VEDI ANCHE Newsletter del 9 marzo 2026

[doc. web n. 10225225]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 75 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

In data XX è pervenuta all’Autorità una segnalazione con la quale sono state lamentate alcune presunte criticità in merito al trattamento dei dati personali connessi all’erogazione di alcuni servizi mediante l’applicazione “Aldilàpp” (di seguito l’”Applicazione” o “Piattaforma Aldilapp”).

Tale Applicazione, scaricabile gratuitamente, consente, tra l’altro, agli utenti, previa registrazione, di ricercare l’ubicazione dei defunti all’interno dei cimiteri dei Comuni aderenti al servizio, nonché di fruire di alcune funzionalità in stile "social media" (quali, in particolare, diventare amministratore del profilo digitale di un defunto, attivare notifiche push in Applicazione, seguire il profilo digitale di un defunto nonché interagire con il relativo profilo digitale mediante pubblicazione di messaggi, dediche, o accensione di un cero virtuale) e di alcuni servizi offerti da imprese locali, tra cui servizi di fornitura di fiori freschi e di pulizia della tomba (cfr. https://aldilapp.it/app/).

L’Ufficio ha conseguentemente avviato una complessa attività istruttoria nei confronti di soggetti a vario titolo coinvolti nei predetti trattamenti. A tale fine, in un primo momento, è stata avanzata una richiesta d’informazioni, tra l’altro, al Comune di Velletri (di seguito, il “Comune”), in quanto tra i maggiori Comuni i cui cimiteri sono censiti nell’Applicazione (nota del XX prot. n. XX) e coinvolgendo, nelle successive richieste d’informazioni anche la Velletri Servizi S.p.A. (di seguito, “Velletri Servizi”), società interamente partecipata dal Comune e gestore dei servizi cimiteriali locali (note del XX, del XX e del XX, rispettivamente, prot. nn. XX, XX e XX). Successivamente, l’Ufficio ha avanzato delle richieste di informazioni anche nei confronti della STUP 1 Srls – oggi STUP 1 S.r.l. SB - (di seguito “STUP”) con note del XX (prot. n. XX), del XX (prot. n. XX) e, con riferimento ai cimiteri di Velletri, del XX, (prot. n. XX), in quanto sottoscrittore dei contratti di concessione della licenza d’uso dell’Applicazione con i Comuni/gestori dei servizi cimiteriali. Alle predette richieste, la STUP ha fornito riscontro con note del XX (prot. dell’Autorità n. XX dell’XX), del XX (prot. dell’Autorità n. XX) e, con riferimento ai cimiteri di Velletri, del XX (prot. dell’Autorità n. XX del XX).

Sono stati effettuati, altresì, accertamenti di carattere ispettivo nelle giornate del XX, XX e XX presso la STUP, al fine di effettuare approfondimenti per i profili di natura tecnica, a seguito dei quali, con nota del XXX (prot. dell’Autorità n. XX) la predetta società ha trasmesso ulteriore documentazione a scioglimento delle riserve effettuate in sede d’ispezione.

Inoltre, a seguito della contestazione di violazione amministrativa effettuata nei confronti dei predetti soggetti coinvolti nell’istruttoria, sono state effettuate le audizioni dei due Comuni coinvolti in istruttoria, in data XX, perfezionatesi, per il Comune di Velletri, con la nota di riscontro del XX (prot. Autorità n. XX), nonché acquisite le memorie difensive dei vari soggetti.

2. Attività istruttoria

2.1. Il contesto di riferimento e i servizi erogati

L’Applicazione è stata sviluppata dalla società Issam Consultancy LTD (con sede a Malta, di seguito “ISSAM”), con finalità, inizialmente, di rispondere all’esigenza dei piccoli Comuni nella digitalizzazione e dematerializzazione degli archivi cimiteriali, di consentire la consultazione online dei cimiteri e, al contempo, di fornire un servizio ai cittadini nella richiesta e la messa in opera di servizi di decoro cimiteriale (cfr. verbale di ispezione del XX).

L’Applicazione, distribuita esclusivamente in Italia da parte della STUP su apposito mandato della ISSAM, viene concessa in licenza d’uso tramite un contratto stipulato con i Comuni aderenti o i relativi gestori dei servizi cimiteriali. Nello specifico, l’oggetto della licenza è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore […che dalla] relativa Piattaforma software” (cfr. atto di nomina allegato al contratto di concessione).

Tra i servizi accessori contemplati nel predetto contratto è prevista, nei casi in cui il Comune non disponga di registri cimiteriali digitalizzati o gli stessi siano incompleti o inaffidabili, un’attività di censimento in loco, consistente nella rilevazione delle sepolture e della loro collocazione fisica all’interno del cimitero, mediante la raccolta dei dati riportati sulle lapidi quali nome e cognome del defunto, data di nascita e di morte, ove presenti, nonché ubicazione della sepoltura all’interno dell’area cimiteriale (cfr. verbale del XX, p. XX, nonché nota della STUP del XX, pp. XX).  

Sul punto, la STUP ha precisato che tale attività di censimento, effettuata una tantum solo nei casi di Comuni sprovvisti di elenchi cimiteriali digitalizzati, non è giuridicamente inquadrabile nella ricostruzione dei registri cimiteriali, di cui all’art. 52 del D.P.R. 285/1990, ma è finalizzata a consentire, da un lato, al Comune di effettuare il successivo aggiornamento dei dati relativi alle sepolture (es. in caso di nuove sepolture, traslazioni) e implementazione e, dall’altro, di consentire agli utenti di rinvenire l’esatta ubicazione del defunto nel cimitero mediante la ricerca in Applicazione (cfr. verbale del XX, p. XX e del XX, p. XX).

Gli elenchi cimiteriali (risultato del censimento o dell’acquisizione dei registri comunali digitalizzati) vengono messi a disposizione dei Comuni mediante un’apposita dashboard (di seguito anche “Dashboard” o “Piattaforma Software”) utilizzata dai Comuni privi di un proprio applicativo come sistema gestionale. Inoltre, sebbene la predetta dashboard consti di “funzionalità minime rispetto ad un vero e proprio gestionale cimiteriale, […consente], comunque, [ai Comuni] di caricare documentazione quale contratti di concessione cimiteriali, documenti relativi agli eredi e relativi dati di contatto. Tali servizi sono comunque disponibili funzionalmente e attivi per i clienti” (cfr. verbale del XX, p. XX).

A tali funzionalità si aggiunge, in ogni caso, la geolocalizzazione delle sepolture, effettuata tramite “l’acquisizione delle coordinate GPS, da parte di personale e/o collaboratori della STUP1, attraverso servizi di “Google maps” (cfr. verbale del XX, p. XX).

Con riferimento, infine, alla durata del contratto di fornitura di servizi la STUP, nel riscontrare alla nota, di un altro gestore dei servizi cimiteriali, del XX in cui veniva rappresentato che “Il contratto per la fornitura dell’App, derivante dall’atto a contrarre […] di affidamento diretto emesso da parte della Società a STUP 1 S.r.l.s., risulta ad oggi decaduto, giunto a regolare scadenza in data XX”), precisava, in particolare, che “il servizio erogato ha natura giuridica “di fornitura di durata”, per cui, […] non è soggetto ad alcun termine di scadenza né di rinnovo” e che “l’interesse pubblico nell’erogazione del servizio dev’essere bilanciato con l’interesse soggettivo delle migliaia di utenti registrati, i quali hanno usufruito, ed usufruiscono quotidianamente, delle funzioni dell’App, le quali contengono manifestazioni di pensieri e di cordoglio nel ricordo dei cari defunti, meritevoli di tutela e protezione, non essendo questi ultimi suscettibili di facile misurazione economica e/o negoziale […]” (cfr. nota del XX, pp. XX). precisando altresì che “i contratti di affidamento sono contratti di durata, non aventi pertanto scadenza naturale”.

2.2. I servizi offerti in Applicazione agli utenti

I dati dei defunti inizialmente acquisiti vengono automaticamente pubblicati in Applicazione, ai fini della consultazione da parte degli utenti (“I dati inseriti dal Cliente, saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp®” attualmente pubblicata sugli App Store® di Apple e GooglePlay® di Google […]” (cfr. art. 14, par. 1 del contratto di concessione).

Anche al solo fine di poter usufruire dei servizi di consultazione e localizzazione delle sepolture offerti dall’Applicazione, gli utenti devono previamente registrarsi, mediante la creazione di apposito account. Ai fini della registrazione, attualmente, l’identificazione degli gli utenti finali avviene “tramite numero di cellulare validato con one time password (OTP). […] Successivamente alla validazione del numero di telefono con OTP, all’utente viene chiesto di completare il profilo con un nome utente ed un indirizzo email. […] L’email non viene validata e non è univoca […]” (cfr. verbale del XX, p. XX). L’utente ha inoltre la facoltà di completare il proprio profilo aggiungendo una foto, mediante caricamento dalla Galleria del proprio dispositivo mobile o con scatto istantaneo.

In tale contesto, la “presa visione dell’informativa privacy viene richiesta all’utente solo a seguito del perfezionamento della validazione del numero di cellulare mediante OTP e della finalizzazione dell’account con inserimento del nome utente e dell’indirizzo email”;” (cfr. verbale del XX, p. XX). Per quanto concerne le informazioni fornite agli utenti in merito al trattamento dei dati personali, in Applicazione sono presenti due informative: l’“A1 - Informativa sul trattamento dei dati per gli Utenti della Piattaforma “Aldilapp” e la “A2 - Informativa sul trattamento dei dati per le persone defunte presenti sulla Piattaforma “Aldilapp” […]” (cfr. in atti).

A seguito della predetta registrazione, l’utente è abilitato ad usufruire delle varie funzionalità presenti in Applicazione, quali:

1. Cercare un defunto: tale ricerca avviene mediante un modulo a partire dal Comune di sepoltura. Ciò in quanto, “tutte le attivazioni dei servizi legati al precipuo funzionamento di “Aldilapp” avvengono solo ed esclusivamente dietro richiesta dell’Ente Pubblico Comune e/o dal Gestore Cimiteriale avente l’opportuna delega da parte dell’Ente Pubblico Delegante. […]”; di conseguenza “i Comuni che non hanno attivato e/o aderito ai servizi offerti in APP non sono attualmente disponibili nell’elenco della funzione “Comune di sepoltura […]” (cfr. nota della STUP del XX, p. XX). L’utente, selezionando il Comune d’interesse, otterrà un elenco di defunti ordinati “per numero di visualizzazioni e per ordine alfabetico”. È prevista anche la ricerca di un defunto inserendo direttamente nome e/o cognome; in tale caso, “Man mano che la casella di ricerca viene compilata vengono filtrati i defunti aventi nel nome o nel cognome il testo digitato. In questo modo sarà possibile, ad esempio, cercare tutti i defunti che hanno un determinato cognome” (cfr. https://aldilapp.it/app/#cercare-defunto). Inoltre, come accertato dall’Autorità in data XX, all’avvio della consultazione nella bacheca principale, con indicata solo la “Nazione di sepoltura” (unicamente Italia), vengono indicate le “Dediche più visualizzate”, con indicazione sia della dedica che dell’utente autore della stessa. Procedendo poi alla ricerca del defunto, valorizzando i campi relativi al Comune di sepoltura, in aggiunta alle predette dediche vengono inoltre proposti all’utente i “Defunti in evidenza”, consistente in un elenco di defunti con indicato nome e cognome, età, cimitero di sepoltura ed eventuale foto;

2. Visitare il “profilo digitale” di un defunto: tale funzione consente di accedere alla scheda di un defunto, contenente, in primo luogo, nome, cognome, data di nascita e di morte, nonché l’ubicazione del luogo di sepoltura, rilevati da STUP in fase di censimento in loco. Mediante la funzione di geolocalizzazione (“Apri mappa”) l’utente può, altresì, ricevere le indicazioni per raggiungere il luogo di sepoltura mediante consultazione delle coordinate GPS su Google maps. Il profilo digitale può essere, inoltre, arricchito mediante caricamento della foto e della biografia del defunto, da parte dell’utente/degli utenti che ha/hanno rivendicato il profilo. Al riguardo, la STUP ha rappresentato, in particolare, che “le foto che si trovano nell’Applicazione non sono state acquisite da STUP1 durante l’attività di rilevazione dei dati riportati sulle sepolture, ma sono esclusivamente inserite dai familiari a seguito della rivendicazione del profilo”; analogamente, “la funzione di “Amministratore” del profilo digitale del defunto, […] consente […] la redazione di una biografia dei propri cari soggetta ad attività di monitoraggio e moderazione al fine di evitare l’utilizzo di turpiloqui […sul] profilo oggetto di consultazione da parte di altri utenti” (cfr. verbale del XX, p. XX; si veda altresì nota della STUP del XX p. XX). Nel medesimo profilo risultano altresì visibili le ulteriori attività degli utenti (caricamento di messaggi e dediche e accensione di ceri virtuali commemorativi) nonché l’elenco dei “Defunti correlati” mediante il quale all’utente che visita il relativo profilo vengono segnalati ulteriori profili di potenziale interesse.

L’Applicazione prevede inoltre una funzionalità “Condividi” che consente, ad ogni utente (anche non amministratore) di poter esportare il profilo digitale del defunto, mediante creazione di una scheda linkabile, accessibile anche da utenti non registrati all’Applicazione, in cui sono riportate, altresì, le più recenti attività di interazione (ceri virtuali, commenti più recenti, ecc.) realizzate, con indicazione dello specifico utente che le ha effettuate. Il profilo esportato è suscettibile, inoltre, di poter essere ulteriormente condiviso mediante la funzione “Condividi questo profilo sul tuo social preferito” (cfr. relazione di servizio dell’Autorità dell’XX);

3. Scrivere messaggi/dediche e accendere ceri virtuali: tale funzione consente a ciascun utente, sia nei profili rivendicati che non, di poter scrivere un pensiero per il defunto in una casella di testo a campo libero, e/o accendere un cero virtuale. Tali attività risultano automaticamente visibili a tutti gli utenti che visitano il profilo, unitamente all’indicazione dell’utente che l’ha effettuata nonché con il riferimento temporale (es. il giorno precedente, 15 giorni prima), senza possibilità di limitarne la visibilità. La STUP ha altresì precisato che “è possibile lasciare ricordi o accendere ceri anche per profili non rivendicati. La differenza riguarda la moderazione, non effettuata dall’amministratore del profilo, ma solo dalla STUP1” (cfr. verbale del XX, p. XX);

4.  Segnalare un errore o un abuso sul profilo digitale: ciascun utente può inviare alla STUP una segnalazione in merito alla presenza di contenuti offensivi o non veritieri o errori sul profilo di un defunto. Rispetto ai contenuti pubblicati è prevista, altresì, un’attività di moderazione direttamente da parte della STUP nonché anche da parte dell’amministratore di un profilo “rivendicato” (cfr. nota della STUP del XX, pp. XX);

5. Seguire un defunto: tale funzione consente all’utente, in particolare, di restare aggiornato sulle attività svolte dagli altri utenti sul profilo “seguito”. Per attivare tale funzione l’utente è tenuto a selezionare il tipo di rapporto con il defunto (i.e. “Genitore”, “Moglie/Marito, “Figlio/a”, ecc., “Amico/a”, “Collega” o “Altro”; cfr. relazione di servizio dell’Autorità dell’XX);

6. Acquistare fiori o servizi in favore di un defunto: l’utente può acquistare, altresì, dei servizi di natura commerciale di varie tipologie, da effettuare presso il luogo di sepoltura del defunto; in particolare, “Le categorie ed i prodotti di servizi pubblicati dai Fornitori sono suddivisi in sezioni predeterminate condivise con il Gestore/Ente di riferimento e gli articoli contenuti nei cataloghi sono fissi ed invariabili, segnatamente, vengono erogati solo i seguenti servizi: […] Fornitura fiori freschi […e] finti sul sito cimiteriale; […] Pulizia […e] Lucidatura della Lapide/Sito cimiteriale; […]  Altri gadget di abbellimento del sito (n.d.r. Lumini Elettrici, crocifissi ed accessori di ornamento)” (cfr. nota della STUP del XX, p. XX);

7. Diventare amministratori del profilo digitale: tale funzionalità è stata implementata sin dal primo rilascio dell’Applicazione (XX), al fine di poter “identificare i soggetti abilitati ad esercitare i diritti GDPR” (cfr. verbale del XX, p. XX) ed è stata successivamente oggetto di aggiornamenti successivi dell’Applicazione, in quanto ”attualmente, per rivendicare il profilo di un defunto è necessario “auto-certificare” attraverso una dichiarazione sostitutiva […] DPR n. 445/2000 […] il proprio grado di parentela […] a seguito del quale […l’] utente che lo ha riscattato […], in qualità di soggetto ex art. 2-terdecies D.Lgs. 196/2003 co. 1, assumerà il ruolo di “amministratore” del profilo […]. A seguito del corretto espletamento della procedura di verifica, l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente” (cfr. nota della STUP del XX, p. XX, nonché verbale del XX, p. XX).

Anche in sede di rivendicazione è richiesta l’indicazione del tipo di rapporto col defunto. Al termine delle varie fasi l’utente deve confermare la dichiarazione di riscatto del profilo mediante OTP ricevuto via SMS. Nell’ambito del processo di rivendicazione non viene fornita nuovamente l’informativa all’utente che riscatta il profilo. Tuttavia, all’avvio del processo di rivendicazione l’utente viene informato mediante apposita schermata che i suoi dati personali verranno condivisi con l’”Ente titolare dei dati” (cfr. verbale del XX, p. XX).

In sede d’ispezione, è stato accertato che l’amministratore di un profilo può caricare la fotografia e/o la biografia del defunto, inviare “istanze GDPR” (nei termini sotto indicati),  autorizzare altri co-amministratori, effettuare attività di moderazione del profilo; l’amministratore può inoltre abilitare la ricezione di notifiche push sulle attività effettuate dagli altri utenti sul profilo amministrato (es. pubblicazione di messaggi, accensione di ceri virtuali, utilizzo di servizi commerciali), comprensive dell’indicazione del loro username (cfr. verbale del XX, p. XX, verbale del XX, pp. XX, nonché nota della STUP del XX, p. XX).

Con riguardo, in particolare, alle modalità di esercizio dei diritti, ai sensi dell’art. 2-terdecies del Codice, riguardanti le persone decedute da parte di un amministratore del profilo, è stato precisato che “Grazie […] all’inserimento della procedura di verifica di conformità del grado di parentela, all’interno del profilo dell’utente sarà presente la funzione per le comunicazioni dirette da parte dei soggetti ex art. 2-terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo) verso la Stup1 la quale, ricevute le istanze, provvede ad inoltrare automaticamente queste ultime al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […]” cfr. nota del XX, pp. XX); si specifica inoltre che “mediante la stessa funzione l’utente amministratore può esercitare sia i diritti ai sensi del 2-terdecies del Codice che per sé stesso ai sensi degli artt. 15-22 del Regolamento. Una volta valorizzati i campi, la richiesta viene perfezionata […e la] Stup1 […] provvederà a trasmetterla al titolare competente (Comune o Issam). L’utente […] che non ha rivendicato alcun profilo può esercitare, […] i diritti di cui agli artt.15-22 del Regolamento attivando un contatto diretto con la società (cfr. verbale del XX, pp. XX).

Con riferimento ai sopra menzionati servizi, si evidenzia che, in corso d’istruttoria, è emerso che il contratto stipulato con i clienti istituzionali comprende “l’intero pacchetto dei servizi forniti dall’applicazione Aldilapp […]”. Infatti, solo a seguito della richiesta del Comune di Velletri - tramite il proprio gestore - datata XX, di limitare i servizi forniti “a quelli strettamente collegati alla gestione e all’aggiornamento dell’anagrafica cimiteriale” la STUP ha dichiarato di aver “dato corso alle attività di sviluppo di questa opzione di erogazione del servizio” escludendo le funzionalità relative alla gestione dei profili dei defunti e delle interazioni degli utenti (cfr. verbale del XX, p. XX).

2.3. I servizi offerti in Dashboard ai Comuni

Sulla Piattaforma Software sono a disposizione dei Comuni:

- le pagine del/dei singoli cimiteri, visibili dal Comune di riferimento, nei quali sono visualizzabili la denominazione e la localizzazione del cimitero, le aree di sepoltura e le singole tombe, ciascuna di esse “cliccabile e […contenente] i dati dell’occupante e dello stato della lampada votiva”, ai fini della “gestione e della fatturazione dei servizi di illuminazione votiva”;

- le schede relative ai defunti, contenenti i dati anagrafici del defunto, incluse le date di nascita e di morte e in cui è “altresì visualizzabile una sezione […] denominata “profilo defunto” ove, in caso di rivendicazione, sono presenti la foto o la biografia del defunto stesso”;

- nel “menù “contratti” relativo ai contratti di concessione”, ove inseriti dal Comune, sono presenti “i dati personali […] delle persone fisiche titolari di contratti di concessione (soggetti passivi dei canoni di concessione)” e la scadenza della concessione; nella relativa scheda “è possibile caricare documenti relativi al contratto di concessione”;

- “i dati personali delle persone fisiche che hanno riscattato il profilo di un defunto” comprensivi dei dati anagrafici degli stessi, della data di rivendicazione del profilo del defunto e del grado di parentela/legame con il defunto stesso nonché, per le rivendicazioni effettuate “successivamente al mese di XX, la documentazione conferita (dichiarazione sostitutiva, foto fronte e retro del documento di identità)” dai richiedenti, consultabili dagli operatori comunali nella sezione “rivendicazioni” della Dashboard. A decorrere dalla predetta data, le nuove rivendicazioni sono notificate “al Comune […] con trasmissione della relativa documentazione […] con la finalità di verifica della correttezza dei dati dichiarati dai soggetti legittimati”. L’istruttoria ha, tuttavia, rilevato che le mail di notifica della richiesta di rivendicazione dei profili sono state inviate da STUP “all’indirizzo email assegnato al Comune quale username di accesso alla dashboard […]”. Tale casella di posta elettronica non era tuttavia consultabile dagli stessi “in quanto non gli […erano state] fornite le relative credenziali di accesso […]” (cfr. verbale del XX, pp. XX e XX; nota della STUP del XX, pp. XX nonché p. XX).

2.4. I ruoli soggettivi nel trattamento dei dati personali

Con riferimento ai ruoli soggettivi, la STUP ha precisato che “Il trattamento relativo ai dati dei defunti vede i Comuni agire in qualità di Titolari del trattamento. I Comuni e/o gli enti affidatari dei servizi di gestione cimiteriale pongono in essere trattamenti relativi all’anagrafe cimiteriale che […] coinvolgono Stup1 S.r.l. […] in qualità di responsabile del trattamento. In questo caso, il titolare del trattamento comunica i dati di cui sopra alla Stup1 che, in proprio, o tramite la messa a disposizione di una dashboard dedicata sull’applicazione “Aldilapp”, di proprietà della Issam Consultancy ltd, […] e che la stessa Stup1 distribuisce in Italia, verranno inseriti nell’applicazione stessa” (cfr. nota della STUP del XX, pp. XX).

Sia la STUP che la ISSAM sono state designate responsabili del trattamento ai sensi dell’art. 28 del Regolamento, unicamente per il trattamento dei dati del defunto e con riguardo alle attività di “Manutenzione dell’applicazione”, “Gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione […] “Aldilapp®” […]” e “Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app” (cfr. “Nomina resp. ISSAM” e “Nomina resp. STUP 1 srls” in atti).

La STUP è stata designata, altresì, come responsabile del trattamento per il “Censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento” (cfr. “Nomina resp. STUP 1 srls” in atti).

In caso di riscatto di un profilo, la STUP trasmette al “Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […] copia dell’autocertificazione rilasciata da parte dell’utente” nonché le richieste trasmesse “ex art. 2terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo)” tramite la piattaforma” (cfr. nota della STUP del XX, pp.XX, nonché verbale del XX, p. XX). Il Comune “tramite dashboard o tramite proprio gestionale, provvede a rimuovere la visibilità del defunto dall’Applicazione. In caso di inerzia del Comune, STUP1 procede all’oscuramento in autonomia in via cautelativa previa comunicazione al Comune stesso. La decisione finale dell’oscuramento rimane del Comune che è il titolare del trattamento dei dati resi disponibili ai cittadini tramite l’Applicazione. La richiesta di oscuramento può anche essere sottomessa dai cittadini tramite istanza rivolta direttamente al Comune […]” (cfr. verbale del XX, p. XX). I Comuni interessati dall’istruttoria in esame, hanno precisato che, allo stato, nessuna istanza di esercizio dei diritti è stata trasmessa dalla STUP agli stessi o al relativo gestore dei servizi cimiteriali (note del Comune di Velletri del XX, p.XX, e della Velletri Servizi del XX, p. XX).

La STUP ha dichiarato che la ISSAM, agisce in qualità di titolare del trattamento “dei dati personali degli utenti dell’applicazione Aldilapp […] e dei cosiddetti “Aldilapper” […] ovvero dei fornitori di servizi (ad esempio dei fiorai e/o manutentori) […]” (cfr. nota della STUP del XX, p. XX). Pertanto, la STUP è designata da ISSAM responsabile del trattamento ai sensi dell’art. 28 del Regolamento, per il trattamento di dati personali concernenti: “Anagrafiche degli utenti della piattaforma Aldilapp; Anagrafiche dei defunti presenti sulla piattaforma Aldilapp per i soli profili rivendicati; Anagrafiche degli “Aldilapper” della piattaforma Aldilapp” (cfr. “All. 1 Nomina responsabile Stup1- Società Benefit”, al verbale del XX) mentre la ISSAM, fornitrice della piattaforma “Aldilapp”, si occupa della “intera gestione tecnica dei database […]” (cfr. nota della STUP del XX, p. XX).

2.5. Il rapporto tra il Comune di Velletri e il gestore del servizio cimiteriale

A fronte delle richieste di informazioni avanzate dall’Autorità con le citate note del XX, del XX, del XX e del XX in merito ai cimiteri di Velletri, sia il Comune che la Velletri Servizi hanno fornito i propri chiarimenti in merito ai profili di seguito evidenziati. I predetti riscontri sono stati forniti da parte del Comune con note del XX (prot. n. XX), del  (prot.), del XX (prot. XX), del XX, (prot. n. XX), cui si rinvia integralmente, e dalla Velletri Servizi, con note del XX (prot. dell’Autorità n. XX del XX), del XX (prot. dell’Autorità n. XX del XX), e del XX (prot. n. XX), cui si rinvia integralmente.  

Per quanto concerne la gestione dei servizi cimiteriali, il Comune di Velletri ha dichiarato, in particolare, che “il servizio per la gestione del civico cimitero è stato affidato con apposito contratto e disciplinare a società interamente partecipata dal Comune, Società Velletri Servizi S.p.a. […] quale responsabile esterno al trattamento dei dati personali afferenti in servizio affidato “in house”, ai fini dello svolgimento delle “operazioni relative alla sepoltura, nonché tutte le operazioni successive alla prima sepoltura dei defunti all'interno del Civico Cimitero […]” (nota del Comune del XX; vd. anche “XX”, allegata alla nota del XX, pp. XX, nonché nota del XX, pp. XX).

Al riguardo, la Velletri Servizi è stata “nominata Responsabile esterno al trattamento, ai sensi dell'art. 28 del Regolamento, con apposito atto […], in relazione alle attività di cui all’art. 4 del contratto […di servizio]”, concernenti, in particolare, la “Gestion[e] delle concessioni […] Servizi necroscopici (anagrafe mortuaria, […] Altri servizi a supporto delle attività cimiteriali (servizio di custodia e vigilanza, servizio di comunicazione e informazione all’utenza, […] Servizio di censimento di tutti i loculi esistenti con digitalizzazione e dematerializzazione delle concessioni cartacee presenti” Nel predetto accordo sottoscritto ai sensi dell’art. 28 del Regolamento è indicato, in particolare, che “in esecuzione del contratto di servizi il fornitore eseguirà le operazioni di trattamento sulla seguente tipologia di dati personali […]: a) dati anagrafici intestatario […]; dati di contatto (telefono; e-mail); c) dati di pagamento e fatturazione […] riferiti alle seguenti categorie di interessati: a) utenti” (punto 3.1. Accordo); e che “Il responsabile […] tratterà i dati personali […] esclusivamente per le finalità inerenti all’esecuzione del contratto di servizi […]. In nessun caso il responsabile del trattamento potrà utilizzare i dati per altre finalità” (punto XX Accordo, cfr. allegato XX, pagg. XX e ss. alla nota del Comune di Velletri del XX).

A sua volta la Velletri Servizi, con la Determina n. XX del XX, nell’ambito delle attività affidate dal Comune con il Disciplinare del XX, prot. n. XX e del “progetto XX [che] ha posto come obiettivo l’implementazione ed efficientamento dei servizi ai cittadini tramite digitalizzazione […tra cui] il Civico Cimitero” ha determinato l’affidamento dell’attività alla società STUP “mediante l’utilizzo di un software […per] la completa digitalizzazione degli archivi cartacei […] e la geolocalizzazione del defunto a beneficio dei visitatori” (cfr. allegato X pagg. XX e ss. alla nota del Comune di Velletri del XX).

In particolare, nel “Contratto di concessione di licenza d’uso “ALDILAPP”, tra i servizi inclusi nel preventivo sottoscritto dalla Velletri Servizi S.p.a. rientrano i seguenti: ““Account software Aldilapp”: Ricerca defunti (dati anagrafici e posizione di sepoltura), Profilo digitale del defunto, Servizio “Fidelio” – invio fiori e servizi di cura delle tombe – (l’amministrazione comunale è esonerata dalla gestione delle convenzioni con le attività commerciali), Mappatura e geolocalizzazione cimitero” nonché “Gestionale web-based per la gestione amministrativa delle concessioni” (cfr. Contratto concessione licenza d’uso ALDILAPP”, e “preventivo n. XX del XX”, p. XX e ss., allegato XX alla nota del Comune del XX).

Nell’accordo tra la Velletri Servizi e la STUP che disciplina, ai sensi dell’art. 28 del Regolamento, il trattamento dei dati personali da quest’ultima effettuati per conto del soggetto istituzionale sono indicati, in particolare, i seguenti trattamenti: manutenzione dell’applicazione; gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp” […] in ottemperanza a quanto previsto dall’art. 2-terdecies – d.lgs 196/2003 […] censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento” (cfr. allegato X, pagg. XX e ss. alla nota del Comune di Velletri del XX).

Sul punto, la Velletri Servizi ha chiarito, in particolare, che “i servizi erogati agli utenti che si registrano nell’applicazione Aldilapp, sono la ricerca defunti, il profilo digitale del defunto e servizio fidelio. Le ulteriori attività oggetto del contratto stipulato tra Velletri Servizi e Stup 1 srl SB non prevedono la divulgazione dei dati a terzi. La modalità del trattamento dati “social” esclude qualsiasi tipo di esorbitanza rispetto agli scopi per i quali l’applicazione è stata adottata […]” (cfr. nota del XX, p. XX).

In merito all’incarico conferito alla STUP, la Velletri Servizi ha rappresentato di aver informato “con comunicazione pec del XX […] il Comune di Velletri dell’avvenuta stipula del contratto con la società STUP1 srl, adempiendo quindi all’aggiornamento dell’elenco dei sub-responsabili secondo quanto previsto nell’accordo del XX” (cfr. nota del XX, pp. XX); al riguardo, il Comune ha chiarito di essere stato notiziato da Velletri Servizi della stipula di un contratto di fornitura per l'applicativo “Aldilapp” con la STUP in data XX, cioè pochi giorni dopo la sottoscrizione del contratto stesso, e di avere, invece, acquisito solo in data XX (a seguito dell’avvio dell’istruttoria da parte dell’Autorità) la restante documentazione, e segnatamente la “determinazione di affidamento del servizio di digitalizzazione del civico cimitero”, l’”atto di stipula dell'accordo negoziale tramite Mepa”, la “sottoscrizione del contratto con la società STUP 1 srl” e la “nomina in favore della stessa di responsabile esterno al trattamento dei dati”(nota del Comune del XX, p. XX).

Ciò posto, la Velletri Servizi ha rappresentato che, con comunicazione del XX  “in accordo con il Comune di Velletri, la […Velletri Servizi], in via meramente precauzionale, ha richiesto alla STUP 1 s.r.l. SB di sospendere temporaneamente tutti i servizi forniti attraverso l’applicazione ad esclusione della consultazione del registro defunti” (nota del XX, p. XX); il Comune, a sua volta, ha dichiarato che “è stata inviata […dalla Velletri Servizi] richiesta […] alla STUP 1 s.r.l. di sospensione temporanea dei servizi c.d. “social” dell'applicativo “Aldilapp” […] al fine di verificare compiutamente la rispondenza dei servizi alla normativa vigente, in ottemperanza al dovere di controllo e vigilanza del Titolare al trattamento dati” (nota del Comune del XX, p. XX,  nonché “XX”, allegata alla nota del Comune del XX, p.XX). Tuttavia, avendo “appreso che il servizio al XX risulta[va] attivo”, il Comune ha successivamente rappresentato di aver richiesto “la sospensione completa dell'utilizzo dell'applicativo Aldilapp, [nonché] la revoca di tutti i dati trasferiti dalla Velletri Servizi S.p.A. alla Stup s.r.l.”, richiedendo alla Velletri Servizi “di porre in essere ogni azione necessaria alla corretta gestione dei dati […], in esecuzione del contratto sottoscritto con il Comune di Velletri e in ottemperanza alla nomina a responsabile esterno effettuata” (Allegato n. 1 alla nota del Comune di Velletri del XX).

Al riguardo, la Velletri Servizi, ha precisato che la stessa avendo appreso “con nota del […Garante] del XX che la richiesta di sospensione dei servizi di messaggistica e di acquisti tramite l’APP con mantenimento della sola funzione di ricerca dei defunti formulata alla Stup 1 srl SB in data XX, malgrado le comunicazioni intercorse in data XX […] -XX […] - XX […] è rimasta inspiegabilmente inevasa, ha risolto il contratto in essere con la società con espressa intimazione di immediata sospensione dell’intero servizio, contestuale inibizione agli utenti a qualsiasi tipo di dato inerente il cimitero di Velletri e restituzione di tutti i dati trattati in qualità di sub responsabili” (nota Velletri Servizi del XX, p. XX).

Veniva pertanto inviata apposita comunicazione alla STUP in data XX, chiedendo “il recesso dal contratto […] sottoscritto il XX intimando la contestuale sospensione dell’utilizzo dell’applicativo denominato ALDILAPP ad esso collegato in modo che risulti inibito ogni utilizzo riferito al cimitero del Comune di Velletri”, richiedendo altresì “la restituzione dei dati [...] prodotti e/o acquisiti nell’esecuzione del contratto [...] così come indicato nell’accordo sottoscritto ex art 28 del GDPR” (Allegato 2 alla nota del XX del Comune di Velletri).

Con riferimento alla base giuridica dei trattamenti di dati personali effettuati tramite l’Applicazione, il Comune ha dichiarato, in particolare, che “Per quanto concerne l’informatizzazione della banca dati afferente i dati dei soggetti tumulati all'interno del Civico Cimitero, ossia la gestione della c.d. anagrafe mortuaria, la stessa rappresenta un servizio pubblico essenziale e un'attività svolta nell'ambito dell'esercizio dei pubblici poteri attribuiti alla scrivente amministrazione. Tale attività, compresa la digitalizzazione e dematerializzazione, è svolta in ottemperanza a quanto stabilito dall’AgID, […] nell’ottica di efficienza ed efficacia della pubblica Amministrazione” (cfr., in particolare, nota del XX pp. XX, nonché del XX, pp. XX), mentre la Velletri Servizi ha precisato che “la base giuridica del trattamento dei dati personali effettuato per l’erogazione dei servizi tramite l’applicazione è quella riscontrabile nella funzione di pubblico interesse collegata alla fruizione del registro cimiteriale, senza il vincolo della presenza fisica presso gli uffici per la sua consultazione e per consentire a chi vuole onorare la memoria dei defunti di poterlo fare senza doversi necessariamente recare presso il luogo di sepoltura” (cfr. nota del XX, p. XX).

Con riguardo alle modalità di “digitalizzazione” e al “nuovo censimento delle tombe geolocalizzandone la posizione esatta”, nonché alle tipologie di dati dell’anagrafe forniti alla STUP, ai fini dello svolgimento dei servizi assegnati a quest’ultima, è stato precisato, in particolare, che “tale categoria di servizi è quella indicata nella sezione del contratto [tra la Stup 1 Srls e la Velletri Servizi S.p.a.] alle premesse al successivo art. 3.4 punto iv, riguardante i “Servizi Accessori Complementari” [nello specifico, Servizi Digitalizzazione Aree Cimiteriali] i quali consistono […] (esclusivamente attraverso sistemi informativi interni legati e correlati alla piattaforma ed all’APP) in una rilevazione materiale della posizione della lapide all’interno del sito cimiteriale rispetto al numero del lotto, nome, cognome, data di nascita e di decesso, dati corrispondenti a quelli già presenti nel registro di cui agli artt. 52 e 53 del D.P.R. 285/90” e che “Qualora non fossero presenti detti dati nel registro in argomento, il servizio di “geolocalizzazione” ha il precipuo scopo di fornire gli stessi all’Ente sì da costituire il proprio “registro”, essendo l’Ente l’unico soggetto deputato alla consultazione della Dashboard di Aldilapp” (cfr. Allegato 4, pp. XX-XXalla nota del Comune del XX). Sul punto, la Velletri Servizi ha specificato, in particolare, che “in nessuna fase del rapporto intercorrente con la STUP 1 s.r.l. SB […sono] state fornite ulteriori tipologie di dati dell’anagrafe cimiteriale” (cfr. nota del XX, p. XX).

Rispetto alle modalità di gestione delle istanze per l’esercizio dei diritti riguardanti le persone decedute (art.15-22 del Regolamento e art. 2-terdecies del Codice, il Comune ha rappresentato che “a seguito del ricevimento delle istanze da parte dei soggetti legittimati all’esercizio dei diritti ivi correlati, [le stesse] saranno gestite dal “responsabile del trattamento” nominato [STUP] il quale, ricevute le richieste all’indirizzo di riferimento indicato nell’informativa e nell’atto di nomina procederà entro 15gg […] all’esame ed alla seguente evasione di dette richieste che ricomprenderanno tutte le facoltà indicate all’art. 2-terdecies del d.lgs. n. 196/2003 e smi e ne informerà puntualmente il titolare del trattamento” (Allegato XX, pagg. XXalla nota del Comune del XX). Per quanto concerne la “richiesta di oscuramento riguardante 4 defunti (ricevuta per mezzo email ordinaria il XX)” pervenuta per il cimitero di Velletri, il Comune ha dichiarato di “non [essere] stato coinvolto”, di non aver “mai avuto accesso alla piattaforma” né di aver “mai ricevuto, né dalla Velletri Servizi S.p.A., né dalla società Stup 1 s.r.l., alcuna autocertificazione ai fini della verifica del grado di parentela dei soggetti che procedevano all'attivazione del profilo nell'applicazione “Aldilapp” [...] verifica avrebbe potuto (e dovuto) essere eseguita dalla medesima società nell'ambito dei controlli che la stessa deve eseguire in ottemperanza della nomina a responsabile esterno fatta in suo favore dalla Velletri Servizi s.p.a. […]” (cfr. “XX”, datata XX, allegata alla nota del Comune del XX, nonché nota del Comune del XX, p. XX).

Al riguardo, la Velletri Servizi ha dichiarato di non aver “ricevuto alcuna comunicazione formale e ufficiale relativa alla richiesta di oscuramento dei dati personali riferiti a quattro soggetti deceduti, istanza che, secondo quanto riferito dalla società STUP1 […] sarebbe stata trasmessa via posta elettronica ordinaria alla medesima STUP1. Sul punto, si evidenzia che alla data del XX l’applicazione “AldilApp” risultava ancora in fase sperimentale […] A tale situazione si aggiunga che, in quella fase iniziale, non risultavano ancora consolidati i flussi comunicativi e gestionali tra gli attori coinvolti, né erano stati definiti in modo univoco i canali ufficiali attraverso i quali trasmettere o ricevere richieste di esercizio dei diritti da parte degli interessati o loro aventi causa”(cfr. nota del XX, p. XX).

Per quanto concerne, invece, gli aggiornamenti effettuati rispetto alla procedura di rivendicazione, nella comunicazione trasmessa alla STUP in data XX (prot. n.  XX), inserendo in copia l’Autorità, la Velletri Servizi ha rappresentato che “con riferimento alla “grande rivisitazione” della funzionalità relativa al riscatto del profilo del defunto, attuata nella versione 8.3 dell’App […]. detta funzionalità – implicante l’acquisizione di autocertificazioni circa il rapporto di parentela e, più in generale, un coinvolgimento del Comune di Velletri e della Velletri Servizi S.p.A. in un trattamento di dati personali ultroneo rispetto a quello affidato – non è stata mai neppure comunicata, men che meno autorizzata, tanto da […Velletri Servizi], quanto dal Titolare del trattamento”. La medesima società ha altresì chiarito che “Per quanto riguarda l’evoluzione della piattaforma software, in particolare della Dashboard integrata, si precisa che Velletri Servizi S.p.A. ha appreso dell’aggiornamento tecnico introdotto a partire dal XX solo in seguito al ricevimento della nota trasmessa dal Garante del XX. Relativamente all’accesso alla Dashboard, in seguito a richiesta espressa nell’ambito dell’Ufficio è emerso come le credenziali non risultino trasmesse alla Velletri Servizi” (cfr. nota Velletri Servizi del XX, p. XX).

3. La contestazione effettuata dall’Autorità

Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ha notificato, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

- in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, par. 1, lett. a), del Regolamento;

- in assenza di un idoneo presupposto normativo, in violazione dell’art. 6 del Regolamento, nonché dell’art. 2-ter del Codice;

- in assenza di un’adeguata informativa sul trattamento dei dati personali, in violazione degli artt. 12 e 13 del Regolamento;

- omettendo di vigilare adeguatamente sui trattamenti effettuati dal proprio responsabile del trattamento, in violazione dell’art. 28, par. 1, del Regolamento.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, cui si rinvia integralmente, rappresentando, in particolare, che:

- “l’accordo con la predetta Velletri Servizi prevedeva espressamente che, al punto 8.9., che “il responsabile del trattamento è tenuto a rendere disponibili al titolare tutte le informazioni e i documenti necessari per dimostrare […] la conformità alla normativa vigente in materia di protezione dei dati personali, consentendo al titolare l’esercizio delle attività di controllo sui trattamenti dei dati personali effettuati per conto del titolare […]. Tale obbligo […] è stato completamente disatteso […]. L’ente […] è stato notiziato dalla Velletri Servizi della stipula […del contratto con la STUP] pochi giorni dopo la sottoscrizione […].La comunicazione in questione […] è stata altresì effettuata in un momento complesso per l’amministrazione, in quanto nel mese di XX si sono svolte le elezioni amministrative ” e inoltre “non cont[eneva] allegato alcun elemento utile al fine di comprendere l’attività svolta dal sub-responsabile […] in quanto fa riferimento esclusivamente “per i servizi relativi alla gestione del civico cimitero” […]. Il titolare, pertanto, non è stato posto nella condizione di poter eseguire il controllo necessario, stante la violazione palese dell’accordo ex art. 28 […] tale circostanza emerge in modo palese dal fatto oggettivo e documentale che in ogni determina prodotta dalla Velletri Servizi […] si legge esclusivamente la finalità di digitalizzazione dell’anagrafe cimiteriale […]”;  

- “Per quanto concerne la durata della violazione, il Comune, dal momento che è venuto a conoscenza degli ulteriori trattamenti svolti ha richiesto immediatamente al responsabile esterno la sospensione del servizio […]”;

- Tali circostanze “fanno emergere in maniera lampante l’assenza totale di dolo nella condotta del Comune […né della] colpa grave”;

- “L’azione intrapresa dal titolare è avvenuta dopo la prima comunicazione pervenuta dal Garante, con la richiesta di sospensione delle attività poste in essere dalla STUP […] con restituzione immediata di tutti i dati in loro possesso”;

- “L’amministrazione comunale annualmente svolge corsi di formazione obbligatoria […] per tutti i dipendenti […] Dirigenti e Autorizzati”, tra cui quella in materia di “Procedure per la gestione dei responsabili esterni”, nonché l’illustrazione delle “Linee guida per la gestione dei responsabili esterni”, ed è stata ribadita l’importanza del controllo da effettuare sui servizi affidati all’esterno”.

In sede di audizione, tenutasi in data XX (v. verbale prot. della medesima data), perfezionatasi con la citata nota del XX (prot. dell’Autorità n. XX), il Comune ha rappresentato, in particolare, che:

- “La Parte […sottolinea] la mancanza di collaborazione da parte del responsabile esterno […] Velletri Servizi, che ha omesso alcune informazioni/fornito informazioni non complete in relazione al rapporto contrattuale stipulato con la STUP […] infatti, […] la comunicazione da parte della Velletri Servizi è stata trasmessa alla Parte successivamente alla stipula del contratto con la STUP, senza indicare i trattamenti effettivamente svolti da quest’ultima, ma indicando unicamente una mera funzione di digitalizzazione del servizio pubblico essenziale concernente l’anagrafe cimiteriale (che rientra tra gli obiettivi istituzionali attribuiti al Comune). Tale comunicazione è stata, inoltre, trasmessa ad un indirizzo PEC diverso rispetto a quello pattuito contrattualmente nell’accordo di designazione ai sensi dell’art. 28 del Regolamento UE 2016/679 (di seguito “Regolamento”) tra il Comune e la Velletri Servizi (PEC del Dirigente incaricato, di cui all’art. 11.1 del contratto), a cui quest’ultima doveva inviare le comunicazioni per indicare gli eventuali sub-responsabili designati.

- “[…] alla Velletri Servizi sono affidati in gestione una pluralità di servizi comunali (non solo di natura cimiteriale, […] in un rapporto consolidato e di fiducia da oltre 15 anni, senza aver riscontrato, fino alla vicenda in esame, alcuna criticità nello svolgimento delle attività ad essa esternalizzate. In tale contesto, la comunicazione trasmessa dalla Velletri Servizi, facendo riferimento alla sola digitalizzazione dei servizi cimiteriali, non ha sollevato problematiche/eventuali dubbi da parte del Comune rispetto alla tipologia di servizi affidandi alla STUP e alla bontà delle attività effettuate dalla Velletri Servizi, anche mediante ulteriori soggetti incaricati.  

- Pertanto, nell’ambito del procedimento e nella gestione del rapporto con la STUP, la Parte ha avuto una conoscenza parziale in relazione alla totalità dei servizi alla stessa affidati;

- Preme, infine, evidenziare il periodo storico in cui è stato avviato il progetto con la STUP mediante l’applicazione “Aldilapp”, ricadendo in una fase di avvicendamento della figura del Sindaco (fine XX), che sovente si riflette a sua volta, nella vita di un ente locale, nella riorganizzazione dell’assetto amministrativo e dirigenziale. Al riguardo, si segnala che l’originaria comunicazione relativa alla contrattualizzazione della STUP era stata inviata dalla Velletri Servizi in data XX alla PEC istituzionale del Sindaco”.

4. Esito dell’attività istruttoria

4.1. La normativa applicabile in materia di protezione dei dati personali.

In via preliminare, si rappresenta che il presente provvedimento ha ad oggetto esclusivamente le criticità riscontrate in relazione ai trattamenti effettuati in Applicazione e nella Piattaforma Software, da parte dei soggetti coinvolti nella presente istruttoria, per come attualmente configurati, restando in ogni caso impregiudicata ogni eventuale successiva valutazione in relazione ad una diversa riconfigurazione degli stessi.

Ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

Per quanto concerne il concetto di interessato, il Regolamento prevede che lo stesso “non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” (cons. 27 del Regolamento).

In ambito nazionale, l’art. 2-terdecies (Diritti riguardanti le persone decedute) del Codice, prevede, tra l’altro, che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

Per quanto concerne le condizioni di liceità, il trattamento posto in essere da parte dei soggetti pubblici o gestori dei pubblici servizi è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, (art. 6, par. 1, lett. c) ed e), 2 e 3 e nonché art. 2-ter del Codice).

Il titolare del trattamento è tenuto, altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, di cui all’art. 5 del Regolamento, fra cui quello di “liceità, correttezza e trasparenza”, in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).

Con riferimento al caso di specie, la gestione dei servizi cimiteriali – in cui sono incluse, altresì, le attività di gestione e custodia dei cimiteri e dei locali annessi - rientra tra le attività istituzionali affidate agli enti locali, che non possono, pertanto, “spogliarsi” di tale finalità e compito, ma possono scegliere di affidarne la gestione a soggetti terzi disciplinando il rapporto, per gli aspetti relativi al trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento.

Ciò in quanto il titolare del trattamento, per lo svolgimento delle attività di competenza, può avvalersi di soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali e che operino sotto la sua responsabilità (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (cons. n. 81 e art. 28, parr. 1 e 3, del Regolamento).

Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” e deve adottare “tutte le misure richieste ai sensi dell’art. 32” dal titolare (art. 28, par. 3, lett. a) e c) del Regolamento); inoltre, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento).

In aggiunta, si evidenzia che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento […]” e che “Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento […] prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del […Regolamento]. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile” (art. 28, parr. 2 e 4, del Regolamento).

4.2. Le violazioni accertate

Dal quadro conoscitivo risultante dalla complessa e articolata attività istruttoria effettuata, comprensiva di tutti gli elementi acquisiti dai diversi soggetti coinvolti nell’istruttoria – anche in sede ispettiva presso la STUP nonché in occasione delle audizioni dei Comuni coinvolti - è stato accertato che il trattamento di dati personali concerne varie categorie di interessati, tra cui, in particolare, gli utenti che si registrano in Applicazione, al fine di poter usufruire dei vari servizi offerti. Tali servizi costituiscono un pacchetto ab origine unitario e inscindibile che viene complessivamente attivato dai clienti istituzionali – direttamente i Comuni o tramite i propri gestori dei servizi cimiteriali - con la sottoscrizione del contratto di concessione di licenza d’uso dell’Applicazione e della Piattaforma Software con la STUP.

L’erogazione di tali servizi implica il trattamento di dati non solo dei defunti ma, altresì, di ulteriori interessati che, in base al livello di interazione e del servizio richiesto in Applicazione, possono essere di minore o maggiore portata.

Infatti, qualora un interessato acceda alla Applicazione per usufruire unicamente del servizio – di natura propriamente istituzionale - di ricerca online della posizione dei defunti nei cimiteri del Comune di riferimento, tale servizio è comunque subordinato alla creazione di apposito account, che comporta il conferimento di una serie di dati personali (inclusi dati di contatto quali numero di cellulare ed indirizzo email), e a una procedura di autenticazione.

Pertanto, anche solo ai fini di poter usufruire del citato servizio pubblico, il cittadino viene obbligato a registrarsi e creare un account a suo nome nell’Applicazione – utilizzata come unico canale digitale di informazione sull’ubicazione dei defunti – e a fornire i propri dati personali.

In sede di istruttoria è stato accertato che il servizio di ricerca delle sepolture risulta indissolubilmente legato agli ulteriori servizi offerti in Applicazione, quali quelli di natura commerciale e social, aventi natura ultronea rispetto ai compiti istituzionalmente attribuiti ai Comuni. Ciò si evince, in primo luogo, dal fatto che, una volta individuato il defunto oggetto di ricerca, per poter accedere alle indicazioni in merito all’ubicazione della sepoltura è necessario consultare il relativo “profilo digitale del defunto” in cui risultano visibili, in modo inscindibile, non solo i dati anagrafici del defunto stesso e l’attuale ubicazione della sepoltura, bensì anche le attività di interazione effettuate dagli utenti sul predetto “profilo”.

In altre parole, la ricerca effettuata dall’utente non restituisce la sola informazione relativa all’ubicazione del defunto bensì un vero e proprio “profilo”, arricchito di numerose funzionalità. I “profili digitali” vengono, infatti, creati di default in Applicazione a seguito dell’acquisizione dell’elenco cimiteriale del Comune (risultato del censimento o dell’acquisizione dei registri comunali già digitalizzati) e resi di default immediatamente visualizzabili e abilitati a ricevere interazioni da parte degli utenti (i.e. rivendicazione del profilo, pubblicazione di messaggi di cordoglio, accensione di ceri virtuali, ecc.), con conseguente arricchimento del profilo digitale di ulteriori dati personali, relativi agli utenti e ad attività aventi natura prevalentemente “social” o di tipo commerciale da questi ultimi effettuate.  

Al riguardo, il Comitato Europeo per la Protezione dei dati (di seguito “CEPD”) intende per "social media", le “piattaforme online che consentono lo sviluppo di reti e di comunità di utenti, tra i quali vengono condivisi contenuti e informazioni […] Tra le caratteristiche principali dei social media figurano la possibilità per le persone fisiche di registrarsi al fine di creare "account" […] o "profili" per sé stesse, di interagire tra loro condividendo contenuti generati dagli utenti o altri contenuti nonché di sviluppare collegamenti e reti con altri utenti“ e che “Oltre alle piattaforme di social media "tradizionali", tra gli ulteriori esempi di social media si annoverano: […] piattaforme nel contesto delle quali gli utenti registrati possono caricare i propri video, commentare i video pubblicati da altri e creare collegamenti con tali video; oppure giochi per computer nel contesto dei quali gli utenti registrati possono […], scambiarsi informazioni o condividere le loro esperienze […]” (cfr. Linee guida 8/2020 sul targeting degli utenti di social media Versione 2.0 adottate dal CEPD il 13 aprile 2021, parr. 1 e 2).

In merito, la STUP ha evidenziato che l’Applicazione fornisce “un'esperienza utente unificata sulla piattaforma […] e la creazione di una community commemorativa virtuale” (cfr. memoria difensiva della STUP del XX, prot. dell’Autorità n. XX del XX).

Su tale ultimo aspetto, il sistema non consente agli utenti – né ai clienti istituzionali -di poter selezionare il grado di visibilità di quanto pubblicato in Applicazione. Né la creazione del profilo digitale – con tutte le abilitazioni e funzionalità annesse - deriva da una volontà espressa dall’interessato medesimo (ormai defunto) o da parte di un eventuale soggetto legittimato.

Con riguardo ai dati personali delle persone decedute, il Regolamento prevede la “clausola di salvaguardia” (considerando n. 27), riconoscendo la facoltà agli Stati membri di “prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Il riconoscimento, effettuato dal Codice, della possibilità per i soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, di esercitare i diritti in luogo delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento – fra cui, non solo il diritto di accesso, di rettifica, cancellazione dei dati, limitazione o  opposizione al trattamento, ma anche il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai “principi applicabili al trattamento di dati personali” nel rispetto delle condizioni di “liceità del trattamento”, in quanto compatibili (cfr. provv. ti n. 304 del 15 settembre 2022, doc. web n. 9810028, n. 90 del 23 marzo 2023, doc. web n. 9888188, n. 466 del 5 ottobre 2023, doc. web n. 9953563 nonché, da ultimo, provv. n. 82 del 19 febbraio 2024, doc. web n. 9996647 e i provvedimenti ivi citati).

Inoltre, per quanto concerne i servizi della società dell’informazione, i commi 2 e 3 dell’art. 2-terdecies, comma 2 del Codice presuppongono, una “conoscenza” e una forma di “controllo” preventivi da parte dell’interessato rispetto alla propria “identità digitale”, potendo lo stesso vietare l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento da parte dei soggetti di cui al primo comma del medesimo articolo mediante “dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”, frutto di una volontà “specifica, libera e informata”.

Ciò non può verificarsi nel caso di specie, posto che le informazioni relative al defunto, trattate inizialmente dai Comuni per specifiche finalità di natura istituzionale (polizia mortuaria, gestione cimiteriale ecc.), vengono successivamente utilizzate mediante la trasposizione di default in Applicazione e visualizzate dagli utenti unicamente nella forma di “profilo del defunto”, comprensivo delle funzionalità e delle informazioni ulteriori (commenti), accessibili a chiunque, senza tener conto anche dell’interesse al riserbo personale e familiare dell’interessato deceduto o delle relative famiglie.

Né il predetto trattamento può giustificarsi sulla base della circostanza che i dati personali e l’immagine del defunto sarebbero comunque esposti fisicamente in un luogo aperto al pubblico, in quanto tale esposizione, a differenza del “profilo digitale”, appare connessa a circoscritte finalità legate al ricordo, alla memoria e alla pietà per il defunto, e risultano conoscibili unicamente alle persone, anche non familiari, in visita presso il cimitero (in merito a tale principio, si veda il provv. del 19 dicembre 2002, doc. web n. 1067167, relativo alla diffusione su una testata giornalistica dei dati personali di minori vittime di una calamità naturale, acquisiti presso le sepolture nel cimitero locale).

Inoltre, la presenza della funzione “Esporta” in ciascun profilo digitale presente in Applicazione, espone a maggiori rischi in merito alla circolazione e strumentalizzazione di tali informazioni concernenti, come detto, dati personali non solo di defunti ma, altresì, degli utenti dell’Applicazione stessa.

In secondo luogo, si fa presente che la creazione di default di un profilo digitale del defunto, vincola i soggetti che intendano tutelare l’interessato deceduto o abbiano un interesse proprio, a dover fornire ulteriori dati personali posto che, come rappresentato dalla STUP, ai fini dell’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice mediante l’Applicazione, solo “la persona che […ha] rivendicato un profilo: […] può inviare istanze GDPR (si abilita un menù “istanze GDPR” dove si possono esercitare i diritti in vece del defunto) […] Queste attività non possono essere svolte se un profilo non viene amministrato“. Si evidenzia altresì che è proprio dalla creazione di default del “profilo digitale del defunto” - anziché dei soli dati strettamente necessari ai fini della ricerca dell’ubicazione - che deriva la necessità di chiederne l’”oscuramento”, al fine di evitarne l’esposizione digitale nelle forme sopra descritte.  

In aggiunta, la commistione inscindibile tra finalità istituzionali e finalità ulteriori si evince dal fatto che, nel caso di scioglimento del rapporto contrattuale con l’Ente di riferimento, la STUP intende comunque mantenere la visibilità in Applicazione del profilo rivendicato come “bacheca virtuale”, posto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società e al momento della rivendicazione manifesta uno specifico interesse soggettivo rispetto al profilo rivendicato. Tale scelta di business comporta la conservazione dei profili rivendicati e dei commenti anche a seguito dello scioglimento del rapporto contrattuale con il Comune di riferimento e il conseguente mantenimento della visibilità dei profili rivendicati nell’Applicazione e delle funzionalità correlate”.

4.2.1. La non adeguata vigilanza da parte del Comune di Velletri in merito al proprio responsabile del trattamento

Nell’ambito dei servizi erogati in Applicazione, vengono fornite agli utenti due informative distinte (le citate informativa A1 e A2), in cui sono indicate distinte titolarità del trattamento.

Nell’informativa A1, relativa al trattamento dei dati degli utenti dell’Applicazione, ISSAM è indicata come titolare del trattamento, mentre nell’informativa A2, nel premettere che l’Applicazione consente ai “Comuni o agli Enti di gestione cimiteriale la pubblicazione digitalizzata degli elenchi dell’anagrafe cimiteriale”, è precisato che il “titolare del trattamento è il Comune o l’Ente di riferimento” e che “ISSAM CONSULTANCY LTD agisce in qualità di Responsabile del trattamento dei dati”. È inoltre indicato che “i parenti di primo grado del defunto possono fare richiesta per diventare Amministratori del suo profilo […], una volta ultimata la procedura e validato il passaggio, ISSAM diventerà titolare del trattamento dei dati”.

Ai fini dell’effettivo inquadramento dei ruoli delle parti, è opportuno in primo luogo ricordare che le Linee Guida 07/2020 precisano che “sebbene fonti giuridiche esterne possano contribuire all’individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati […]” e che “Vi sono casi in cui la titolarità può essere ricavata dalla competenza espressamente conferita per legge, ad esempio quando il titolare del trattamento o i criteri specifici per la sua designazione sono determinati dal diritto nazionale o dell’Unione. […] In assenza di titolarità derivante da disposizioni giuridiche, la qualifica di titolare del trattamento deve essere stabilita sulla base di una valutazione delle circostanze concrete del trattamento […prendendo] in considerazione tutte le circostanze di fatto pertinenti al fine di stabilire se uno specifico soggetto eserciti un’influenza determinante sul trattamento dei dati personali in questione […] Anche se il responsabile del trattamento offre un servizio definito in via preliminare in modo specifico, al titolare del trattamento deve essere messa a disposizione una descrizione dettagliata di tale servizio e spetta al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche. Inoltre, il responsabile del trattamento non può modificare successivamente gli elementi essenziali dello stesso senza l’approvazione del titolare del trattamento” (cfr. Linee guida 7/2020, parr. 13, 22, 24, 25 e 30).

A tal proposito, i Comuni sono titolari del trattamento per quanto concerne, in primis, i trattamenti connessi allo svolgimento delle proprie funzioni istituzionali, tra cui quelle gestite tramite l’Applicazione (es. servizi di comunicazione e informazione all’utenza, gestione delle concessioni cimiteriali e dell’illuminazione votiva, etc.).

In tale contesto, la titolarità si desume dalle competenze espressamente conferite al Comune dal quadro normativo di settore. Come già evidenziato, il Comune ha affidato alla Velletri Servizi, con apposito contratto disciplinare (di seguito “Contratto e del Disciplinare di servizio”), la gestione dei servizi cimiteriali, indicati all’art. 4 del disciplinare, tra i quali figurano la “gestion[e] delle concessioni”, “l’anagrafe mortuaria”, “altri servizi a supporto delle attività cimiteriali”, inclusi il “servizio di comunicazione e informazione all’utenza” e il “Servizio di censimento di tutti i loculi esistenti con digitalizzazione e dematerializzazione delle concessioni cartacee presenti” (cfr. allegato X alla nota XX citata, “Contratto e Disciplinare per la gestione del civico cimitero, prot. n. XX del XX”).

Inoltre, il Comune ha designato la Velletri Servizi “quale Responsabile del trattamento, ai sensi dell'art. 28 del Regolamento […], in relazione alle attività di cui all’art. 4 del contratto summenzionato” (cfr. Relazione Settore VI, Ufficio manutenzione Civico Cimitero e Concessioni Cimiteriali, denominata “allegato XX”, nonché allegati XX e XX alla nota XX citata).  Dal predetto ”Accordo per il trattamento dei dati personali tra il Comune di Velletri e la Velletri Servizi Spa”, sottoscritto il XX (di seguito, “Accordo”), si rileva che quest’ultima:

- “eseguirà le operazioni di trattamento sulla seguente tipologia di dati personali […]:  a) dati anagrafici intestatario […]; dati di contatto (telefono; e-mail); c) dati di pagamento e fatturazione […] riferiti alle seguenti categorie di interessati: a) utenti” (punto 3.1. Accordo)”;

- “tratterà i dati personali […] esclusivamente per le finalità inerenti all’esecuzione del contratto di servizi […]. In nessun caso il responsabile del trattamento potrà utilizzare i dati per altre finalità” (punto 3.2 Accordo);

- “il Comune di Velletri, titolare del trattamento, “concede l’autorizzazione generale, ai sensi dell’art. 28, comma 2, del GDPR […] a incaricare un altro responsabile del trattamento […] in relazione alle operazioni di trattamento di cui al precedente art. 4” (punto 6.2 Accordo), fermo restando l’impegno a “comunicare al titolare ogni variazione dell’elenco dei sub-responsabili” e la “facoltà [del titolare] di opporsi alla nomina dei sub-responsabili“ (punti 6.3 e 6.4 Accordo).

In tale contesto, la Velletri Servizi S.p.A., ha affidato alla STUP alcuni dei servizi cimiteriali ad essa assegnati in gestione dal Comune. Nel “Contratto di concessione di licenza d’uso “ALDILAPP”, tra i servizi inclusi nel preventivo sottoscritto dalla Velletri Servizi rientrano i seguenti: “Account software Aldilapp”, ”Ricerca defunti (dati anagrafici e posizione di sepoltura)”, “Profilo digitale del defunto”, “Servizio “Fidelio” – invio fiori e servizi di cura delle tombe”, “Mappatura e geolocalizzazione cimitero”, “Gestionale web-based per la gestione amministrativa delle concessioni” (cfr. “Contratto concessione licenza d’uso ALDILAPP”, e “preventivo n. XX del XX”, p. XX, allegato XX, nota XX citata).

Nell’accordo tra la Velletri Servizi e la STUP, che disciplina, ai sensi dell’art. 28 del Regolamento il trattamento dei dati personali effettuati dalla STUP tramite l’Applicazione e la Piattaforma Software in qualità di responsabile, sono indicati i seguenti trattamenti: “manutenzione dell’applicazione; gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp” […] in ottemperanza a quanto previsto dall’art. 2-terdecies – d.lgs 196/2003 […]; acquisizione del consenso al trattamento dei dati da parte degli utenti in fase di creazione account; gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso le app; censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento”. Il predetto Accordo precisa altresì che, con riguardo alla “natura e scopo” del trattamento, “la tipologia e le finalità del trattamento […] sono dettagliatamente descritti nel contratto di concessione della licenza” d’uso “ALDILAPP” (cfr. allegato XX, pagg. XX e ss. alla nota XX citata).

Tali attività sono indicate, altresì, nell’informativa resa agli utenti dell’Applicazione denominata “A2 - Informativa sul trattamento dei dati per le persone defunte presenti sulla Piattaforma Aldilapp” in cui è precisato che “[…] I comuni che decidono di servirsi di Aldilapp potranno […] offrire un servizio utile ai cittadini e, nel contempo, digitalizzare il proprio cimitero comunale e avere a disposizione un database dell’anagrafe cimiteriale aggiornato […] Aldilapp permette quindi ai Comuni o agli Enti di gestione cimiteriale la pubblicazione digitalizzata degli elenchi dell’anagrafe cimiteriale. In questo caso […] il titolare del trattamento è il Comune o l’Ente di riferimento. Tuttavia, i parenti di primo grado del defunto possono fare richiesta per diventare Amministratori del suo profilo al fine di personalizzarne la foto o scriverne la biografia. In questo caso, una volta ultimata la procedura e validato il passaggio, ISSAM diventerà titolare del trattamento dei dati” (cfr. documento “All._n.XX”, p. XX, nota XX citata).

Ciò premesso, si rileva che nell’accordo stipulato tra la Velletri Servizi e la STUP, ai sensi dell’art. 28 del Regolamento, che disciplina il trattamento dei dati personali effettuati dalla STUP in qualità di responsabile, la Velletri Servizi si qualifica quale “titolare del trattamento”. Al riguardo, si ricorda che “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. […] Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. […] Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto” (cfr. punto 28, Linee guida 7/2020).

Nel caso concreto, il responsabile ha scelto le modalità con cui eseguire i trattamenti relativi ad alcuni dei servizi cimiteriali ad esso attribuiti nell’ambito del Contratto e del Disciplinare di servizio. Sul punto, si ricorda che anche le Linee Guida 7/2020 del CEPD prevedono che la titolarità non è esclusa anche nel caso in cui vi siano ”decisioni […] che possono essere lasciate a discrezione del responsabile del trattamento […quali] i mezzi non essenziali [che] possono essere determinati anche dal responsabile del trattamento, […e che] riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento” (cfr. punti 39-40 delle Linee Guida cit.).

Alla luce di tali indicazioni e della circostanza che i servizi cimiteriali sono gestiti dalla Velletri Servizi per conto del Comune, non può condividersi l’inquadramento della Velletri Servizi quale titolare del trattamento indicato nell’accordo stipulato con la STUP ai sensi dell’art. 28 del Regolamento. Ciò in quanto il gestore dei servizi cimiteriali effettua il trattamento dei dati personali non per proprie finalità ma per conto del Comune stesso - committente e titolare del trattamento in base al quadro normativo di settore - nell’esecuzione del Contratto e del Disciplinare di servizio (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento).

Più propriamente, considerato inoltre che, in base all’Accordo sopra menzionato, alla Velletri Servizi è concessa “l’autorizzazione generale, ai sensi dell’art. 28, comma 2, del GDPR […] a incaricare un altro responsabile del trattamento […] in relazione alle operazioni di trattamento di cui al precedente art. 4”, ferma restando la “facoltà [del titolare] di opporsi alla nomina dei sub-responsabili“, la Velletri Servizi riveste il ruolo di responsabile del trattamento per conto del Comune, titolare del trattamento, e la STUP quello di sub-responsabile (punti XX, XX e XX Accordo; allegato XX alla nota del XX).

Tale ricostruzione, risulta peraltro confermata dalla circostanza che il Comune, pur essendo stato notiziato dalla Velletri Servizi della stipula del contratto per l’Applicazione e la Piattaforma Software “Aldilapp” in data XX, cioè pochi giorni dopo la sottoscrizione del contratto con la STUP, non si è opposto all’affidamento della digitalizzazione dei servizi cimiteriali con il predetto contratto.

Al riguardo, non rileva il fatto che il Comune abbia acquisito conoscenza completa del contenuto della documentazione contrattuale – e segnatamente, della “determinazione di affidamento del servizio di digitalizzazione del civico cimitero”, ”l’atto di stipula dell'accordo negoziale tramite Mepa”, la “sottoscrizione del contratto con la società STUP 1 srl” e la “nomina in favore della stessa di responsabile esterno al trattamento dei dati” - soltanto in data XX, a seguito dell’avvio dell’istruttoria da parte dell’Autorità (cfr. nota del XX citata in precedenza). Il ritardo nell’acquisizione di tale documentazione, lungi dal costituire un’esimente per il Comune rispetto alle responsabilità derivanti dal trattamento dei dati personali effettuati in esecuzione del predetto contratto, costituisce, invece, una violazione dei doveri di vigilanza previsti dall’art. 28, par. 1, del Regolamento in capo al titolare sull’attività svolta dal proprio responsabile.

Si ricorda, infatti, che nel caso in cui il titolare scelga di avvalersi di soggetti terzi per effettuare trattamenti di dati personali per suo conto, lo stesso è tenuto non solo a disciplinare il rapporto ai sensi dell’art. 28 del Regolamento, ma anche ad esercitare quelle attività di selezione e vigilanza sulle modalità del trattamento eventualmente scelte dal responsabile. Tali attività costituiscono per il titolare non solo un’importante occasione per verificare la corretta esecuzione del servizio e dei relativi trattamenti, ma anche uno specifico obbligo, come previsto dall’art. 28, par. Per quanto concerne gli ulteriori trattamenti effettuati in Applicazione,1, del Regolamento e, più in generale, dal principio di “responsabilizzazione” di cui agli artt. 5, par. 2, e 24 del Regolamento.

Dagli elementi acquisiti in atti, si rileva, dunque, che il Comune di Velletri ha omesso di vigilare adeguatamente rispetto ai trattamenti effettuati da Velletri Servizi in esecuzione del “Contratto di concessione e licenza d’uso” sottoscritto con la STUP e di adottare misure idonee a garantire il permanente rispetto della protezione dei dati personali, pur avendo contezza dell’attivazione e delle caratteristiche di tali servizi.

La conoscenza delle modalità e delle caratteristiche del trattamento fin dall’avvio del servizio si rileva, peraltro, dalla presentazione dell’iniziativa presso la Sala Consiliare del Comune di Velletri del XX, effettuata dal Sindaco, dall’Assessore ai servizi cimiteriali, dalla Velletri Servizi S.p.A., e dall’Amministratore della STUP (cfr. post del XX pubblicato sul profilo Facebook del Sindaco (cfr. https://www.facebook.com/.../; cfr. anche https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/), ma anche dalla richieste di informazioni dell’Autorità del XX e successive, nell’ambito delle quali il Comune ha avuto modo di valutare potenziali criticità in relazione agli aspetti del trattamento oggetto di approfondimento.

Dagli elementi in atti, si rileva altresì che il Comune ha richiesto alla Velletri Servizi “la sospensione del servizio svolto con l'applicativo Aldilapp nel mese di XX” e, verificato che lo stesso “al XX risulta[va] attivo”, di averne richiesto “la sospensione completa” e “la revoca di tutti i dati trasferiti dalla Velletri Servizi S.p.A. alla Stup s.r.l.”, nonché “ogni azione necessaria alla corretta gestione dei dati […], in esecuzione del contratto sottoscritto con il Comune di Velletri e in ottemperanza alla nomina a responsabile esterno effettuata” (nota XX, Comune Velletri, datata XX, costituente l’Allegato n. XX alla nota del XX prot. XX citata).

Fino a tali interventi, i trattamenti di dati personali effettuati mediante l’Applicazione e la Piattaforma Software Aldilapp sono stati pertanto avallati proprio dall’assenza di adeguata vigilanza da parte del Comune sul rispetto della disciplina in materia di protezione dei dati personali da parte del proprio responsabile Velletri Servizi, in violazione dell’art. 28, par. 1, del Regolamento.

4.2.2. Il mancato rispetto del principio di liceità, correttezza e trasparenza

Per quanto concerne gli ulteriori trattamenti effettuati tramite l’Applicazione - diversi da quelli connessi alle funzioni istituzionali, quali quelli di tipo “social” e commerciale - risulta invece necessario esaminare gli specifici elementi acquisiti in sede di istruttoria al fine di un corretto inquadramento dei ruoli soggettivi di titolare e responsabile del trattamento. Tale analisi si rende necessaria in quanto negli accordi sottoscritti con la STUP e con la ISSAM ai sensi dell’art. 28 del Regolamento, e nell’informativa resa agli utenti in fase di registrazione e di utilizzo dell’Applicazione (Informativa A2), è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti.

In primo luogo, occorre considerare la legittima aspettativa degli utenti in merito alla riconducibilità ai Comuni dei servizi offerti dall’Applicazione, essendo la stessa utilizzata da questi ultimi – anche per il tramite dei gestori dei servizi cimiteriali, come avvenuto per il Comune - per fornire, anche in via esclusiva, all’utenza le informazioni sull’ubicazione dei defunti nei cimiteri comunali.

L’informativa A2 fornita agli utenti indica espressamente che “I comuni che decidono di servirsi di Aldilapp potranno […] offrire un servizio utile ai cittadini e, nel contempo, digitalizzare il proprio cimitero comunale e avere a disposizione un database dell’anagrafe cimiteriale aggiornato esponendo, inoltre, una segnaletica ordinata all’interno del cimitero. Grazie a questa innovativa applicazione i comuni che aderiscono al servizio Aldilapp, potranno fornire una rete di servizi che impiega le imprese locali offrendo loro la possibilità di allargare la loro attività anche a utenti che non possono raggiungere fisicamente il cimitero, ma hanno l’esigenza di stare vicino a propri cari defunti portando fiori freschi o pulendo la tomba che li accoglie”.

La pubblicizzazione sui siti istituzionali dei Comuni del ricorso all’Applicazione ai fini dell’accesso ai servizi informativi cimiteriali, rafforza ulteriormente nell’utente la legittima aspettativa che il servizio sia fornito dal Comune e che, conseguentemente, lo stesso sia il titolare dei relativi trattamenti (cfr. post del XX pubblicato sul profilo Facebook del Sindaco di Velletri  https://www.facebook.com/.../; post del XX pubblicato sul profilo Facebook di Velletri Servizi S.p.a. https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/).

Ciò a maggior ragione nei casi in cui tale servizio viene fornito - in via telematica - esclusivamente tramite l’Applicazione, come nel caso del Comune di Velletri. Sul punto, le Linee guida 7/2020 citate, precisano che “Poiché l’obiettivo di fondo nell’attribuzione del ruolo di titolare del trattamento è garantire il rispetto del principio di responsabilizzazione e una protezione efficace e completa dei dati personali, il concetto di «titolare del trattamento» dovrebbe essere interpretato in modo sufficientemente estensivo, favorendo il più possibile una tutela efficace e completa degli interessati, […] evitare lacune e prevenire elusioni potenziali delle norme, senza sminuire, al contempo, il ruolo del responsabile del trattamento” (punto 14).

In secondo luogo, occorre considerare l’inscindibilità dei servizi e delle funzionalità offerte in Applicazione e nella Piattaforma Software.

Infatti, l’utente anche solo per consultare l’ubicazione dei defunti, deve, comunque, scaricare l’Applicazione e registrarsi creando un account. Inoltre, il servizio di ricerca non restituisce all’utente la semplice informazione relativa alla posizione della sepoltura all’interno del cimitero, ma fornisce, come risultato di ricerca, il “profilo del defunto”, come dettagliatamente descritto nel precedente par. 2.2 nel contenuto e nelle funzioni (rivendicazione, commenti, richiesta di servizi commerciali etc.). Pertanto, in ragione della loro inscindibilità, anche tali trattamenti non possono che essere ricondotti alla titolarità del Comune.

Al riguardo, non possono condividersi le argomentazioni avanzate dalla STUP in corso d’istruttoria merito al fatto che “L'interpretazione che vede il Comune come unico Titolare e la piattaforma come mero Responsabile risulta […] limitante e non rappresentativa della realtà fattuale e giuridica del trattamento […ritenendo invece che] la qualifica più corretta per quanto riguarda i dati degli utenti dell’app e dei profili rivendicati sia quella di titolari autonomi, ciascuno per le fasi di trattamento di propria competenza”. La STUP giustifica infatti tale posizione considerando che “L'Ente Comunale persegue finalità di interesse pubblico legate alla gestione dei servizi cimiteriali […mentre] ISSAM […] tratta i dati degli utenti registrati per finalità proprie e distinte, quali la fornitura di un'esperienza utente unificata sulla piattaforma […]” e che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune. Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner. Se un Comune dovesse cessare il proprio rapporto con Aldilapp, i dati dell'account dell'utente (nome, email, interazioni) persisterebbero legittimamente sulla piattaforma, poiché il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi […]” (cfr. memoria difensiva della STUP del XX).  

Come esposto in precedenza, attualmente è necessaria la registrazione in Applicazione per fruire di tutti i servizi, incluso quello di ricerca l’ubicazione di una sepoltura, primaria finalità per cui viene sottoscritto il contratto di concessione e licenza d’uso da parte dei Comuni e/o dei gestori. L’Applicazione, infatti, non consente alcuna facoltà di scelta all’utente in relazione all’apertura o meno di un account, obbligando lo stesso a registrarsi e a conferire i propri dati personali, anche per poter fruire unicamente del servizio comunale di ricerca dell’ubicazione dei defunti, offerto spesso in via esclusiva tramite l’Applicazione. L’obbligatorietà dell’apertura dell’account e l’inscindibilità di tutti i servizi offerti per il tramite della Applicazione, unitamente alle circostanze sopra rappresentate, riconducono l’intero trattamento alla titolarità dei Comuni.

Si ritiene opportuno evidenziare, peraltro, che il servizio di consultazione dell’ubicazione delle sepolture non richiederebbe l’identificazione dell’utente e, conseguentemente, la necessità di alcuna registrazione (diversamente, con riferimento alle app per la prenotazione dei servizi di sportello, si vedano i provv.ti n. 81 del 7 marzo 2019, doc. web n. 9121890, nn. 280, 281 e 282 del 17 dicembre 2020, doc. web nn. 9524175, 9525315, 9525337 e provv. n. 116 del 27 febbraio 2025, doc. web 10126141). Al riguardo, molti Comuni offrono servizi cimiteriali online di ricerca puntuale delle informazioni di cui trattasi senza richiedere i dati personali dell’utente, limitandosi a prevedere meccanismi volti al prevenire o bloccare le interrogazioni massive – automatiche o abusive, tipicamente attuate mediante il ricorso a bot o a funzioni di scraping; ciò, ad esempio, mediante strumenti, quali ad esempio l’utilizzo di codici Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart), per distinguere utenti umani legittimi da software per l’interrogazione automatizzata.

In secondo luogo, la “commistione” forzata tra finalità di interesse pubblico e di natura privata discende direttamente dall’attuale configurazione dell’Applicazione, che vincola in modo inscindibile le varie funzionalità offerte sia all’utente che al soggetto istituzionale. Diversamente da quanto evidenziato dalla STUP, riguardo al fatto che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune […e che] Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner” (cfr. memoria difensiva della STUP del XX), l’intera gamma dei servizi offerti in Applicazione è basata sui dati primariamente attinti dai registri cimiteriali comunali, e l’adesione del Comune al servizio è il presupposto per la visibilità dei cimiteri in Applicazione.

Attualmente, infatti, non è prevista una fruizione separata, da un lato, del servizio pubblico di consultazione – fondato sui database comunali e fruibile senza necessità di registrazione in Applicazione – e, dall’altro, dei servizi di tipo non istituzionale, di natura “social” o commerciale – che dovrebbero essere basati unicamente su dati personali forniti alla STUP direttamente dagli utenti, anche con riguardo ai dati  dei defunti al fine di richiedere l’apertura (qualora ne abbiano idonea legittimazione) di un profilo digitale commemorativo. Il profilo digitale del defunto, al quale sono attualmente associate una serie di funzionalità e servizi, non dovrebbe quindi essere aperto di default utilizzando i database comunali nell’ambito di una commistione inscindibile di servizi di natura propriamente istituzionale e non, ma essere rimesso ad una scelta volontaria dei soggetti legittimati e sempre nel rispetto dei principi in materia di protezione dei dati personali.  La registrazione e la creazione di un account dovrebbe pertanto essere rimessa a una scelta volontaria degli interessati, sia per l’apertura di un profilo digitale che per usufruire degli ulteriori servizi, di natura non istituzionale, anche in relazione ad altri profili virtuali, volontariamente aperti da altri utenti. Ciò anche al fine di non precludere la fruibilità del servizio pubblico di consultazione a coloro che siano interessati esclusivamente a tale servizio e/o che non intendano fornire informazioni e dati personali propri e relativi ai familiari. Solo a questa condizione sarebbe condivisibile l’osservazione della STUP rispetto al fatto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società” e che “il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi”.

Peraltro, l’attuale previsione di default dei profili digitali dei defunti, pubblicamente consultabili ed esposti all’inserimento di commenti e ad altre interazioni, costringe gli utenti che intendano tutelare il proprio caro a fornire i propri dati personali, dovendo necessariamente registrarsi e rivendicare il profilo per poterne chiedere l’oscuramento o esercitare i diritti ai sensi dell’art. 2-terdecies del Codice.

Con riferimento, inoltre, alle caratteristiche dei servizi offerti e/o della loro inscindibilità - sia nell’Applicazione sia nella Piattaforma Software -, si evidenzia che la parziale consapevolezza lamentata dal Comune di Velletri non lo esonera dalle proprie responsabilità quale titolare del trattamento, posto che dalla documentazione contrattuale complessivamente sottoscritta dal proprio gestore (“Condizioni generali contrattuali Concessione della licenza d’uso ALDILAPP®”, proposta economica, preventivo e listino prezzi, atti di affidamento etc.), – che il Comune di Velletri, dopo essere stato notiziato della stipula avrebbe dovuto acquisire tempestivamente – emerge che l’oggetto della licenza concessa mediante il contratto è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore” sia dalla “relativa Piattaforma software”. Tale documentazione precisa, altresì, che “in nessun caso sarà consentito il recesso disgiunto dall’erogazione dei Servizi Accessori Complementari disgiuntamente dai Servizi Principali”.

In aggiunta, nell’atto giuridico stipulato ai sensi dell’art. 28 del Regolamento, il titolare – o, comunque, il soggetto istituzionale che sottoscrive gli atti di nomina con la STUP e con la ISSAM, potendo essere direttamente il Comune (effettivo titolare del trattamento) o il gestore dei servizi cimiteriali, che agisce per suo conto in qualità di responsabile del trattamento -  “dichiara di ben conoscere le caratteristiche e le misure di sicurezza [dell’Applicazione e della Piattaforma software] dettagliate nel contratto fra le parti e relativi allegati tecnici e di averle ritenute congrue alla normativa di riferimento”.

Al riguardo, si rende opportuno evidenziare la necessità per i soggetti istituzionali di porre sempre la dovuta attenzione nella sottoscrizione di contratti per l’acquisto di prodotti e servizi digitali, anche sotto il profilo delle caratteristiche, della natura e della tipologia dei servizi offerti, che devono rientrare nel perimetro delle competenze istituzionali dell’ente. Ciò non solo al fine di garantire che i trattamenti ad essi correlati siano sorretti da un’idonea base giuridica, ma anche al fine di rispettare la legittima aspettativa degli interessati circa la loro riconducibilità all’ente, anche in ragione delle modalità e ambiente di erogazione.

Le numerose utilità fornite in Applicazione, incluse quelle di natura social  e commerciali, sono state, come detto, anche pubblicizzate alla cittadinanza all’atto dell’avvio dei progetti di digitalizzazione dei cimiteri (cfr., in particolare, post del XX della Velletri Servizi S.p.a. in cui si evidenzia che con Aldilapp è possibile “Individuare la posizione esatta della tomba che stai cercando; Far consegnare fiori direttamente sul posto; far mantenere la pulizia e il decoro della lapide o della tomba; creare un profilo digitale del defunto, caricando una biografia e una foto. Grazie alla nuova App sarà quindi possibile a tutti i parenti, anche ai più lontani, inviare fiori, accendere un cero virtuale come segno di ricordo e vicinanza, lasciare una dedica in memoria del defunto creando una comunità virtuale di condivisione e supporto. A breve saranno disponibili molti altri servizi, come il pagamento della luce votiva tramite PagoPA”, URL, https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/).

Alla luce degli elementi che precedono, evidenziati nel precedente paragrafo 4.2.1, non può condividersi l’inquadramento dei ruoli dei soggetti coinvolti nel trattamento, per come indicati negli accordi sottoscritti con la STUP e con la ISSAM ai sensi dell’art. 28 del Regolamento - rispetto a cui, il punto 28, delle Linee guida 7/2020, precisa che “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte […] non sono determinanti in modo assoluto […e che] Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto” - e per come prospettati nell’informativa agli utenti in fase di registrazione e di utilizzo dell’Applicazione, ove è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti (Informativa A2).

Infatti, come sopra evidenziato, oltre al servizio di mera ricerca dell’ubicazione del defunto, l’Applicazione consente lo svolgimento di ulteriori attività nell’interesse dei Comuni titolari del trattamento, non indicate negli accordi ai sensi dell’art. 28 del Regolamento e nell’informativa A2 sopra citata.

Come accertato in sede d’ispezione, anche le richieste di esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice, presentate dall’amministratore di un profilo, comportano un trattamento di dati personali da parte del Comune. Infatti, le istanze ricevute dalla STUP sono “inoltra[te] automaticamente […] al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale)”.

Analogamente, un trattamento dei dati personali dell’utente si rileva nella fase di “rivendicazione” del profilo digitale di un defunto poiché l’utente, ai fini di divenire amministratore del profilo, deve comunicare dati personali aggiuntivi (rispetto a quelli forniti in sede di registrazione dell’account), relativi alla propria residenza, al rapporto con il defunto, caricando un’autocertificazione e una copia del documento d’identità. In tale contesto “l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente”.

Il fatto che i predetti trattamenti avvengano per conto del Comune si evince anche dagli accordi sottoscritti dalla STUP, ai sensi dell’art. 28 del Regolamento, con i clienti istituzionali, in cui è espressamente indicato che “Il Responsabile del Trattamento è incaricato […della] Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app”. Tuttavia, tali accordi menzionano unicamente il trattamento dei dati dei defunti, senza considerare che l’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice può essere effettuato solo da un interessato necessariamente diverso dal defunto, e che anche i dati personali dei soggetti legittimati all’esercizio dei predetti diritti, devono essere trattati dalla STUP – così come dalla ISSAM - nell’interesse del Comune. Giova precisare, al riguardo, che nel caso in cui il contratto di concessione di licenza d’uso e i relativi accordi ai sensi dell’art. 28 del Regolamento siano stipulati direttamente con i Comuni, la STUP e ISSAM agiscono in qualità di responsabili del trattamento mentre, come nel caso di specie, qualora la sottoscrizione dei predetti accordi avvenga con i gestori dei servizi cimiteriali locali (da inquadrare, alla luce delle considerazioni che precedono, come responsabili del trattamento dei Comuni, effettivi titolari), le stesse agiscono in qualità di sub-responsabili del trattamento.  

In relazione ai trattamenti sopra menzionati, si ritiene che sia la STUP che la ISSAM trattino per conto del Comune di riferimento, dati personali ulteriori rispetto a quelli dei defunti e diversi rispetto a quelli oggetto di regolamentazione ai sensi dell’art. 28 del Regolamento.

In aggiunta, la STUP tratta anche i dati relativi ai titolari delle concessioni cimiteriali: nella Dashboard in uso al Comune - direttamente o tramite il proprio gestore cimiteriale - oltre al contratto di concessione, che riporta i dati del concessionario, possono essere annotati altresì ulteriori dati relativi ai dati di contatto degli eredi o ai familiari (che possono o meno coincidere con quelli del concessionario), quali nome e cognome, indirizzo, numero di telefono ed email (cfr. il documento “XX – XX – XX”, allegato alla nota del XX). Al riguardo, la STUP ha dichiarato che è stato “prodotto un nuovo modello di atto di nomina a Responsabile del trattamento, il cui oggetto è stato esteso per includere in modo analitico e dettagliato tutte le categorie di dati e tutti i trattamenti effettuati per conto degli Enti, inclusi esplicitamente i dati afferenti alle concessioni cimiteriali […ed è]  in corso di presentazione ai Comuni clienti il set di nuovi atti emendati, avviando la sostituzione di tutti gli accordi precedentemente in essere” (cfr. memoria difensiva del XX).

Da ultimo, nell’ambito dell’incertezza derivante da tale regolamentazione parziale e dal non corretto inquadramento dei ruoli di titolare e responsabile, l’istruttoria ha evidenziato altresì che la STUP ha implementato autonomamente aggiornamenti e sviluppi dell’Applicazione comportanti la raccolta di ulteriori di dati personali; ciò, in particolare, per quanto riguarda il rafforzamento della procedura di rivendicazione del profilo, nell’ambito della quale, a decorrere dal mese di XX, è stata prevista l’acquisizione di ulteriori categorie di dati (autocertificazione e copia documento di identità), messi a disposizione dei Comuni nella Dashboard, ai fini della verifica.

Alla luce di quanto sopra esposto, il trattamento dei dati personali in questione è, pertanto, avvenuto, da parte del Comune, titolare del trattamento, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in una duplice accezione.

In primo luogo, dalla documentazione in atti, risulta accertato che nell’ambito dell’erogazione dei servizi per il tramite dell’Applicazione non è stata conferita un’idonea informativa agli interessati, essendo stato previsto un inquadramento dei ruoli in materia di protezione dei dati personali non corrispondente agli elementi di fatto, in violazione, pertanto, del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento e degli artt. 12 e 13 del Regolamento.

In secondo luogo, l’erogazione di tutti i servizi presenti nell’Applicazione, inscindibilmente legati tra loro e presentati all’utenza quale unico e inscindibile risultato del servizio informativo richiesto, ha comportato lo svolgimento di trattamenti ultronei (funzionalità di tipo social, profilo del defunto, foto, biografia, commenti, ceri, e servizi di natura commerciale) rispetto a quelli propriamente istituzionali riconosciuti in capo ai Comuni dalla normativa di settore e privi, così come strutturati in Applicazione e basati dati in disponibilità dei Comuni (e dei relativi gestori) per il perseguimento di compiti di interesse pubblico loro assegnati.

Si evidenzia, al riguardo, che il trattamento dei dati personali connesso ai servizi di tipo social e di natura commerciale, estranei ai compiti istituzionali e basati sul trattamento di dati personali nella disponibilità dei Comuni risulta incompatibile con le specifiche finalità pubbliche cui gli stessi sono destinati in base al quadro normativo di settore. Per tali motivi, i trattamenti effettuati dal Comune, per come strutturati in Applicazione e basati su dati in disponibilità del Comune stesso risulta effettuato in assenza di una idonea base giuridica, in violazione, pertanto, del principio di liceità, di cui all’art. 5, par. 1, lett. a) del Regolamento e degli artt. 6 del Regolamento e 2-ter del Codice.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune di Velletri, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Velletri, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1), lett. a), 6, 12, 13, 28, par. 1) del Regolamento, nonché dell’art. 2-ter del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dagli artt. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenuto conto della prescrizione adottata nei confronti della STUP con il provvedimento n. 72 adottato in data odierna, con il quale, è stato richiesto alla predetta società di completare il processo di separazione dei servizi istituzionali offerti in Applicazione e in Dashboard, da quelli di natura diversa (servizi di tipo social o commerciale), al fine di consentire ai soggetti istituzionali di effettuare unicamente trattamenti di dati personali sorretti da idonea base giuridica, previsti dalla specifica normativa di settore (rilevazione delle sepolture, gestione delle concessioni cimiteriali e dell’illuminazione votiva, servizio informativo agli utenti di ricerca delle sepolture in Applicazione, senza richiedere agli stessi la registrazione di un account), si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune di Velletri, limitatamente al perimetro di competenza territoriale, posto che, come accertato dall’Autorità in data XX i profili dei defunti relativi ai cimiteri cittadini non risultano più visibili in Applicazione, di verificare, anche tramite il gestore, l’avvenuta cancellazione di tutti i dati personali e informazioni associate ai profili rivendicati, aperti di default sulla base del proprio database comunale, sia con riferimento ai dati dei defunti che alle interazioni e rivendicazioni effettuate dagli utenti in Applicazione.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune di Velletri dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d).

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che, con riguardo al trattamento dei dati personali dei defunti e degli utenti in Applicazione e nella Piattaforma Software, la violazione delle disposizioni citate nei precedenti paragrafi 4.2.1. e 4.2.2 del presente provvedimento, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie la violazione degli artt. 5, 6, 12 e 13 del Regolamento, nonché dell’art. 2-ter del Codice è soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che, per come attualmente configurati i trattamenti in Applicazione e in Dashboard, gli stessi risultano inscindibilmente legati tra loro e presentati all’utenza quale unico risultato del servizio informativo richiesto, e hanno comportato trattamenti di dati personali ultronei (di natura social e commerciale) rispetto a quelli propriamente istituzionali. Tali trattamenti basati, inoltre, su dati che sono nella disponibilità del Comune (e quindi del relativo gestore) per il perseguimento di compiti di interesse pubblico, e l’erroneo inquadramento dei ruoli, unito a una vigilanza non adeguata da parte del Comune sul proprio gestore, ha impattato negativamente anche sull’idoneità dell’informativa resa agli interessati.

Deve, inoltre, considerarsi che:

- non risultano, allo stato, pervenuti reclami da parte di interessati (art. 83 par. 2, lett. a) del Regolamento);

- il carattere colposo della violazione considerato che “nell’ambito del procedimento e nella gestione del rapporto con la STUP, la Parte ha avuto una conoscenza parziale in relazione alla totalità dei servizi alla stessa affidati” dato che la “Velletri Servizi, […] ha omesso alcune informazioni/fornito informazioni non complete in relazione al rapporto contrattuale stipulato con la STUP […] senza indicare i trattamenti effettivamente svolti da quest’ultima, ma indicando unicamente una mera funzione di digitalizzazione del servizio pubblico essenziale concernente l’anagrafe cimiteriale (che rientra tra gli obiettivi istituzionali attribuiti al Comune)” (art. 83, par. 2, lett. b, del Regolamento);

- i trattamenti in questione non sono relativi a categorie particolari di dati né a dati giudiziari (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole al Comune, la circostanza che trattasi di un Comune di dimensioni medie, di circa 53.000 abitanti, che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento), nonché il grado di cooperazione manifestato con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto, in particolare, che il predetto Comune, tramite il proprio gestore, ha provveduto ad avviare un’interlocuzione con la STUP al fine di chiedere a quest’ultima di limitare i servizi forniti “a quelli strettamente collegati alla gestione e all’aggiornamento dell’anagrafica cimiteriale” (art. 83, par. 2, lett. f), del Regolamento). In merito al contesto di riferimento occorre rilevare, in senso favorevole al Comune, il fatto che secondo quanto dichiarato dalla STUP con la citata nota del XX è pervenuta unicamente “1 richiesta di oscuramento riguardante 4 defunti”,” in relazione ai cimiteri di Velletri e che risultano dagli utenti già rivendicati numerosi profili nel limitato arco temporale di operatività dell’Applicazione (art. 83, par. 2, lett. k), del Regolamento). Ai sensi del medesimo articolo occorre considerare, altresì, le circostanze in cui si è verificata ed è stata gestita la violazione, tenuto conto che l’avvio del progetto con la STUP è avvenuto nella “fase di avvicendamento della figura del Sindaco (fine XX), […e con la] riorganizzazione dell’assetto amministrativo e dirigenziale” (art. 83, par. 2, lett. k, del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00) per la violazione degli artt. 5, par. 1), lett. a), 6, 12, 13, 28, par. 1) del Regolamento, nonché dell’art. 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, con particolare riferimento alla peculiarità del trattamento e al numero degli interessati coinvolti.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Velletri nei termini di cui in motivazione, per la violazione degli artt. artt. 5, par. 1), lett. a), 6, 12, 13, 28, par. 1) del Regolamento, nonché dell’art. 2-ter del Codice.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Velletri, con sede legale in Piazza Cesare Ottaviano Augusto, n. 1, 00049 Velletri (RM), C.F. 01493120586 di pagare la somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Velletri:

- di pagare la somma di euro 2.000,00 (duemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee, limitatamente al perimetro di competenza territoriale concernente i cimiteri di Velletri, a verificare, anche tramite il gestore, l’avvenuta cancellazione di tutti i dati personali e informazioni associate ai profili rivendicati, aperti di default sulla base del proprio database comunale, sia con riferimento ai dati dei defunti che alle interazioni e rivendicazioni effettuate dagli utenti in Applicazione;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori