussi informativi alla società STUP1” (cfr. nota del XX).

Per quanto concerne il tracciamento degli utenti in Applicazione, la Società ha dichiarato che “Gli eventi di interazione tracciati degli utenti fruitori dell’applicazione sono i seguenti:

- Pubblicato nuovo pensiero sul profilo di un defunto;

- L’utente è diventato amministratore del profilo di un defunto;

- L’utente ha modificato la biografia e/o la foto di un defunto;

- Accensione di un cero sul profilo di un defunto;

- L'utente ha visitato il profilo di un defunto;

- L'utente ha visitato lo shop;

- L'utente ha richiesto notifica push all'attivazione di nuovo specifico comune;

- L'utente ha richiesto notifica email all'attivazione di nuovo specifico comune;

- L’utente ha richiesto di co-amministrazione un profilo;- L’accesso ai log è solo di tipo di sistemistico, non ci sono interfacce grafiche che consentono di visualizzare questi dati, che rimangono per il momento accessibili solo agli sviluppatori al bisogno. Ad esempio per individuare eventuali attività fraudolente e/o non compliance sulla piattaforma. Al momento il tempo di conservazione di queste interazioni è indeterminato. Viene tracciato l’ultimo accesso dell’utente, data/ora e versione dell’app utilizzata, ma non viene conservata la storia di tutti gli accessi effettuati” (cfr. nota del XX, p. XX).

È stato inoltre rappresentato riguardo al predetto tracciamento, che “nessuna inibizione da parte degli utenti è possibile in tal senso allo scopo di poter risalire e comunicare eventuali attività non compliance poste in essere dagli utenti, sia al fine delle attività di moderazione (preventive e/o risolutive), sia allo scopo di eventuale comunicazione dell’identità dell’utente su ipotetica richiesta specifica dell’autorità giudiziaria” (cfr. nota del XX, pp. XX).

2.6. I ruoli soggettivi nel trattamento dei dati personali

Con riferimento ai ruoli soggettivi, la Società ha precisato che “Il trattamento relativo ai dati dei defunti vede i Comuni agire in qualità di Titolari del trattamento. I Comuni e/o gli enti affidatari dei servizi di gestione cimiteriale pongono in essere trattamenti relativi all’anagrafe cimiteriale che […] coinvolgono Stup1 S.r.l. […] in qualità di responsabile del trattamento. In questo caso, il titolare del trattamento comunica i dati di cui sopra alla Stup1 che, in proprio, o tramite la messa a disposizione di una dashboard dedicata sull’applicazione “Aldilapp”, di proprietà della Issam Consultancy ltd, […] e che la stessa Stup1 distribuisce in Italia, verranno inseriti nell’applicazione stessa” (cfr. nota del XX, pp. XX).

Sia la STUP che la ISSAM sono state designate responsabili del trattamento ai sensi dell’art. 28 del Regolamento, unicamente per il trattamento dei dati del defunto e con riguardo alle attività di “Manutenzione dell’applicazione”, “Gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione […] “Aldilapp®” […]” e “Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app” (cfr. Allegati “XX) XX” e “XXX)XX” alla nota del XX).

La STUP è stata designata, altresì, come responsabile del trattamento per il “Censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento” (cfr. Allegato “XX) XX”).

In caso di riscatto di un profilo, la STUP trasmette al “Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […] copia dell’autocertificazione rilasciata da parte dell’utente” nonché le richieste trasmesse “ex art. 2terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo)” tramite la piattaforma” (cfr. nota del XX, pp. XX, nonché verbale del XX, p. XX). Il Comune “tramite dashboard o tramite proprio gestionale, provvede a rimuovere la visibilità del defunto dall’Applicazione. In caso di inerzia del Comune, STUP1 procede all’oscuramento in autonomia in via cautelativa previa comunicazione al Comune stesso. La decisione finale dell’oscuramento rimane del Comune che è il titolare del trattamento dei dati resi disponibili ai cittadini tramite l’Applicazione. La richiesta di oscuramento può anche essere sottomessa dai cittadini tramite istanza rivolta direttamente al Comune […]” (cfr. verbale del XX, p. X). I Comuni interessati dall’istruttoria in esame, hanno precisato che, allo stato, nessuna istanza di esercizio dei diritti è stata trasmessa dalla STUP agli stessi o al relativo gestore dei servizi cimiteriali (cfr. note del Comune di Velletri del XX, p.X, e della Velletri Servizi del 6 maggio, p. XX, nonché note del Comune di Ancona del XX, pp. XX e del XX nonché note di Anconambiente del XX, p. XX e del XX, p. XX).

La STUP ha dichiarato che la ISSAM agisce in qualità di titolare del trattamento “dei dati personali degli utenti dell’applicazione Aldilapp […] e dei cosiddetti “Aldilapper” […] ovvero dei fornitori di servizi (ad esempio dei fiorai e/o manutentori) […]” (cfr. nota del XX, p. XX). Pertanto, la STUP è designata da ISSAM responsabile del trattamento ai sensi dell’art. 28 del Regolamento, per il trattamento di dati personali concernenti le “Anagrafiche degli utenti della piattaforma Aldilapp; Anagrafiche dei defunti presenti sulla piattaforma Aldilapp per i soli profili rivendicati; Anagrafiche degli “Aldilapper” della piattaforma Aldilapp” (cfr. “All. 1 Nomina responsabile Stup1- Società Benefit”, al verbale del XX) mentre la ISSAM, fornitrice della piattaforma “Aldilapp”, si occupa della “intera gestione tecnica dei database […]” (cfr. nota del XX, p. XX).

3.  La contestazione effettuata dall’Autorità

Con riferimento alla condotta della STUP, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ha notificato, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

- in qualità di responsabile del trattamento (o di altro responsabile del trattamento), omettendo di stipulare un accordo sulla protezione dei dati che preveda e disciplini in modo completo e adeguato tutti i trattamenti effettuati dalla Società per conto dei titolari del trattamento, in violazione dell’art. 28, parr. 3 e 4, del Regolamento;

- in violazione degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.

La Società, con l’atto sopra citato, è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. dell’Autorità n. XX del 15 XX), la Società ha presentato una memoria difensiva, cui si rinvia integralmente, dichiarando, in particolare, che:

- con riferimento agli atti di nomina stipulati dalla stessa con i titolari del trattamento ai sensi dell’art. 28 del Regolamento, la Società ha “prodotto un nuovo modello di atto di nomina a Responsabile del trattamento, il cui oggetto è stato esteso per includere in modo analitico e dettagliato tutte le categorie di dati e tutti i trattamenti effettuati per conto degli Enti, inclusi esplicitamente i dati afferenti alle concessioni cimiteriali […ed è]  in corso di presentazione ai Comuni clienti il set di nuovi atti emendati, avviando la sostituzione di tutti gli accordi precedentemente in essere”;

- con riferimento all’inquadramento dei ruoli “il modello di business di Aldilapp e la natura dei servizi offerti suggeriscono l'adozione di un modello di "titolarità autonoma" per ISSAM e per l'Ente Comunale. L'interpretazione che vede il Comune come unico Titolare e la piattaforma come mero Responsabile risulta infatti limitante e non rappresentativa della realtà fattuale e giuridica del trattamento. Le ragioni sono molteplici: 1. […] L'Ente Comunale persegue finalità di interesse pubblico legate alla gestione dei servizi cimiteriali. ISSAM, d'altra parte, tratta i dati degli utenti registrati per finalità proprie e distinte, quali la fornitura di un'esperienza utente unificata sulla piattaforma, la gestione degli account, l'erogazione di servizi aggiuntivi (es. acquisto fiori, pulizia lapidi) offerti da partner terzi e la creazione di una community commemorativa virtuale. 2. […] Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune. Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner. Se un Comune dovesse cessare il proprio rapporto con Aldilapp, i dati dell'account dell'utente (nome, email, interazioni) persisterebbero legittimamente sulla piattaforma, poiché il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi. 3. […] Il servizio si configura come un partenariato virtuoso che, da un lato, supporta gli Enti nella digitalizzazione e, dall'altro, offre valore aggiunto ai cittadini, generando risparmi per la spesa pubblica e favorendo l'economia locale. Per queste ragioni, si ritiene che la qualifica più corretta per quanto riguarda i dati degli utenti dell’app e dei profili rivendicati sia quella di titolari autonomi, ciascuno per le fasi di trattamento di propria competenza”;

- in relazione alle misure di sicurezza, per quanto concerne il “Rafforzamento dell'autenticazione (Punti B1-B4 del provvedimento) […] La Società ha completato l'implementazione delle seguenti misure: 1. […] È stato introdotto un sistema di MFA obbligatorio per tutti gli accessi al pannello di amministrazione. 2. […] Sono state completamente riviste le procedure di assegnazione delle credenziali per eliminare le credenziali condivise e sono in assegnazione credenziali di accesso nominative e univoche a ogni operatore autorizzato. 3. […] È stata implementata una policy che impone requisiti di complessità, lunghezza e rotazione periodica delle password. 4. […] Sono stati rivisti e rafforzati i profili di autorizzazione per il personale dei Comuni, garantendo l'accesso solo ai dati di stretta pertinenza”

- Con riguardo alle criticità riscontrate riguardo alla “Gestione delle Sessioni (Logout Automatico […e l’] assenza di un meccanismo di logout automatico per inattività. […] tale funzionalità è già implementato nella dashboard per i comuni e per gli enti”;

- con riferimento alla “Segregazione dei Dati [e all]a  necessità di una segregazione logica o fisica dei database per ciascun Comune. […]  tale intervento era già in programma prima dell'ispezione […]  si sottolinea che tale operazione presenta profili di elevata complessità tecnica e onerosità economica. La migrazione richiede una riprogettazione radicale del database e deve essere eseguita con la massima cautela per non causare alcuna interruzione del servizio, […e] sono state avviate le procedure per affidare la commessa a una società esterna altamente specializzata in migrazioni di database complesse”;

- con riferimento, alle verifiche relative ai minori “la registrazione all'app, tramite download dagli store ufficiali (Apple Store®, Google Play Store®) e l'utilizzo di un numero di cellulare, presuppone che l'utenza telefonica sia riconducibile a un soggetto maggiorenne (in quanto un minore non ne potrebbe essere intestatario) o, in caso di minore, utilizzata sotto la supervisione e con il consenso dell'esercente la potestà genitoriale. […] Ciononostante, per rafforzare ulteriormente i controlli, è in fase di implementazione una procedura di verifica tramite SMS che richiederà l'autorizzazione esplicita per la registrazione di utenti minori”;

- per quanto riguarda, infine, i tempi di conservazione dei dati personali è “stata redatta una nuova e dettagliata procedura di data retention, che definisce tempi di conservazione specifici per ogni tipologia di dato in relazione alle finalità del trattamento e prevede automazioni tecnologiche di cancellazione del dato”.

4. Esito dell’attività istruttoria

4.1. La normativa applicabile in materia di protezione dei dati personali.

In via preliminare, si rappresenta che il presente provvedimento ha ad oggetto esclusivamente le criticità riscontrate in relazione ai trattamenti effettuati in Applicazione e nella Piattaforma Software, da parte dei soggetti coinvolti nella presente istruttoria, per come attualmente configurati, restando in ogni caso impregiudicata ogni eventuale successiva valutazione in relazione ad una diversa riconfigurazione degli stessi.

Ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

Per quanto concerne il concetto di interessato, il Regolamento prevede che lo stesso “non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” (cons. 27 del Regolamento).

In ambito nazionale, l’art. 2-terdecies (Diritti riguardanti le persone decedute) del Codice, prevede, al comma 1 che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. Inoltre, i successivi commi 2 e 3 prevedono, rispettivamente, che “L'esercizio dei diritti di cui al comma 1 non è ammesso […] quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata” e che “La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma”.

Per quanto concerne le condizioni di liceità, il trattamento posto in essere da parte dei soggetti pubblici o gestori dei pubblici servizi è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, (art. 6, parr. 1, lett. c) ed e), 2 e 3, del Regolamento nonché art. 2-ter del Codice).

Il titolare del trattamento è tenuto, altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, di cui all’art. 5 del Regolamento, fra cui quello di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).

Con riferimento al caso di specie, la gestione dei servizi cimiteriali – in cui sono incluse, altresì, le attività di gestione e custodia dei cimiteri e dei locali annessi - rientra tra le attività istituzionali affidate agli enti locali, che non possono, pertanto, “spogliarsi” di tale finalità e compito, ma possono scegliere di affidarne la gestione a soggetti terzi disciplinando il rapporto, per gli aspetti relativi al trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento.

Ciò in quanto il titolare del trattamento, per lo svolgimento delle attività di competenza, può avvalersi di soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali e che operino sotto la sua responsabilità (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (cons. n. 81 e art. 28, parr. 1 e 3, del Regolamento).

Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” e deve adottare “tutte le misure richieste ai sensi dell’art. 32” dal titolare (art. 28, par. 3, lett. a) e c) del Regolamento); inoltre, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento).

In aggiunta, si evidenzia che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento […]” e che “Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento […] prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del […Regolamento]. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile” (art. 28, parr. 2 e 4, del Regolamento).

4.2. Le violazioni accertate

Dal quadro conoscitivo risultante dalla complessa e articolata attività istruttoria effettuata, comprensiva di tutti gli elementi acquisiti dai diversi soggetti coinvolti nell’istruttoria – anche in sede ispettiva presso la Società nonché in occasione delle audizioni dei Comuni coinvolti - è stato accertato che il trattamento di dati personali concerne varie categorie di interessati, tra cui, in particolare, gli utenti che si registrano in Applicazione, al fine di poter usufruire dei vari servizi offerti. Tali servizi costituiscono un pacchetto ab origine unitario e inscindibile che viene complessivamente attivato dai clienti istituzionali – direttamente i Comuni o tramite i propri gestori dei servizi cimiteriali - con la sottoscrizione del contratto di concessione di licenza d’uso dell’Applicazione e della Piattaforma Software con la Società.

L’erogazione di tali servizi implica il trattamento di dati non solo dei defunti ma, altresì, di ulteriori interessati che, in base al livello di interazione e del servizio richiesto in Applicazione, possono essere di minore o maggiore portata.

Infatti, qualora un interessato acceda in Applicazione per usufruire unicamente del servizio – di natura propriamente istituzionale - di ricerca online della posizione dei defunti nei cimiteri del Comune di riferimento, tale servizio è comunque subordinato alla creazione di apposito account, che comporta il conferimento di una serie di dati personali (inclusi dati di contatto quali numero di cellulare ed indirizzo email), e a una procedura di autenticazione.

Pertanto, anche solo ai fini di poter usufruire del citato servizio pubblico, il cittadino viene obbligato a registrarsi e creare un account a suo nome nell’Applicazione – utilizzata come unico canale digitale di informazione sull’ubicazione dei defunti – e a fornire i propri dati personali.

In sede di istruttoria è stato accertato che il servizio di ricerca delle sepolture risulta indissolubilmente legato agli ulteriori servizi offerti in Applicazione, quali quelli di natura commerciale e social, aventi natura ultronea rispetto ai compiti istituzionalmente attribuiti ai Comuni. Ciò si evince, in primo luogo, dal fatto che, una volta individuato il defunto oggetto di ricerca, per poter accedere alle indicazioni in merito all’ubicazione della sepoltura è necessario consultare il relativo “profilo digitale del defunto” in cui risultano visibili, in modo inscindibile, non solo i dati anagrafici del defunto stesso e l’attuale ubicazione della sepoltura, bensì anche le attività di interazione effettuate dagli utenti sul predetto “profilo”.

In altre parole, la ricerca effettuata dall’utente non restituisce la sola informazione relativa all’ubicazione del defunto bensì un vero e proprio “profilo”, arricchito di numerose funzionalità. I “profili digitali” vengono, infatti, creati di default in Applicazione a seguito dell’acquisizione dell’elenco cimiteriale del Comune (risultato del censimento o dell’acquisizione dei registri comunali già digitalizzati) e resi di default immediatamente visualizzabili e abilitati a ricevere interazioni da parte degli utenti (i.e. rivendicazione del profilo, pubblicazione di messaggi di cordoglio, accensione di ceri virtuali, ecc.), con conseguente arricchimento del profilo digitale di ulteriori dati personali, relativi agli utenti e ad attività aventi natura prevalentemente “social” o di tipo commerciale da questi ultimi effettuate.  

Al riguardo, il Comitato Europeo per la Protezione dei dati (di seguito “CEPD”) intende per "social media", le “piattaforme online che consentono lo sviluppo di reti e di comunità di utenti, tra i quali vengono condivisi contenuti e informazioni […] Tra le caratteristiche principali dei social media figurano la possibilità per le persone fisiche di registrarsi al fine di creare "account" […] o "profili" per sé stesse, di interagire tra loro condividendo contenuti generati dagli utenti o altri contenuti nonché di sviluppare collegamenti e reti con altri utenti“ e che “Oltre alle piattaforme di social media "tradizionali", tra gli ulteriori esempi di social media si annoverano: […] piattaforme nel contesto delle quali gli utenti registrati possono caricare i propri video, commentare i video pubblicati da altri e creare collegamenti con tali video; oppure giochi per computer nel contesto dei quali gli utenti registrati possono […], scambiarsi informazioni o condividere le loro esperienze […]” (cfr. Linee guida 8/2020 sul targeting degli utenti di social media Versione 2.0 adottate dal CEPD il 13 aprile 2021, parr. 1 e 2).

Sul punto, nella citata memoria difensiva del XX la Società ha evidenziato che l’Applicazione fornisce “un'esperienza utente unificata sulla piattaforma […] e la creazione di una community commemorativa virtuale”.

Su tale ultimo aspetto, il sistema non consente agli utenti – né ai clienti istituzionali -di poter selezionare il grado di visibilità di quanto pubblicato in Applicazione. Né la creazione del profilo digitale – con tutte le abilitazioni e funzionalità annesse - deriva da una volontà espressa dall’interessato medesimo (ormai defunto) o da parte di un eventuale soggetto legittimato.

Con riguardo ai dati personali delle persone decedute, il Regolamento prevede la “clausola di salvaguardia” (considerando n. 27), riconoscendo la facoltà agli Stati membri di “prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Il riconoscimento, effettuato dal Codice, della possibilità per i soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, di esercitare i diritti in luogo delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento – fra cui, non solo il diritto di accesso, di rettifica, cancellazione dei dati, limitazione o  opposizione al trattamento, ma anche il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai “principi applicabili al trattamento di dati personali” nel rispetto delle condizioni di “liceità del trattamento”, in quanto compatibili (cfr. provv. ti n. 304 del 15 settembre 2022, doc. web n. 9810028, n. 90 del 23 marzo 2023, doc. web n. 9888188, n. 466 del 5 ottobre 2023, doc. web n. 9953563 nonché, da ultimo, provv. n. 82 del 19 febbraio 2024, doc. web n. 9996647 e i provvedimenti ivi citati).

Inoltre, per quanto concerne i servizi della società dell’informazione, i commi 2 e 3 dell’art. 2-terdecies, comma 2 del Codice presuppongono una “conoscenza” e una forma di “controllo” preventivi da parte dell’interessato rispetto alla propria “identità digitale”, potendo lo stesso vietare l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento da parte dei soggetti di cui al primo comma del medesimo articolo mediante “dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”, frutto di una volontà “specifica, libera e informata”.

Ciò non può verificarsi nel caso di specie, posto che le informazioni relative al defunto, trattate inizialmente dai Comuni per specifiche finalità di natura istituzionale (polizia mortuaria, gestione cimiteriale ecc.), vengono successivamente utilizzate, mediante la trasposizione di default in Applicazione e visualizzate dagli utenti unicamente nella forma di “profilo del defunto”, comprensivo delle funzionalità e delle informazioni ulteriori (commenti), accessibili a chiunque, senza tener conto anche dell’interesse al riserbo personale e familiare dell’interessato deceduto o delle relative famiglie.

Né il predetto trattamento può giustificarsi sulla base della circostanza che i dati personali e l’immagine del defunto sarebbero comunque esposti fisicamente in un luogo aperto al pubblico, in quanto tale esposizione, a differenza del “profilo digitale”, appare connessa a circoscritte finalità legate al ricordo, alla memoria e alla pietà per il defunto, e risultano conoscibili unicamente alle persone, anche non familiari, in visita presso il cimitero (in merito a tale principio, si veda il provv. del 19 dicembre 2002, doc. web n. 1067167, relativo alla diffusione su una testata giornalistica dei dati personali di minori vittime di una calamità naturale, acquisiti presso le sepolture nel cimitero locale).

Inoltre, la presenza della funzione “Esporta” in ciascun profilo digitale presente in Applicazione, espone a maggiori rischi in merito alla circolazione e strumentalizzazione di tali informazioni, concernenti come detto, dati personali non solo di defunti ma, altresì, degli utenti dell’Applicazione stessa.

In secondo luogo, si fa presente che la creazione di default di un profilo digitale del defunto, vincola i soggetti che intendano tutelare l’interessato deceduto o abbiano un interesse proprio, a dover fornire ulteriori dati personali posto che, come rappresentato dalla Società, ai fini dell’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice mediante l’Applicazione, solo “la persona che […ha] rivendicato un profilo: […] può inviare istanze GDPR (si abilita un menù “istanze GDPR” dove si possono esercitare i diritti in vece del defunto) […] Queste attività non possono essere svolte se un profilo non viene amministrato“. Si evidenzia altresì che è proprio dalla creazione di default del “profilo digitale del defunto” - anziché dei soli dati strettamente necessari ai fini della ricerca dell’ubicazione - che deriva la necessità di chiederne l’”oscuramento”, al fine di evitarne l’esposizione digitale nelle forme sopra descritte.  

In aggiunta, la commistione inscindibile tra finalità istituzionali e finalità ulteriori si evince dal fatto che, nel caso di scioglimento del rapporto contrattuale con l’Ente di riferimento, la Società intende comunque mantenere la visibilità in Applicazione del profilo rivendicato come “bacheca virtuale”, posto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società e al momento della rivendicazione manifesta uno specifico interesse soggettivo rispetto al profilo rivendicato. Tale scelta di business comporta la conservazione dei profili rivendicati e dei commenti anche a seguito dello scioglimento del rapporto contrattuale con il Comune di riferimento e il conseguente mantenimento della visibilità dei profili rivendicati nell’Applicazione e delle funzionalità correlate”.

4.2.1. Inidonea regolamentazione dei rapporti tra i soggetti coinvolti nel trattamento ai sensi dell’art. 28 del Regolamento

Nell’ambito dei servizi erogati in Applicazione, vengono fornite agli utenti due informative distinte (le citate informativa A1 e A2), in cui sono indicate distinte titolarità del trattamento.

Nell’informativa A1, relativa al trattamento dei dati degli utenti dell’Applicazione, ISSAM è indicata come titolare del trattamento, mentre nell’informativa A2, nel premettere che l’Applicazione consente ai “Comuni o agli Enti di gestione cimiteriale la pubblicazione digitalizzata degli elenchi dell’anagrafe cimiteriale”, è precisato che “titolare del trattamento è il Comune o l’Ente di riferimento” e che “ISSAM CONSULTANCY LTD agisce in qualità di Responsabile del trattamento dei dati”. È inoltre indicato che “i parenti di primo grado del defunto possono fare richiesta per diventare Amministratori del suo profilo […], una volta ultimata la procedura e validato il passaggio, ISSAM diventerà titolare del trattamento dei dati”.

Ai fini dell’effettivo inquadramento dei ruoli delle parti, è opportuno in primo luogo ricordare che le Linee Guida 07/2020 precisano che “sebbene fonti giuridiche esterne possano contribuire all’individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati. Il concetto di titolare del trattamento non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di titolare dei diritti in materia di proprietà intellettuale o di diritto della concorrenza” e che “vi sono casi in cui la titolarità può essere ricavata dalla competenza espressamente conferita per legge, ad esempio quando il titolare del trattamento o i criteri specifici per la sua designazione sono determinati dal diritto nazionale o dell’Unione. […] In assenza di titolarità derivante da disposizioni giuridiche, la qualifica di titolare del trattamento deve essere stabilita sulla base di una valutazione delle circostanze concrete del trattamento […prendendo] in considerazione tutte le circostanze di fatto pertinenti al fine di stabilire se uno specifico soggetto eserciti un’influenza determinante sul trattamento dei dati personali in questione […] Anche se il responsabile del trattamento offre un servizio definito in via preliminare in modo specifico, al titolare del trattamento deve essere messa a disposizione una descrizione dettagliata di tale servizio e spetta al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche. Inoltre, il responsabile del trattamento non può modificare successivamente gli elementi essenziali dello stesso senza l’approvazione del titolare del trattamento” (cfr. Linee guida 7/2020, parr. 13, 22, 24, 25 e 30).

A tal proposito, i Comuni sono titolari del trattamento per quanto concerne, in primis, i trattamenti connessi allo svolgimento delle proprie funzioni istituzionali, tra cui quelle gestite tramite l’Applicazione (es. servizi di comunicazione e informazione all’utenza, gestione delle concessioni cimiteriali e dell’illuminazione votiva, etc.). In tale contesto, la titolarità si desume dalle competenze espressamente conferite ai Comuni dal quadro normativo di settore, per quanto concerne i servizi cimiteriali, intendendosi, con tale termine, le seguenti attività:

• gestioni delle concessioni;

• operazioni cimiteriali;

• servizi necroscopici (anagrafe mortuaria, polizia mortuaria, trasporto e fornitura feretri per non abbienti, funerali dignitosi per indigenti);

• altri servizi a supporto delle attività cimiteriali (servizio di custodia e vigilanza, servizio di comunicazione e informazione all’utenza, attività di controllo per l’edilizia privata);

• manutenzione ordinaria, manutenzione del verde pubblico cimiteriale, pulizia cimiteriale;

• servizio di censimento di tutti i loculi esistenti.

Per quanto concerne gli ulteriori trattamenti effettuati in Applicazione, risulta invece necessario esaminare gli specifici elementi acquisiti in sede di istruttoria al fine di un corretto inquadramento dei ruoli soggettivi di titolare e responsabile del trattamento.

In primo luogo, occorre considerare la legittima aspettativa degli utenti in merito alla riconducibilità ai Comuni dei servizi offerti dall’Applicazione, essendo la stessa utilizzata da questi ultimi – anche per il tramite dei gestori dei servizi cimiteriali - per fornire, anche in via esclusiva, all’utenza le informazioni sull’ubicazione dei defunti nei cimiteri comunali.

L’informativa A2 fornita agli utenti indica espressamente che “I comuni che decidono di servirsi di Aldilapp potranno […] offrire un servizio utile ai cittadini e, nel contempo, digitalizzare il proprio cimitero comunale e avere a disposizione un database dell’anagrafe cimiteriale aggiornato esponendo, inoltre, una segnaletica ordinata all’interno del cimitero. Grazie a questa innovativa applicazione i comuni che aderiscono al servizio Aldilapp, potranno fornire una rete di servizi che impiega le imprese locali offrendo loro la possibilità di allargare la loro attività anche a utenti che non possono raggiungere fisicamente il cimitero, ma hanno l’esigenza di stare vicino a propri cari defunti portando fiori freschi o pulendo la tomba che li accoglie”.

La pubblicizzazione sui siti istituzionali dei Comuni del ricorso all’Applicazione ai fini dell’accesso ai servizi informativi cimiteriali, rafforza ulteriormente nell’utente la legittima aspettativa che il servizio sia fornito dal Comune e che, conseguentemente, lo stesso sia il titolare dei relativi trattamenti (cfr. per il Comune di Ancona, https://www.comuneancona.it/unapp-digitalizza-i-cimiteri-di-ancona/;  https://www.anconambiente.it/2023/09/19/anconambiente-digitalizza-i-cimiteri-di-ancona-per-migliorarne-il-decoro-con-unapp/, nonché la presentazione ai cittadini e alla stampa mediante la conferenza stampa di AnconAmbiente del XX, mentre per il Comune di Velletri, post del XX pubblicato sul profilo Facebook del Sindaco di Velletri  https://www.facebook.com/.../; post del XX pubblicato sul profilo Facebook di Velletri Servizi S.p.a.https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/).

Ciò a maggior ragione nei casi in cui tale servizio viene fornito - in via telematica - esclusivamente tramite l’Applicazione, come nei Comuni coinvolti nell’istruttoria. Sul punto, le Linee guida 7/2020 citate, precisano che “Poiché l’obiettivo di fondo nell’attribuzione del ruolo di titolare del trattamento è garantire il rispetto del principio di responsabilizzazione e una protezione efficace e completa dei dati personali, il concetto di «titolare del trattamento» dovrebbe essere interpretato in modo sufficientemente estensivo, favorendo il più possibile una tutela efficace e completa degli interessati, […] evitare lacune e prevenire elusioni potenziali delle norme, senza sminuire, al contempo, il ruolo del responsabile del trattamento” (punto 14).

In secondo luogo, occorre considerare l’inscindibilità dei servizi e delle funzionalità offerte in Applicazione e nella Piattaforma Software.

Infatti, l’utente anche solo per consultare l’ubicazione dei defunti, deve, comunque, scaricare l’Applicazione e registrarsi creando un account. Inoltre, il servizio di ricerca non restituisce all’utente la semplice informazione relativa alla posizione della sepoltura all’interno del cimitero, ma fornisce, come risultato di ricerca, il “profilo del defunto”, come dettagliatamente descritto nel precedente par. 2.2 nel contenuto e nelle funzioni (rivendicazione, commenti, richiesta di servizi commerciali etc.). Pertanto, in ragione della loro inscindibilità, anche tali trattamenti non possono che essere ricondotti alla titolarità del Comune.

Al riguardo, non possono condividersi le argomentazioni avanzate dalla Società in merito al fatto che “L'interpretazione che vede il Comune come unico Titolare e la piattaforma come mero Responsabile risulta […] limitante e non rappresentativa della realtà fattuale e giuridica del trattamento […ritenendo invece che] la qualifica più corretta per quanto riguarda i dati degli utenti dell’app e dei profili rivendicati sia quella di titolari autonomi, ciascuno per le fasi di trattamento di propria competenza”. La Società giustifica infatti tale posizione considerando che “L'Ente Comunale persegue finalità di interesse pubblico legate alla gestione dei servizi cimiteriali […mentre] ISSAM […] tratta i dati degli utenti registrati per finalità proprie e distinte, quali la fornitura di un'esperienza utente unificata sulla piattaforma […]” e che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune. Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner. Se un Comune dovesse cessare il proprio rapporto con Aldilapp, i dati dell'account dell'utente (nome, email, interazioni) persisterebbero legittimamente sulla piattaforma, poiché il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi […]” (cfr. nota del XX).  

Come esposto in precedenza, attualmente è necessaria la registrazione in Applicazione per fruire di tutti i servizi, incluso quello di ricerca l’ubicazione di una sepoltura, primaria finalità per cui viene sottoscritto il contratto di concessione e licenza d’uso da parte dei Comuni e/o dei gestori. L’Applicazione, infatti, non consente alcuna facoltà di scelta all’utente in relazione all’apertura o meno di un account, obbligando lo stesso a registrarsi e a conferire i propri dati personali, anche per poter fruire unicamente del servizio comunale di ricerca dell’ubicazione dei defunti, offerto spesso in via esclusiva tramite l’Applicazione. L’obbligatorietà dell’apertura dell’account e l’inscindibilità di tutti i servizi offerti per il tramite dell’Applicazione, unitamente alle circostanze sopra rappresentate, riconducono l’intero trattamento alla titolarità dei Comuni.

Si ritiene opportuno evidenziare, peraltro, che il servizio di consultazione dell’ubicazione delle sepolture non richiederebbe l’identificazione dell’utente e, conseguentemente, la necessità di alcuna registrazione (diversamente, con riferimento alle app per la prenotazione dei servizi di sportello, si vedano i provv.ti n. 81 del 7 marzo 2019, doc. web n. 9121890, nn. 280, 281 e 282 del 17 dicembre 2020, doc. web nn. 9524175, 9525315, 9525337 e provv. n. 116 del 27 febbraio 2025, doc. web 10126141). Al riguardo, molti Comuni offrono servizi cimiteriali online di ricerca puntuale delle informazioni di cui trattasi senza richiedere i dati personali dell’utente, limitandosi a prevedere meccanismi volti al prevenire o bloccare le interrogazioni massive – automatiche o abusive, tipicamente attuate mediante il ricorso a bot o a funzioni di scraping; ciò, ad esempio, mediante strumenti, quali ad esempio l’utilizzo di codici Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart), per distinguere utenti umani legittimi da software per l’interrogazione automatizzata.  

In secondo luogo, la “commistione” forzata tra finalità di interesse pubblico e di natura privata discende direttamente dall’attuale configurazione dell’Applicazione che vincola in modo inscindibile le varie funzionalità offerte sia all’utente che al soggetto istituzionale. Diversamente da quanto evidenziato dalla Società, riguardo al fatto che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune […e che] Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner”, l’intera gamma dei servizi offerti in Applicazione è basata sui dati primariamente attinti dai registri cimiteriali comunali, e l’adesione del Comune al servizio è il presupposto per la visibilità dei cimiteri in Applicazione.

Attualmente, infatti, non è prevista una fruizione separata, da un lato, del servizio pubblico di consultazione – fondato sui database comunali e fruibile senza necessità di registrazione in Applicazione – e, dall’altro, dei servizi di tipo non istituzionale, di natura “social” o commerciale – che dovrebbero essere basati unicamente su dati personali forniti alla Società direttamente dagli utenti, anche con riguardo ai dati  dei defunti al fine di richiedere l’apertura (qualora ne abbiano idonea legittimazione) di un profilo digitale commemorativo. Il profilo digitale del defunto, al quale sono attualmente associate una serie di funzionalità e servizi, non dovrebbe quindi essere aperto di default utilizzando i database comunali nell’ambito di una commistione inscindibile di servizi di natura propriamente istituzionale e non, ma essere rimesso ad una scelta volontaria dei soggetti legittimati e sempre nel rispetto dei principi in materia di protezione dei dati personali.  La registrazione e la creazione di un account dovrebbe pertanto essere rimessa a una scelta volontaria degli interessati, sia per l’apertura di un profilo digitale che per usufruire degli ulteriori servizi, di natura non istituzionale, anche in relazione ad altri profili virtuali, volontariamente aperti da altri utenti. Ciò anche al fine di non precludere la fruibilità del servizio pubblico di consultazione a coloro che siano interessati esclusivamente a tale servizio e/o che non intendano fornire informazioni e dati personali propri e relativi ai familiari. Solo a questa condizione sarebbe condivisibile l’osservazione della Società rispetto al fatto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società” e che “il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi”.

Peraltro, l’attuale previsione di default dei profili digitali dei defunti, pubblicamente consultabili ed esposti all’inserimento di commenti e ad altre interazioni, costringe gli utenti che intendano tutelare il proprio caro a fornire i propri dati personali, dovendo necessariamente registrarsi e rivendicare il profilo per poterne chiedere l’oscuramento o esercitare i diritti ai sensi dell’art. 2-terdecies del Codice.

Con riferimento, inoltre, alle caratteristiche dei servizi offerti e/o della loro inscindibilità - sia nell’Applicazione sia nella Piattaforma Software -, si evidenzia che la parziale consapevolezza lamentata da alcuni enti non li esonera dalle proprie responsabilità quali titolari del trattamento posto che dalla documentazione contrattuale complessivamente sottoscritta (“Condizioni generali contrattuali - Concessione della licenza d’uso ALDILAPP®”, proposta economica, preventivo e listino prezzi, atti di affidamento etc.), l’oggetto della licenza concessa mediante il contratto è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore” sia dalla “relativa Piattaforma software”. Tale documentazione precisa, altresì, che “in nessun caso sarà consentito il recesso disgiunto dall’erogazione dei Servizi Accessori Complementari disgiuntamente dai Servizi Principali”.

In aggiunta, nell’atto giuridico stipulato ai sensi dell’art. 28 del Regolamento, il titolare – o, comunque, il soggetto istituzionale che sottoscrive gli atti di nomina con la Società e con la ISSAM, potendo essere direttamente il Comune (effettivo titolare del trattamento) o il gestore dei servizi cimiteriali, che agisce per suo conto in qualità di responsabile del trattamento -  “dichiara di ben conoscere le caratteristiche e le misure di sicurezza [dell’Applicazione e della Piattaforma software] dettagliate nel contratto fra le parti e relativi allegati tecnici e di averle ritenute congrue alla normativa di riferimento”.

Le numerose utilità fornite in Applicazione, incluse quelle di natura social e commerciali, sono state, come detto, anche pubblicizzate all’atto dell’avvio dei progetti di digitalizzazione dei cimiteri (cfr. limitatamente ai Comuni coinvolti nell’istruttoria, come accertato dall’Autorità in data XX, sul sito web istituzionale del Comune di Ancona è stato inizialmente pubblicizzato che “Il processo di digitalizzazione […] ha realizzato il nuovo censimento delle tombe geolocalizzandone la posizione esatta. Sono oltre 90.000 i defunti censiti e geolocalizzati, di questi oltre 65.000 solamente nel cimitero di Tavernelle, più di 2.500 sono, invece, le nuove insegne di segnaletica installate”. Inoltre, “L’App consente di fare da collettore per alcuni servizi fondamentali volti [a]l mantenimento del decoro dei cimiteri comunali”; tale “nuova applicazione […] permetterà molteplici interazioni digitali che trasformeranno il rapporto fra utenti e cimiteri comunali.  Nello specifico, attraverso questa nuova App si potranno gestire i servizi di pulizia delle lapidi, gli ornamenti come ceri, fiori e lampade votive. I fiorai di Ancona e tutte le società che gravitano all’interno del cimitero potranno legarsi all’App così da fornire servizi in maniera efficace e tempestiva”, URL https://www.comuneancona.it/unapp-digitalizza-i-cimiteri-di-ancona/, mentre nel post del XX sul profilo Facebook di Velletri Servizi S.p.a. veniva evidenziato che con Aldilapp è possibile “Individuare la posizione esatta della tomba che stai cercando; Far consegnare fiori direttamente sul posto; far mantenere la pulizia e il decoro della lapide o della tomba; creare un profilo digitale del defunto, caricando una biografia e una foto. Grazie alla nuova App sarà quindi possibile a tutti i parenti, anche ai più lontani, inviare fiori, accendere un cero virtuale come segno di ricordo e vicinanza, lasciare una dedica in memoria del defunto creando una comunità virtuale di condivisione e supporto. A breve saranno disponibili molti altri servizi, come il pagamento della luce votiva tramite PagoPA”, cfr. https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/).

Alla luce degli elementi che precedono non può condividersi l’inquadramento dei ruoli dei soggetti coinvolti nel trattamento, per come indicati negli accordi sottoscritti con la Società e con la ISSAM ai sensi dell’art. 28 del Regolamento - rispetto a cui, il punto 28, delle Linee guida 7/2020, precisa che “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte […] non sono determinanti in modo assoluto […e che] Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto”.
Analogamente  non può condividersi l’inquadramento dei ruoli dei soggetti coinvolti nel trattamento per come prospettati nell’informativa agli utenti in fase di registrazione e di utilizzo dell’Applicazione, ove è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti (Informativa A2).Infatti, come sopra evidenziato, oltre al servizio di mera ricerca dell’ubicazione del defunto, l’Applicazione consente lo svolgimento di ulteriori attività nell’interesse dei Comuni titolari del trattamento, non indicate negli accordi ai sensi dell’art. 28 del Regolamento e nell’informativa A2 sopra citata.

Come accertato in sede d’ispezione, anche le richieste di esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice, presentate dall’amministratore di un profilo, comportano un trattamento di dati personali da parte del Comune. Infatti, le istanze ricevute dalla Società sono “inoltra[te] automaticamente […] al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale)”.

Analogamente, un trattamento dei dati personali dell’utente si rileva nella fase di “rivendicazione” del profilo digitale di un defunto poiché l’utente, ai fini di divenire amministratore del profilo, deve comunicare dati personali aggiuntivi (rispetto a quelli forniti in sede di registrazione dell’account), relativi alla propria residenza, al rapporto con il defunto, caricando un’autocertificazione e una copia del documento d’identità. In tale contesto “l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente”.

Il fatto che i predetti trattamenti avvengano per conto del Comune si evince anche dagli accordi sottoscritti, ai sensi dell’art. 28 del Regolamento, con i clienti istituzionali, in cui è espressamente indicato che “il Responsabile del Trattamento è incaricato […della] Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app”. Tuttavia, tali accordi menzionano unicamente il trattamento dei dati dei defunti, senza considerare che l’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice può essere effettuato solo da un interessato necessariamente diverso dal defunto, e che anche i dati personali dei soggetti legittimati all’esercizio dei predetti diritti, devono essere trattati dalla Società – così come dalla ISSAM - nell’interesse del Comune. Giova precisare, al riguardo, che nel caso in cui il contratto di concessione di licenza d’uso e i relativi accordi ai sensi dell’art. 28 del Regolamento siano stipulati direttamente con i Comuni, la Società e ISSAM agiscono in qualità di responsabili del trattamento mentre, nel caso di sottoscrizione dei predetti accordi con i gestori dei servizi cimiteriali locali (da inquadrare, alla luce delle considerazioni che precedono, come responsabili del trattamento dei Comuni, effettivi titolari), le stesse agiscono in qualità di sub-responsabili del trattamento.  

In relazione ai trattamenti sopra menzionati, si ritiene che sia la Società che la ISSAM trattino per conto del Comune di riferimento, dati personali ulteriori rispetto a quelli dei defunti e diversi rispetto a quelli oggetto di regolamentazione ai sensi dell’art. 28 del Regolamento.

In aggiunta, la Società tratta anche i dati relativi ai titolari delle concessioni cimiteriali: nella Dashboard in uso al Comune - direttamente o tramite il proprio gestore cimiteriale - oltre al contratto di concessione, che riporta i dati del concessionario, possono essere annotati altresì ulteriori dati relativi ai dati di contatto degli eredi o ai familiari (che possono o meno coincidere con quelli del concessionario), quali nome e cognome, indirizzo, numero di telefono ed email (cfr. il documento “XX – XX – XX”, allegato alla nota del XX). Al riguardo, la Società ha dichiarato che è stato “prodotto un nuovo modello di atto di nomina a Responsabile del trattamento, il cui oggetto è stato esteso per includere in modo analitico e dettagliato tutte le categorie di dati e tutti i trattamenti effettuati per conto degli Enti, inclusi esplicitamente i dati afferenti alle concessioni cimiteriali […ed è]  in corso di presentazione ai Comuni clienti il set di nuovi atti emendati, avviando la sostituzione di tutti gli accordi precedentemente in essere” (cfr. nota del XX).

Da ultimo, nell’ambito dell’incertezza derivante da tale regolamentazione parziale e dal non corretto inquadramento dei ruoli di titolare e responsabile, l’istruttoria ha evidenziato altresì che la Società ha implementato autonomamente aggiornamenti e sviluppi dell’Applicazione comportanti la raccolta di ulteriori di dati personali; ciò, in particolare, per quanto riguarda il rafforzamento della procedura di rivendicazione del profilo, nell’ambito della quale, a decorrere dal mese di XX, è stata prevista l’acquisizione di ulteriori categorie di dati (autocertificazione e copia documento di identità), messi a disposizione dei Comuni nella Dashboard, ai fini della verifica.

Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’”articolo 28, paragrafo 3, del [Regolamento]” e, considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo competente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (par. 103 delle citate Linee guida 07/2020). Inoltre, il paragrafo 3 dell’articolo 28 del Regolamento indica gli elementi obbligatori da inserire nel “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”, tra cui “l’oggetto del trattamento”, “la natura del trattamento […] e la finalità”, “la tipologia di dati personali” e “le categorie di interessati”, “gli obblighi e diritti del titolare del trattamento” (cfr. punto 114 citate Linee guida 7/2020). Pertanto, nel caso di assenza totale del predetto contratto, o di mancanza di uno o più degli elementi essenziali di cui al citato paragrafo 3, tale da determinare una definizione non chiara del rapporto titolare-responsabile tra le parti – come avvenuto nel caso di specie – si avrebbe una violazione del citato art. 28, par. 3 del Regolamento.

Alla luce delle considerazioni che precedono, e degli elementi acquisiti in atti, si ritiene che la Società abbia agito in violazione dell’art. 28, parr. 3 e 4, del Regolamento.  

Ciò in quanto, sebbene sia stato sottoscritto un atto giuridico ai sensi dell’art. 28 del Regolamento – direttamente con i Comuni titolari del trattamento o con i loro gestori dei servizi cimiteriali, responsabili del trattamento –, volto ad attribuire la titolarità in capo ai Comuni dei trattamenti finalizzati allo svolgimento dei compiti istituzionali suscettibili di essere effettuati in Applicazione, tale regolamentazione si è rivelata incompleta rispetto all’oggetto e alla natura del trattamento, alle finalità, alla tipologia di dati personali e alle categorie di interessati (es. soggetti che esercitano i diritti ai sensi dell’art. 2-terdecies del Codice, soggetti che rivendicano un profilo, concessionari, familiari ed eredi, etc.), nonché agli obblighi e diritti del titolare del trattamento.

4.2.2. L’inidoneità delle misure tecniche e organizzative adottate

Con riferimento alle misure tecniche e organizzative, dagli accertamenti effettuati nell’ambito dell’istruttoria risulta che la Società non ha adottato le opportune misure affinché il trattamento fosse effettuato nel rispetto della normativa in materia di protezione dei dati personali.

In primo luogo, come accertato in sede ispettiva, gli operatori comunali accedono ai dati conservati nella Dashboard con una procedura di autenticazione informatica debole (“singolo fattore di autenticazione”) e con “credenziali non […] nominative”, non disponendo, pertanto, di specifiche e personali credenziali di autenticazione per accedere al sistema informatico. Le medesime modalità di autenticazione vengono osservate, in particolare, anche per l’accesso alla Dashboard da parte dell’”utente admin”, avente il più ampio profilo di visibilità e di maggiore ambito di incidenza.

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta l’acquisizione e la gestione delle anagrafiche cimiteriali, con raccolta di dati personali – che comprendono anche quelli dei soggetti passivi delle concessioni cimiteriali nonché degli utenti che, tramite l’Applicazione, abbiano richiesto l’amministrazione del profilo del defunto –, si ritiene che le predette modalità di accesso al sistema informatico non siano adeguate sotto il profilo della sicurezza (cfr. provv. 10 giugno 2021, n. 236, doc. web n. 9685947, nonché provv. 20 giugno 2024, n. 375, doc. web 10029393).

L’utilizzo di utenze non nominali da parte di più soggetti impedisce, infatti, di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio, anche per il titolare e il responsabile del trattamento, che sono privati della possibilità di individuare gli autori di eventuali condotte anomale/abusive sui sistemi informativi utilizzati. Per quanto attiene al caso di specie, la scelta progettuale di assegnare alle amministrazioni locali e agli altri clienti della Società utenze non nominative, può indurre prassi patologiche quali la condivisione delle credenziali di accesso, sottraendo gli utenti al rispetto delle basilari cautele e responsabilità connesse al potenziale tracciamento e alla riconducibilità delle operazioni svolte alla propria utenza nominativa. La condivisione delle credenziali, peraltro, privando il titolare e/o il responsabile del trattamento della possibilità di limitare il numero di utenti cui concedere accesso ai sistemi in relazione a comprovate e attuali esigenze istituzionali e di ufficio così come di verificare eventuali condotte abusive, comporta rischi non accettabili in ordine alla riservatezza dei dati personali trattati.

Per tali motivi, nella progettazione stessa del sistema di accesso, della conseguente gestione delle identità, delle credenziali e dei meccanismi di autenticazione, la Società non ha posto in essere misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, volte ad evitare che i dati personali trattati, riferibili tanto a soggetti defunti quanto a soggetti in vita, rientrassero nella disponibilità di soggetti, anche esterni alla struttura organizzativa preposta, che non avessero necessità di accedervi per l’adempimento dei propri compiti di ufficio.

Inoltre, allorquando un’utenza non nominale, come quella in questione, venga utilizzata da più soggetti, possono determinarsi situazioni in cui non c’è coerenza tra i profili di autorizzazione attribuiti e le effettive esigenze di operatività per la gestione dei sistemi, rendendo così possibile, a un soggetto non autorizzato, di operare, in assenza di una specifica volontà del titolare o del responsabile del trattamento, nell’ambito dei sistemi e servizi di trattamento (v. provv. del 4 aprile 2019, n. 83, doc. web n. 9101974, e del 14 gennaio 2021, n. 4, doc. web n. 9582744).

Sul punto, con la citata nota del XX, la Società ha dichiarato di aver “completamente rivist[o] le procedure di assegnazione delle credenziali per eliminare le credenziali condivise e sono in assegnazione credenziali di accesso nominative e univoche a ogni operatore autorizzato”.

Nel corso dell’istruttoria è emerso, in secondo luogo, che, in relazione alle password iniziali per l’accesso alla Dashboard, generate in automatico all’atto della creazione delle credenziali di autenticazione di ciascun utente, non sono stati implementati meccanismi che obbligano gli utenti a modificare la propria password al suo primo utilizzo, avendo la Società dichiarato che “La password per l’accesso alla dashboard può essere modificata facoltativamente mediante funzionalità esposta dalla dashboard stessa” risultando pertanto, assenti meccanismi di enforcement del reset delle password. Ancora, corre anche sottolineare come l’utilizzo di una password da parte di più soggetti, intrinseco ai predetti fenomeni di condivisione delle credenziali, aumenti il rischio di compromissione della stessa, esponendo vieppiù a possibili scenari di attacco un sistema di autenticazione già di per sé poco robusto, quale quello in esercizio per l’accesso alla Dashboard della piattaforma gestionale della Società. Rispetto a tale criticità la Società ha dichiarato, con la predetta nota del XX, che “È stata implementata una policy che impone requisiti di complessità, lunghezza e rotazione periodica delle password”, di aver “introdotto un sistema di MFA obbligatorio per tutti gli accessi al pannello di amministrazione […e] rivist[o] e rafforzat[o] i profili di autorizzazione per il personale dei Comuni, garantendo l'accesso solo ai dati di stretta pertinenza”.

Per quanto concerne le modalità di gestione della sessione in Applicazione, dalle evidenze prodotte non risulta essere stato implementato un logout automatico, subordinando lo stesso ad un’operazione dell’utente, che “può richiedere in ogni momento il logout dall’app cliccando sull’apposito bottone presente sul menu, […] rendendo necessaria l’autenticazione tramite OTP al prossimo accesso” (cfr. “Riserva 2 Verbale del 29.01 - Autenticazione e Gestione della sessione” trasmesso con nota del XX). Al riguardo, la Società non ha provveduto a fornire aggiornamenti in merito, avendo unicamente dichiarato, in sede di memoria difensiva, che “tale funzionalità [di logout automatico] è già implementata nella dashboard per i comuni e per gli enti”.

In terzo luogo, l’Applicazione, sviluppata e posta in produzione da ambiente cloud Microsoft PaaS (Platform as a Service), secondo quanto precisato dalla Società in sede di accertamenti ispettivi, espliciterebbe i propri servizi su dati “organizzat[i] in un unico database”, con conseguente conservazione sia dei dati degli utenti fruitori dei servizi che dei defunti nel medesimo database. Con riferimento alla segregazione dei dati, riguardo alle diverse categorie di interessati (defunti titolari di contratti di concessione, soggetti che abbiano proceduto a rivendicare il profilo di un defunto ecc.) che al profilo territoriale (Comuni), la Società ha dichiarato, con nota del XX, che “al fine di rendere l’infrastruttura scalabile all’aumentare dei comuni convenzionati, sul database dei defunti [è stato deciso di] di implementare un isolamento logico dei dati in base al comune/ente fornitore dei dati. Quindi dati afferenti a comuni/enti diversi sono fisicamente residenti sullo stesso database, ma sono logicamente separati utilizzando un approccio basato su Colonna di Discriminazione”. Ciò risulta peraltro confermato dall’analisi dello schema relazionale del database di produzione, trasmesso dalla Società a scioglimento delle riserve di cui al verbale delle operazioni compiute del giorno XX.

La scelta progettuale di aver organizzato e conservato i dati personali di soggetti viventi – quali gli utenti dell’Applicazione, i soggetti titolari di contratti di concessione, gli utenti che abbiano proceduto al riscatto del profilo di un defunto o dei c.d. aldilapper – unitamente a quelli degli utenti deceduti, non risulta adeguata ai diversi profili di rischio e di requisiti di sicurezza del trattamento che le diverse citate categorie di soggetti e di dati personali trattati richiederebbero.

Inoltre, la scelta stessa di procedere alla segregazione dei dati personali di soggetti, defunti e viventi, riferibili a diverse strutture cimiteriali attraverso un approccio basato su una “colonna di discriminazione”, conservando cioè i dati stessi nel medesimo database e sotto il medesimo schema, risulta eccessivamente fragile. Ciò comporta, difatti, una maggiore esposizione a rischi di rottura dell’isolamento dei dati, anche in caso di errori o bug nello sviluppo del software applicativo. Approcci di segregazione fisica – i.e. dati personali distinti conservati su server fisicamente distinti, eventualmente attestati su sotto-reti diverse – o di segregazione logica su database distinti rappresentano viceversa soluzioni in grado, da un lato, di abilitare una più granulare declinazione delle misure di sicurezza in relazione ai diversi profili di rischio per le distinte categorie di dati e, dall’altro, una maggiore resilienza ad errori che possano inavvertitamente portare alla lesione dei requisiti di riservatezza dei dati personali.

Sul punto, la Società ha rappresentato nella propria memoria difensiva che “tale intervento era già in programma prima dell'ispezione”, evidenziando che “tale operazione […] richiede una riprogettazione radicale del database e deve essere eseguita con la massima cautela per non causare alcuna interruzione del servizio”, e che, pertanto, sono state avviate “le procedure per affidare la commessa a una società esterna altamente specializzata in migrazioni di database complesse […]”.

Sotto diverso ma connesso profilo, deve inoltre evidenziarsi che in Applicazione non sono adottate misure volte ad effettuare una verifica dell’età degli utenti, sia ai fini della registrazione in Applicazione che per poter divenire amministratori di un profilo. Infatti, “il sistema non blocca in automatico eventuali richieste di rivendicazione avanzate da soggetti minorenni o minori di anni 14”, anche in caso di richiesta avanzata da parte di un soggetto che dichiari effettivamente un’età inferiore ai 18 anni, in quanto “vengono effettuati controlli di coerenza sui dati inseriti e quelli riportati sul documento di identità caricato durante il processo di rivendicazione, ma tale controllo non è bloccante in ordine alla finalizzazione del processo stesso […e pertanto] Il sistema non solleva eccezioni rispetto al fatto che il soggetto richiedente risulta minorenne” (cfr. verbale di ispezione del XX).  Con riferimento a tali verifiche, la Società ha dichiarato che “per rafforzare ulteriormente i controlli, è in fase di implementazione una procedura di verifica tramite SMS che richiederà l'autorizzazione esplicita per la registrazione di utenti minori” (cfr. nota del XX).

Si osserva infine che non sono state implementate misure idonee alla conservazione dei dati personali per il tempo strettamente necessario per le finalità perseguite. Ciò, in particolare, per quanto concerne i dati personali conferiti dall’utente che intenda amministrare un profilo digitale di un defunto. In corso d’ispezione è stato infatti rilevato che anche nel caso in cui l’utente amministratore chieda la cancellazione della rivendicazione del profilo amministrato, i dati personali inseriti in fase di rivendicazione, incluso il documento di identità, vengono comunque conservati. Infatti, è stato accertato che, rivendicando nuovamente il profilo, l’iniziale amministratore “ritrova già caricate le foto del documento di identità, […] conservate anche a seguito della cancellazione della rivendicazione”, posto che “La foto del documento d’identità viene cancellata automaticamente decorsi 6 mesi dal conferimento, indipendentemente dalla volontà dell’utente e dal fatto che la rivendicazione sia ancora attiva o meno. […mentre] L’anagrafica completa, la data di nascita e l’indirizzo di residenza sono invece conservati e cancellati entro 24 ore dalla chiusura dell’account”. (cfr. verbale del XX, pp. XX).

Ciò posto, i trattamenti effettuati nel contesto in esame richiedono l’adozione di elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali degli interessati, anche tenendo conto delle finalità dei trattamenti, nonché della natura ed elevata quantità dei dati personali trattati. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.

Al riguardo, si ribadisce che, sebbene nella cornice normativa del Regolamento rimanga in capo al titolare del trattamento la responsabilità dell’attuazione delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2 e 24 del Regolamento; cfr. le citate Linee Guida 7/2020, in particolare, punto 41), l’art. 32 del Regolamento prevede, altresì, taluni obblighi direttamente a carico dello stesso responsabile. Spetta dunque anche a quest’ultimo, in ragione dell’esperienza e delle competenze nello specifico settore in cui opera, adottare misure tecniche ed organizzative adeguate.
Per tali ragioni, nell’ambito delle accertate circostanze di intervento da parte della Società sui predetti applicativi, deve concludersi che le misure tecniche e organizzative implementate non siano adeguate in relazione agli specifici rischi del trattamento, in violazione degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.  

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Società, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, per aver effettuato il trattamento di dati personali in violazione degli artt. 28, parr. 3 e 4, e 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che, come illustrato nei precedenti paragrafi 4.2.1. e 4.2.2., nonostante gli interventi apportati in corso d’istruttoria dalla Società non sono state, in alcuni casi, sanate le criticità rilevate e, in altri casi, non è stata comprovata l’ultimazione delle misure tecniche e organizzative prospettate, si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere alla Società di adottare misure idonee a:

- completare il processo di separazione dei servizi – istituzionali e non - offerti in Applicazione e in Dashboard, al fine di:

a) consentire ai Comuni di effettuare esclusivamente trattamenti di dati personali sorretti da idonea base giuridica, quali la rilevazione delle sepolture e della loro collocazione fisica all’interno del cimitero, la gestione delle concessioni cimiteriali e dell’illuminazione votiva nonché il servizio all’utenza di ricerca dell’ubicazione delle sepolture in Applicazione, senza richiedere agli utenti la registrazione di un account;

b) subordinare l’erogazione dei servizi non istituzionali, di natura “social” o commerciale, a una libera scelta degli utenti, basandoli su dati personali da questi ultimi forniti e non attinti dai database comunali, anche con riguardo ai dati dei defunti al fine di richiedere l’apertura di un profilo digitale commemorativo, anche riferito a soggetti sepolti in cimiteri di Comuni non aderenti al servizio, e sempre garantendo il rispetto dei principi in materia di protezione dei dati personali;

- provvedere alla conseguente cancellazione degli attuali profili digitali dei defunti, aperti di default sulla base dei database comunali, inclusi gli account degli utenti e le relative interazioni e rivendicazioni effettuate in Applicazione;

- provvedere alla cancellazione di tutti i dati personali e informazioni associate ai profili rivendicati, concernenti Comuni non più aderenti;

- completare il processo di revisione degli accordi sul trattamento dei dati personali, stipulati con i Comuni e/o i gestori dei servizi cimiteriali ai sensi dell’art. 28 del Regolamento, comprensivi dei dati personali dei concessionari;

- completare il processo di assegnazione, con riferimento alla Dashboard, delle “credenziali di accesso nominative e univoche a ogni operatore autorizzato”;

- implementare idonei meccanismi di logout automatico anche in Applicazione;

- completare le procedure di verifica dell’età degli utenti dell’Applicazione.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, la Società dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, si ravvisano due condotte distinte (quali, da un lato, l’inidonea regolamentazione dei rapporti tra i soggetti coinvolti nel trattamento ai sensi dell’art. 28 del Regolamento e, dall’altro, l’adozione di misure tecniche e organizzative non adeguate in relazione ai trattamenti effettuati in Applicazione e nella Piattaforma Software) imputabili alla Società, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

Per la determinazione del massimo edittale delle predette sanzioni pecuniarie, in accordo con i precedenti provvedimenti adottati dall’Autorità, occorre fare riferimento al fatturato di Stup 1 S.r.l. SB che risulta pari a euro 304.834.

7.1. La condotta di cui al paragrafo 4.2.1 del presente provvedimento.

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 4.2.1. del presente provvedimento ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie la violazione accertata – art. 28 del Regolamento – è soggetta alla sanzione amministrativa prevista dall’83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000 o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che, come ricavato dall’ultimo bilancio d’esercizio disponibile (XX) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo della Società nel XX è pari a euro 304.834, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura, alla gravità e durata della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che gli accordi sottoscritti con i Comuni coinvolti nell’istruttoria, tramite i relativi gestori cimiteriali, recavano elementi non completi rispetto all’oggetto e alla natura del trattamento, alle finalità, alla tipologia di dati personali e alle categorie di interessati (es. concessionari, familiari ed eredi, etc.), nonché agli obblighi e diritti del titolare del trattamento. Da tale regolamentazione parziale è derivata, altresì, l’incertezza in ordine all’inquadramento dei ruoli di titolare e responsabile.  

Deve, inoltre, considerarsi:

- che, allo stato, non risultano pervenuti reclami da parte di interessati (art. 83 par. 2, lett. a) del Regolamento);

- che i trattamenti in questione non sono relativi a categorie particolari di dati né a dati giudiziari (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole alla Società, che non risultano precedenti violazioni pertinenti commesse dalla Società (art. 83, par. 2, lett. e), del Regolamento) nonché il grado di cooperazione manifestato dalla stessa con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto, in particolare, che quest’ultima ha provveduto ad avviare il processo di revisione degli accordi sottoscritti ai sensi dell’art. 28 del Regolamento con i clienti istituzionali (art. 83, par. 2, lett. f) del Regolamento). In merito al contesto di riferimento occorre rilevare, in senso favorevole alla Società, il fatto che in relazione ai due Comuni coinvolti nell’istruttoria, sono pervenute, secondo quanto dichiarato dalla Società con le citate note del XX “1 richiesta di oscuramento riguardante 4 defunti”, per i cimiteri di Velletri e “nessuna richiesta pervenuta ai sensi dell’art. 2 terdecies del codice […né] richiest[e] di oscuramento” in relazione ai cimiteri di Ancona e che risultano già rivendicati numerosi profili nel limitato arco temporale di operatività dell’Applicazione  (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00) per la violazione dell’art. 28, parr. 3 e 4, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, con particolare riferimento al numero dei clienti istituzionali della Società e al numero degli interessati coinvolti.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

7.2. La condotta di cui al paragrafo 4.2.2. del presente provvedimento

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 4.2.2. del presente provvedimento, ha, invece, avuto luogo in conseguenza di un’ulteriore unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie la violazione accertata – art. 32 del Regolamento – è soggetta alla sanzione amministrativa prevista dall’83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che, come ricavato dall’ultimo bilancio d’esercizio disponibile (XX) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo della Società nel XX è pari a euro 304.834, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che la stessa ha riguardato un numero elevato di diverse tipologie di interessati nonché la prolungata durata della stessa, atteso che il “primo rilascio dell’Applicazione […è avvenuto a] XX” (cfr. verbale del XX, p. XX).

Deve, inoltre, considerarsi:

- allo stato, non sono pervenuti reclami da parte di interessati (art. 83 par. 2, lett. a) del Regolamento);

- che i trattamenti in questione non sono relativi a categorie particolari di dati né a dati giudiziari (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole alla Società, che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento) nonché il grado di cooperazione manifestato dalla stessa con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi tenendo conto, in particolare, che quest’ultima ha provveduto ad avviare il processo di implementazione di ulteriori misure di sicurezza (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00) per la violazione dell’art. 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, con particolare riferimento al numero dei clienti istituzionali della Società e al numero degli interessati coinvolti.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dalla STUP 1 S.r.l. SB nei termini di cui in motivazione, per la violazione degli artt. 28, parr. 3 e 4, e 32 del Regolamento;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla STUP 1 S.r.l. SB, con sede legale in Via Montenapoleone, 8, 20121, Milano (MI), C.F. 02096460676, di pagare la complessiva somma di euro 6.000,00 (seimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla STUP 1 S.r.l. SB:

- di pagare la complessiva somma di euro 6.000,00 (seimila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a:

a) completare il processo di separazione dei servizi, nei termini indicati dal paragrafo 6 del presente provvedimento, consentendo comunque la visualizzazione in Applicazione dei dati dell’ubicazione dei defunti senza richiedere la registrazione di un account da parte degli utenti;

b) provvedere alla cancellazione dei profili digitali dei defunti, aperti di default sulla base dei database comunali, inclusi gli account degli utenti e le relative interazioni e rivendicazioni effettuate in Applicazione;

c) provvedere alla cancellazione di tutti i dati personali e informazioni associate ai profili rivendicati, concernenti Comuni non più aderenti;

d) completare il processo di revisione degli accordi sul trattamento dei dati personali, stipulati con i Comuni e/o i gestori dei servizi cimiteriali ai sensi dell’art. 28 del Regolamento, comprensivi dei dati personali dei concessionari;

e) completare il processo di assegnazione, con riferimento alla Dashboard, delle “credenziali di accesso nominative e univoche a ogni operatore autorizzato”;

f) implementare idonei meccanismi di logout automatico anche in Applicazione;

g) completare le procedure di verifica dell’età degli utenti dell’Applicazione;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori