Provvedimento del 12 febbraio 2026 [10225702]
Provvedimento del 12 febbraio 2026 [10225702]
CondividiVEDI ANCHE Newsletter del 9 marzo 2026
[doc. web n. 10225702]
Provvedimento del 12 febbraio 2026
Registro dei provvedimenti
n. 76 del 12 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione
In data XX è pervenuta all’Autorità una segnalazione con la quale sono state lamentate alcune presunte criticità in merito al trattamento dei dati personali connessi all’erogazione di alcuni servizi mediante l’applicazione “Aldilàpp” (di seguito l’”Applicazione” o “Piattaforma Aldilapp”).
Tale Applicazione, scaricabile gratuitamente, consente, tra l’altro, agli utenti, previa registrazione, di ricercare l’ubicazione dei defunti all’interno dei cimiteri dei Comuni aderenti al servizio, nonché di fruire di alcune funzionalità in stile "social media" (quali, in particolare, diventare amministratore del profilo digitale di un defunto, attivare notifiche push in Applicazione, seguire il profilo digitale di un defunto nonché interagire con il relativo profilo digitale mediante pubblicazione di messaggi, dediche, o accensione di un cero virtuale) e di alcuni servizi offerti da imprese locali, tra cui servizi di fornitura di fiori freschi e di pulizia della tomba (cfr. https://aldilapp.it/app/).
L’Ufficio ha conseguentemente avviato una complessa attività istruttoria nei confronti di soggetti a vario titolo coinvolti nei predetti trattamenti. A tale fine, in un primo momento, è stata avanzata una richiesta d’informazioni, tra l’altro, al Comune di Velletri (di seguito, il “Comune), in quanto tra i maggiori Comuni i cui cimiteri sono censiti nell’Applicazione (nota del XX prot. n. XX) e coinvolgendo, nelle successive richieste d’informazioni anche la Velletri Servizi S.p.A. (di seguito, “Velletri Servizi”), società interamente partecipata dal Comune e gestore dei servizi cimiteriali locali (note del XX, del XX e del XX, rispettivamente, prot. nn. XX, XX e XX). Successivamente, l’Ufficio ha avanzato delle richieste di informazioni anche nei confronti della STUP 1 Srls – oggi STUP 1 S.r.l. SB - (di seguito “STUP”) con note del XX (prot. n. XX), del XX (prot. n. XX) e, con riferimento ai cimiteri di Velletri, del XX, (prot. n. XX), in quanto sottoscrittore dei contratti di concessione della licenza d’uso dell’Applicazione con i Comuni/gestori dei servizi cimiteriali. Alle predette richieste, la STUP ha fornito riscontro con note del XX (prot. dell’Autorità n. XX dell’XX), del XX (prot. dell’Autorità n. XX) e, con riferimento ai cimiteri di Velletri, del XX (prot. dell’Autorità n. XX del XX).
Sono stati effettuati, altresì, accertamenti di carattere ispettivo nelle giornate del XX, XX e XX presso la STUP, al fine di effettuare approfondimenti per i profili di natura tecnica, a seguito dei quali, con nota del XX (prot. dell’Autorità n. XX) la predetta società ha trasmesso ulteriore documentazione a scioglimento delle riserve effettuate in sede d’ispezione.
Inoltre, a seguito della contestazione di violazione amministrativa effettuata nei confronti dei predetti soggetti coinvolti nell’istruttoria, sono state effettuate le audizioni dei due Comuni coinvolti in istruttoria, in data XX5, perfezionatesi, per il Comune di Velletri, con la nota di riscontro del XX (prot. Autorità n. XX), nonché acquisite le memorie difensive dei vari soggetti.
2. Attività istruttoria
2.1. Il contesto di riferimento e i servizi erogati
L’Applicazione è stata sviluppata dalla società Issam Consultancy LTD (con sede a Malta, di seguito “ISSAM”), con finalità, inizialmente, di rispondere all’esigenza dei piccoli Comuni nella digitalizzazione e dematerializzazione degli archivi cimiteriali, di consentire la consultazione online dei cimiteri e, al contempo, di fornire un servizio ai cittadini nella richiesta e la messa in opera di servizi di decoro cimiteriale (cfr. verbale di ispezione del XX).
L’Applicazione, distribuita esclusivamente in Italia da parte della STUP su apposito mandato della ISSAM, viene concessa in licenza d’uso tramite un contratto stipulato con i Comuni aderenti o i relativi gestori dei servizi cimiteriali. Nello specifico, l’oggetto della licenza è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore […che dalla] relativa Piattaforma software” (cfr. atto di nomina allegato al contratto di concessione).
Tra i servizi accessori contemplati nel predetto contratto è prevista, nei casi in cui il Comune non disponga di registri cimiteriali digitalizzati o gli stessi siano incompleti o inaffidabili, un’attività di censimento in loco, consistente nella rilevazione delle sepolture e della loro collocazione fisica all’interno del cimitero, mediante la raccolta dei dati riportati sulle lapidi quali nome e cognome del defunto, data di nascita e di morte, ove presenti, nonché ubicazione della sepoltura all’interno dell’area cimiteriale (cfr. verbale del XX, p. XX, nonché nota della STUP del XX, pp. XX).
Sul punto, la STUP ha precisato che tale attività di censimento, effettuata una tantum solo nei casi di Comuni sprovvisti di elenchi cimiteriali digitalizzati, non è giuridicamente inquadrabile nella ricostruzione dei registri cimiteriali, di cui all’art. 52 del D.P.R. 285/1990, ma è finalizzata a consentire, da un lato, al Comune di effettuare il successivo aggiornamento dei dati relativi alle sepolture (es. in caso di nuove sepolture, traslazioni) e implementazione e, dall’altro, di consentire agli utenti di rinvenire l’esatta ubicazione del defunto nel cimitero mediante la ricerca in Applicazione (cfr. verbale del XX, p. XX e del XX, p. XX).
Gli elenchi cimiteriali (risultato del censimento o dell’acquisizione dei registri comunali digitalizzati) vengono messi a disposizione dei Comuni mediante un’apposita dashboard (di seguito anche “Dashboard” o “Piattaforma Software”) utilizzata dai Comuni privi di un proprio applicativo come sistema gestionale. Inoltre, sebbene la predetta dashboard consti di “funzionalità minime rispetto ad un vero e proprio gestionale cimiteriale, […consente], comunque, [ai Comuni] di caricare documentazione quale contratti di concessione cimiteriali, documenti relativi agli eredi e relativi dati di contatto. Tali servizi sono comunque disponibili funzionalmente e attivi per i clienti” (cfr. verbale del XX, p. XX).
A tali funzionalità si aggiunge, in ogni caso, la geolocalizzazione delle sepolture, effettuata tramite “l’acquisizione delle coordinate GPS, da parte di personale e/o collaboratori della STUP1, attraverso servizi di “Google maps” (cfr. verbale del XX, p. XX).
Con riferimento, infine, alla durata del contratto di fornitura di servizi la STUP, nel riscontrare alla nota di un altro gestore dei servizi cimiteriali , in cui veniva rappresentato che “Il contratto per la fornitura dell’App, derivante dall’atto a contrarre […] di affidamento diretto emesso da parte della Società a STUP 1 S.r.l.s., risulta ad oggi decaduto, giunto a regolare scadenza in data XX”), precisava, in particolare, che “il servizio erogato ha natura giuridica “di fornitura di durata”, per cui, […] non è soggetto ad alcun termine di scadenza né di rinnovo” e che “l’interesse pubblico nell’erogazione del servizio dev’essere bilanciato con l’interesse soggettivo delle migliaia di utenti registrati, i quali hanno usufruito, ed usufruiscono quotidianamente, delle funzioni dell’App, le quali contengono manifestazioni di pensieri e di cordoglio nel ricordo dei cari defunti, meritevoli di tutela e protezione, non essendo questi ultimi suscettibili di facile misurazione economica e/o negoziale […]” (cfr. nota della STUP del XX, pp. XX). precisando altresì che “i contratti di affidamento sono contratti di durata, non aventi pertanto scadenza naturale”.
2.2. I servizi offerti in Applicazione agli utenti
I dati dei defunti inizialmente acquisiti vengono automaticamente pubblicati in Applicazione, ai fini della consultazione da parte degli utenti (“I dati inseriti dal Cliente, saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp®” attualmente pubblicata sugli App Store® di Apple e GooglePlay® di Google […]” (cfr. art. 14, par. 1 del contratto di concessione).
Anche al solo fine di poter usufruire dei servizi di consultazione e localizzazione delle sepolture offerti dall’Applicazione, gli utenti devono previamente registrarsi, mediante la creazione di apposito account. Ai fini della registrazione, attualmente, l’identificazione degli gli utenti finali avviene “tramite numero di cellulare validato con one time password (OTP). […] Successivamente alla validazione del numero di telefono con OTP, all’utente viene chiesto di completare il profilo con un nome utente ed un indirizzo email. […] L’email non viene validata e non è univoca […]” (cfr. verbale del XX, p. XX). L’utente ha inoltre la facoltà di completare il proprio profilo aggiungendo una foto, mediante caricamento dalla Galleria del proprio dispositivo mobile o con scatto istantaneo.
In tale contesto, la “presa visione dell’informativa privacy viene richiesta all’utente solo a seguito del perfezionamento della validazione del numero di cellulare mediante OTP e della finalizzazione dell’account con inserimento del nome utente e dell’indirizzo email”;” (cfr. verbale del XX, p. XX). Per quanto concerne le informazioni fornite agli utenti in merito al trattamento dei dati personali, in Applicazione sono presenti due informative: l’“A1 - Informativa sul trattamento dei dati per gli Utenti della Piattaforma “Aldilapp” e la “A2 - Informativa sul trattamento dei dati per le persone defunte presenti sulla Piattaforma “Aldilapp” […]” (cfr. in atti).
A seguito della predetta registrazione, l’utente è abilitato ad usufruire delle varie funzionalità presenti in Applicazione, quali:
1. Cercare un defunto: tale ricerca avviene mediante un modulo a partire dal Comune di sepoltura. Ciò in quanto, “tutte le attivazioni dei servizi legati al precipuo funzionamento di “Aldilapp” avvengono solo ed esclusivamente dietro richiesta dell’Ente Pubblico Comune e/o dal Gestore Cimiteriale avente l’opportuna delega da parte dell’Ente Pubblico Delegante. […]”; di conseguenza “i Comuni che non hanno attivato e/o aderito ai servizi offerti in APP non sono attualmente disponibili nell’elenco della funzione “Comune di sepoltura […]” (cfr. nota della STUP del XX, p. XX). L’utente, selezionando il Comune d’interesse, otterrà un elenco di defunti ordinati “per numero di visualizzazioni e per ordine alfabetico”. È prevista anche la ricerca di un defunto inserendo direttamente nome e/o cognome; in tale caso, “Man mano che la casella di ricerca viene compilata vengono filtrati i defunti aventi nel nome o nel cognome il testo digitato. In questo modo sarà possibile, ad esempio, cercare tutti i defunti che hanno un determinato cognome” (cfr. https://aldilapp.it/app/#cercare-defunto). Inoltre, come accertato dall’Autorità in data XX, all’avvio della consultazione nella bacheca principale, con indicata solo la “Nazione di sepoltura” (unicamente Italia), vengono indicate le “Dediche più visualizzate”, con indicazione sia della dedica che dell’utente autore della stessa. Procedendo poi alla ricerca del defunto, valorizzando i campi relativi al Comune di sepoltura, in aggiunta alle predette dediche vengono inoltre proposti all’utente i “Defunti in evidenza”, consistente in un elenco di defunti con indicato nome e cognome, età, cimitero di sepoltura ed eventuale foto;
2. Visitare il “profilo digitale” di un defunto: tale funzione consente di accedere alla scheda di un defunto, contenente, in primo luogo, nome, cognome, data di nascita e di morte, nonché l’ubicazione del luogo di sepoltura, rilevati da STUP in fase di censimento in loco. Mediante la funzione di geolocalizzazione (“Apri mappa”) l’utente può, altresì, ricevere le indicazioni per raggiungere il luogo di sepoltura mediante consultazione delle coordinate GPS su Google maps. Il profilo digitale può essere, inoltre, arricchito mediante caricamento della foto e della biografia del defunto, da parte dell’utente/degli utenti che ha/hanno rivendicato il profilo. Al riguardo, la Società ha rappresentato, in particolare, che “le foto che si trovano nell’Applicazione non sono state acquisite da STUP1 durante l’attività di rilevazione dei dati riportati sulle sepolture, ma sono esclusivamente inserite dai familiari a seguito della rivendicazione del profilo”; analogamente, “la funzione di “Amministratore” del profilo digitale del defunto, […] consente […] la redazione di una biografia dei propri cari soggetta ad attività di monitoraggio e moderazione al fine di evitare l’utilizzo di turpiloqui […sul] profilo oggetto di consultazione da parte di altri utenti” (cfr. verbale del XX, p. XX; si veda altresì nota della STUP del XX, p. XX). Nel medesimo profilo risultano altresì visibili le ulteriori attività degli utenti (caricamento di messaggi e dediche e accensione di ceri virtuali commemorativi) nonché l’elenco dei “Defunti correlati” mediante il quale all’utente che visita il relativo profilo vengono segnalati ulteriori profili di potenziale interesse.
L’Applicazione prevede inoltre una funzionalità “Condividi” che consente, ad ogni utente (anche non amministratore) di poter esportare il profilo digitale del defunto, mediante creazione di una scheda linkabile, accessibile anche da utenti non registrati all’Applicazione, in cui sono riportate, altresì, le più recenti attività di interazione (ceri virtuali, commenti più recenti, ecc.) realizzate, con indicazione dello specifico utente che le ha effettuate. Il profilo esportato è suscettibile, inoltre, di poter essere ulteriormente condiviso mediante la funzione “Condividi questo profilo sul tuo social preferito” (cfr. relazione di servizio dell’Autorità dell’XX);
3. Scrivere messaggi/dediche e accendere ceri virtuali: tale funzione consente a ciascun utente, sia nei profili rivendicati che non, di poter scrivere un pensiero per il defunto in una casella di testo a campo libero, e/o accendere un cero virtuale. Tali attività risultano automaticamente visibili a tutti gli utenti che visitano il profilo, unitamente all’indicazione dell’utente che l’ha effettuata nonché con il riferimento temporale (es. il giorno precedente, 15 giorni prima), senza possibilità di limitarne la visibilità. La STUP ha altresì precisato che “è possibile lasciare ricordi o accendere ceri anche per profili non rivendicati. La differenza riguarda la moderazione, non effettuata dall’amministratore del profilo, ma solo dalla STUP1” (cfr. verbale del XX, p. XX);
4. Segnalare un errore o un abuso sul profilo digitale: ciascun utente può inviare alla STUP una segnalazione in merito alla presenza di contenuti offensivi o non veritieri o errori sul profilo di un defunto. Rispetto ai contenuti pubblicati è prevista, altresì, un’attività di moderazione direttamente da parte della STUP nonché anche da parte dell’amministratore di un profilo “rivendicato” (cfr. nota della STUP del XX, pp. XX);
5. Seguire un defunto: tale funzione consente all’utente, in particolare, di restare aggiornato sulle attività svolte dagli altri utenti sul profilo “seguito”. Per attivare tale funzione l’utente è tenuto a selezionare il tipo di rapporto con il defunto (i.e. “Genitore”, “Moglie/Marito, “Figlio/a”, ecc., “Amico/a”, “Collega” o “Altro”; cfr. relazione di servizio dell’Autorità dell’XX);
6. Acquistare fiori o servizi in favore di un defunto: l’utente può acquistare, altresì, dei servizi di natura commerciale di varie tipologie, da effettuare presso il luogo di sepoltura del defunto; in particolare, “Le categorie ed i prodotti di servizi pubblicati dai Fornitori sono suddivisi in sezioni predeterminate condivise con il Gestore/Ente di riferimento e gli articoli contenuti nei cataloghi sono fissi ed invariabili, segnatamente, vengono erogati solo i seguenti servizi: […] Fornitura fiori freschi […e] finti sul sito cimiteriale; […] Pulizia […e] Lucidatura della Lapide/Sito cimiteriale; […] Altri gadget di abbellimento del sito (n.d.r. Lumini Elettrici, crocifissi ed accessori di ornamento)” (cfr. nota della STUP del XX, p. XX);
7. Diventare amministratori del profilo digitale: tale funzionalità è stata implementata sin dal primo rilascio dell’Applicazione (XX), al fine di poter “identificare i soggetti abilitati ad esercitare i diritti GDPR” (cfr. verbale del XX, p. XX) ed è stata successivamente oggetto di aggiornamenti successivi dell’Applicazione, in quanto ”attualmente, per rivendicare il profilo di un defunto è necessario “auto-certificare” attraverso una dichiarazione sostitutiva […] DPR n. 445/2000 […] il proprio grado di parentela […] a seguito del quale […l’] utente che lo ha riscattato […], in qualità di soggetto ex art. 2-terdecies D.Lgs. 196/2003 co. 1, assumerà il ruolo di “amministratore” del profilo […]. A seguito del corretto espletamento della procedura di verifica, l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente” (cfr. nota della STUP del XX, p. XX, nonché verbale del XX, p. XX).
Anche in sede di rivendicazione è richiesta l’indicazione del tipo di rapporto col defunto. Al termine delle varie fasi l’utente deve confermare la dichiarazione di riscatto del profilo mediante OTP ricevuto via SMS. Nell’ambito del processo di rivendicazione non viene fornita nuovamente l’informativa all’utente che riscatta il profilo. Tuttavia, all’avvio del processo di rivendicazione l’utente viene informato mediante apposita schermata che i suoi dati personali verranno condivisi con l’”Ente titolare dei dati” (cfr. verbale del XX, p. XX).
In sede d’ispezione, è stato accertato che l’amministratore di un profilo può caricare la fotografia e/o la biografia del defunto, inviare “istanze GDPR” (nei termini sotto indicati), autorizzare altri co-amministratori, effettuare attività di moderazione del profilo; l’amministratore può inoltre abilitare la ricezione di notifiche push sulle attività effettuate dagli altri utenti sul profilo amministrato (es. pubblicazione di messaggi, accensione di ceri virtuali, utilizzo di servizi commerciali), comprensive dell’indicazione del loro username (cfr. verbale del XX, p. XX, verbale del XX, pp. XX, nonché nota della STUP del XX, p. XX).
Con riguardo, in particolare, alle modalità di esercizio dei diritti, ai sensi dell’art. 2-terdecies del Codice, riguardanti le persone decedute da parte di un amministratore del profilo, è stato precisato che “Grazie […] all’inserimento della procedura di verifica di conformità del grado di parentela, all’interno del profilo dell’utente sarà presente la funzione per le comunicazioni dirette da parte dei soggetti ex art. 2-terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo) verso la Stup1 la quale, ricevute le istanze, provvede ad inoltrare automaticamente queste ultime al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […]” cfr. nota della STUP del XX, pp. XX); si specifica inoltre che “mediante la stessa funzione l’utente amministratore può esercitare sia i diritti ai sensi del 2-terdecies del Codice che per sé stesso ai sensi degli artt. 15-22 del Regolamento. Una volta valorizzati i campi, la richiesta viene perfezionata […e la] Stup1 […] provvederà a trasmetterla al titolare competente (Comune o Issam). L’utente […] che non ha rivendicato alcun profilo può esercitare, […] i diritti di cui agli artt.15-22 del Regolamento attivando un contatto diretto con la società (cfr. verbale del XX, pp. XX).
Con riferimento ai sopra menzionati servizi, si evidenzia che, in corso d’istruttoria, è emerso che il contratto stipulato con i clienti istituzionali comprende “l’intero pacchetto dei servizi forniti dall’applicazione Aldilapp […]”. Infatti, solo a seguito della richiesta del Comune di Velletri - tramite il proprio gestore Velletri Servizi - datata XX, di limitare i servizi forniti “a quelli strettamente collegati alla gestione e all’aggiornamento dell’anagrafica cimiteriale” la Società ha dichiarato di aver “dato corso alle attività di sviluppo di questa opzione di erogazione del servizio” escludendo le funzionalità relative alla gestione dei profili dei defunti e delle interazioni degli utenti (cfr. verbale del XX, p. XX).
2.3. I servizi offerti in Dashboard ai Comuni
Sulla Piattaforma Software sono a disposizione dei Comuni:
- le pagine del/dei singoli cimiteri, visibili dal Comune di riferimento, nei quali sono visualizzabili la denominazione e la localizzazione del cimitero, le aree di sepoltura e le singole tombe, ciascuna di esse “cliccabile e […contenente] i dati dell’occupante e dello stato della lampada votiva”, ai fini della “gestione e della fatturazione dei servizi di illuminazione votiva”;
- le schede relative ai defunti, contenenti i dati anagrafici del defunto, incluse le date di nascita e di morte e in cui è “altresì visualizzabile una sezione […] denominata “profilo defunto” ove, in caso di rivendicazione, sono presenti la foto o la biografia del defunto stesso”.
- nel “menù “contratti” relativo ai contratti di concessione”, ove inseriti dal Comune, sono presenti “i dati personali […] delle persone fisiche titolari di contratti di concessione (soggetti passivi dei canoni di concessione)” e la scadenza della concessione; nella relativa scheda “è possibile caricare documenti relativi al contratto di concessione”;
- “i dati personali delle persone fisiche che hanno riscattato il profilo di un defunto” comprensivi dei dati anagrafici degli stessi, della data di rivendicazione del profilo del defunto e del grado di parentela/legame con il defunto stesso nonché, per le rivendicazioni effettuate “successivamente al mese di XX, la documentazione conferita (dichiarazione sostitutiva, foto fronte e retro del documento di identità)” dai richiedenti, consultabili dagli operatori comunali nella sezione “rivendicazioni” della Dashboard. A decorrere dalla predetta data, le nuove rivendicazioni sono notificate “al Comune […] con trasmissione della relativa documentazione […] con la finalità di verifica della correttezza dei dati dichiarati dai soggetti legittimati”. L’istruttoria ha, tuttavia, rilevato che le mail di notifica della richiesta di rivendicazione dei profili sono state inviate da STUP “all’indirizzo email assegnato al Comune quale username di accesso alla dashboard […]”. Tale casella di posta elettronica non era tuttavia consultabile dagli stessi “in quanto non gli […erano state] fornite le relative credenziali di accesso […]” (cfr. verbale del XX, pp. XX e XX; nota della STUP del XX, pp. XX nonché p. XX).
2.4. I ruoli soggettivi nel trattamento dei dati personali
Con riferimento ai ruoli soggettivi, la STUP ha precisato che “Il trattamento relativo ai dati dei defunti vede i Comuni agire in qualità di Titolari del trattamento. I Comuni e/o gli enti affidatari dei servizi di gestione cimiteriale pongono in essere trattamenti relativi all’anagrafe cimiteriale che […] coinvolgono Stup1 S.r.l. […] in qualità di responsabile del trattamento. In questo caso, il titolare del trattamento comunica i dati di cui sopra alla Stup1 che, in proprio, o tramite la messa a disposizione di una dashboard dedicata sull’applicazione “Aldilapp”, di proprietà della Issam Consultancy ltd, […] e che la stessa Stup1 distribuisce in Italia, verranno inseriti nell’applicazione stessa” (cfr. nota della STUP del XX, pp. XX).
Sia la STUP che la ISSAM sono state designate responsabili del trattamento ai sensi dell’art. 28 del Regolamento, unicamente per il trattamento dei dati del defunto e con riguardo alle attività di “Manutenzione dell’applicazione”, “Gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione […] “Aldilapp®” […]” e “Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app” (cfr. “Nomina resp. ISSAM” e “Nomina resp. STUP 1 srls” in atti).
La STUP è stata designata, altresì, come responsabile del trattamento per il “Censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento” (cfr. “Nomina resp. STUP 1 srls” in atti).
In caso di riscatto di un profilo, la STUP trasmette al “Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […] copia dell’autocertificazione rilasciata da parte dell’utente” nonché le richieste trasmesse “ex art. 2terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo)” tramite la piattaforma” (cfr. nota della STUP del XX, pp. XX, nonché verbale del XX, p. XX). Il Comune “tramite dashboard o tramite proprio gestionale, provvede a rimuovere la visibilità del defunto dall’Applicazione. In caso di inerzia del Comune, STUP1 procede all’oscuramento in autonomia in via cautelativa previa comunicazione al Comune stesso. La decisione finale dell’oscuramento rimane del Comune che è il titolare del trattamento dei dati resi disponibili ai cittadini tramite l’Applicazione. La richiesta di oscuramento può anche essere sottomessa dai cittadini tramite istanza rivolta direttamente al Comune […]” (cfr. verbale del XX, p. XX). I Comuni interessati dall’istruttoria in esame, hanno precisato che, allo stato, nessuna istanza di esercizio dei diritti è stata trasmessa dalla STUP agli stessi o al relativo gestore dei servizi cimiteriali (cfr. note del Comune di Velletri del XX, p.XX, e della Velletri Servizi del XX, p. XX).
La STUP ha dichiarato che la ISSAM agisce in qualità di titolare del trattamento “dei dati personali degli utenti dell’applicazione Aldilapp […] e dei cosiddetti “Aldilapper” […] ovvero dei fornitori di servizi (ad esempio dei fiorai e/o manutentori) […]” (cfr. nota della STUP del XX, p. XX). Pertanto, la STUP è designata da ISSAM responsabile del trattamento ai sensi dell’art. 28 del Regolamento, per il trattamento di dati personali concernenti le “Anagrafiche degli utenti della piattaforma Aldilapp; Anagrafiche dei defunti presenti sulla piattaforma Aldilapp per i soli profili rivendicati; Anagrafiche degli “Aldilapper” della piattaforma Aldilapp” (cfr. “All. 1 Nomina responsabile Stup1- Società Benefit”, al verbale del XX) mentre la ISSAM, fornitrice della piattaforma “Aldilapp”, si occupa della “intera gestione tecnica dei database […]” (cfr. nota della STUP del XX, p. XX).
2.5. I riscontri del Comune di Velletri e della Velletri Servizi alle richieste di informazioni dell’Autorità
A fronte delle richieste di informazioni avanzate dall’Autorità con le citate note del XX, XX, XX e del XX in merito ai cimiteri di Velletri, sia il Comune che la Velletri Servizi hanno fornito i propri chiarimenti in merito ai profili di seguito evidenziati. I predetti riscontri sono stati forniti da parte del Comune con note del XX (prot. n. XX), del XX (prot. XX), del XX (prot. XX), del XX, (prot. n. XX), cui si rinvia integralmente, e dalla Velletri Servizi con note del XX (prot. dell’Autorità n. XX del XX), del XX (prot. dell’Autorità n. XX del XX), e del XX (prot. n. XX), cui si rinvia integralmente.
Per quanto concerne la gestione dei servizi cimiteriali, il Comune di Velletri ha dichiarato, in particolare, che “il servizio per la gestione del civico cimitero è stato affidato con apposito contratto e disciplinare a società interamente partecipata dal Comune, Società Velletri Servizi S.p.a. […] quale responsabile esterno al trattamento dei dati personali afferenti in servizio affidato “in house”, ai fini dello svolgimento delle “operazioni relative alla sepoltura, nonché tutte le operazioni successive alla prima sepoltura dei defunti all'interno del Civico Cimitero […]” (nota del Comune del XX; vd. anche “XX”, allegata alla nota del XX, pp. XX, nonché nota del XX, pp. XX).
Al riguardo, la Velletri Servizi è stata “nominata Responsabile esterno al trattamento, ai sensi dell'art. 28 del Regolamento, con apposito atto […], in relazione alle attività di cui all’art. 4 del contratto […di servizio]”, concernenti, in particolare, la “Gestion[e] delle concessioni […] Servizi necroscopici (anagrafe mortuaria, […] Altri servizi a supporto delle attività cimiteriali (servizio di custodia e vigilanza, servizio di comunicazione e informazione all’utenza, […] Servizio di censimento di tutti i loculi esistenti con digitalizzazione e dematerializzazione delle concessioni cartacee presenti” Nel predetto accordo sottoscritto ai sensi dell’art. 28 del Regolamento è indicato, in particolare, che “in esecuzione del contratto di servizi il fornitore eseguirà le operazioni di trattamento sulla seguente tipologia di dati personali […]: a) dati anagrafici intestatario […]; dati di contatto (telefono; e-mail); c) dati di pagamento e fatturazione […] riferiti alle seguenti categorie di interessati: a) utenti” (punto 3.1. Accordo); e che “Il responsabile […] tratterà i dati personali […] esclusivamente per le finalità inerenti all’esecuzione del contratto di servizi […]. In nessun caso il responsabile del trattamento potrà utilizzare i dati per altre finalità” (punto XX Accordo, cfr. allegato XX, pagg. XX e ss. alla nota del Comune di Velletri del XX).
A sua volta la Velletri Servizi, con la Determina n. XX del XX, nell’ambito delle attività affidate dal Comune con il Disciplinare del XX, prot. n. XX e del “progetto XX [che] ha posto come obiettivo l’implementazione ed efficientamento dei servizi ai cittadini tramite digitalizzazione […tra cui] il Civico Cimitero” ha determinato l’affidamento dell’attività alla società STUP “mediante l’utilizzo di un software […per] la completa digitalizzazione degli archivi cartacei […] e la geolocalizzazione del defunto a beneficio dei visitatori” (cfr. allegato 3 pagg. 31 e ss. alla nota del Comune di Velletri del XX).
In particolare, nel “Contratto di concessione di licenza d’uso “ALDILAPP”, tra i servizi inclusi nel preventivo sottoscritto dalla Velletri Servizi S.p.a. rientrano i seguenti: ““Account software Aldilapp”: Ricerca defunti (dati anagrafici e posizione di sepoltura), Profilo digitale del defunto, Servizio “Fidelio” – invio fiori e servizi di cura delle tombe – (l’amministrazione comunale è esonerata dalla gestione delle convenzioni con le attività commerciali), Mappatura e geolocalizzazione cimitero” nonché “Gestionale web-based per la gestione amministrativa delle concessioni” (cfr. Contratto concessione licenza d’uso ALDILAPP”, e “preventivo n. XX del XX”, p. XX e ss., allegato 4 alla nota del Comune di Velletri del XX).
Nell’accordo tra la Velletri Servizi e la STUP che disciplina, ai sensi dell’art. 28 del Regolamento, il trattamento dei dati personali da quest’ultima effettuati per conto del soggetto istituzionale sono indicati, in particolare, i seguenti trattamenti: manutenzione dell’applicazione; gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp” […] in ottemperanza a quanto previsto dall’art. 2-terdecies – d.lgs 196/2003 […] censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento” (cfr. allegato 3, pagg. XX e ss. alla nota del Comune di Velletri del XX).
Sul punto, la Velletri Servizi ha chiarito, in particolare, che “i servizi erogati agli utenti che si registrano nell’applicazione Aldilapp, sono la ricerca defunti, il profilo digitale del defunto e servizio fidelio. Le ulteriori attività oggetto del contratto stipulato tra Velletri Servizi e Stup 1 srl SB non prevedono la divulgazione dei dati a terzi. La modalità del trattamento dati “social” esclude qualsiasi tipo di esorbitanza rispetto agli scopi per i quali l’applicazione è stata adottata […]” (cfr. nota del XX, p. XX).
In merito all’incarico conferito alla STUP, la Velletri Servizi ha rappresentato di aver informato “con comunicazione pec del XX […] il Comune di Velletri dell’avvenuta stipula del contratto con la società STUP1 srl, adempiendo quindi all’aggiornamento dell’elenco dei sub-responsabili secondo quanto previsto nell’accordo del XX” (cfr. nota del XX, pp.XX); al riguardo, il Comune ha chiarito di essere stato notiziato da Velletri Servizi della stipula di un contratto di fornitura per l'applicativo “Aldilapp” con la STUP in data XX, cioè pochi giorni dopo la sottoscrizione del contratto stesso, e di avere, invece, acquisito solo in data XX (a seguito dell’avvio dell’istruttoria da parte dell’Autorità) la restante documentazione, e segnatamente la “determinazione di affidamento del servizio di digitalizzazione del civico cimitero”, l’”atto di stipula dell'accordo negoziale tramite Mepa”, la “sottoscrizione del contratto con la società STUP 1 srl” e la “nomina in favore della stessa di responsabile esterno al trattamento dei dati”(nota del Comune del XX, p. XX).
Ciò posto, la Velletri Servizi ha rappresentato che, con comunicazione del XX “in accordo con il Comune di Velletri, la […Velletri Servizi], in via meramente precauzionale, ha richiesto alla STUP 1 s.r.l. SB di sospendere temporaneamente tutti i servizi forniti attraverso l’applicazione ad esclusione della consultazione del registro defunti” (nota del XX, p. XX); il Comune, a sua volta, ha dichiarato che “è stata inviata […dalla Velletri Servizi] richiesta […] alla STUP 1 s.r.l. di sospensione temporanea dei servizi c.d. “social” dell'applicativo “Aldilapp” […] al fine di verificare compiutamente la rispondenza dei servizi alla normativa vigente, in ottemperanza al dovere di controllo e vigilanza del Titolare al trattamento dati” (nota del Comune del XX, p. XX, nonché “XX”, allegata alla nota del Comune del XX, p.XX). Tuttavia, avendo “appreso che il servizio al XX risulta[va] attivo”, il Comune ha successivamente rappresentato di aver richiesto “la sospensione completa dell'utilizzo dell'applicativo Aldilapp, [nonché] la revoca di tutti i dati trasferiti dalla Velletri Servizi S.p.A. alla Stup s.r.l.”, richiedendo alla Velletri Servizi “di porre in essere ogni azione necessaria alla corretta gestione dei dati […], in esecuzione del contratto sottoscritto con il Comune di Velletri e in ottemperanza alla nomina a responsabile esterno effettuata” (Allegato n. 1 alla nota del Comune di Velletri del XX).
Al riguardo, la Velletri Servizi, ha precisato che la stessa avendo appreso “con nota del […Garante] del XX che la richiesta di sospensione dei servizi di messaggistica e di acquisti tramite l’APP con mantenimento della sola funzione di ricerca dei defunti formulata alla Stup 1 srl SB in data XX, malgrado le comunicazioni intercorse in data XX […] -XX […] -XX […] è rimasta inspiegabilmente inevasa, ha risolto il contratto in essere con la società con espressa intimazione di immediata sospensione dell’intero servizio, contestuale inibizione agli utenti a qualsiasi tipo di dato inerente il cimitero di Velletri e restituzione di tutti i dati trattati in qualità di sub responsabili” (nota Velletri Servizi del XX, p. XX).
Veniva pertanto inviata apposita comunicazione alla STUP in data XX, chiedendo “il recesso dal contratto […] sottoscritto il XX intimando la contestuale sospensione dell’utilizzo dell’applicativo denominato ALDILAPP ad esso collegato in modo che risulti inibito ogni utilizzo riferito al cimitero del Comune di Velletri”, richiedendo altresì “la restituzione dei dati [...] prodotti e/o acquisiti nell’esecuzione del contratto [...] così come indicato nell’accordo sottoscritto ex art 28 del GDPR” (Allegato 2, alla nota del XX del Comune di Velletri).
Con riferimento alla base giuridica dei trattamenti di dati personali effettuati tramite l’Applicazione, il Comune ha dichiarato, in particolare, che “Per quanto concerne l’informatizzazione della banca dati afferente i dati dei soggetti tumulati all'interno del Civico Cimitero, ossia la gestione della c.d. anagrafe mortuaria, la stessa rappresenta un servizio pubblico essenziale e un'attività svolta nell'ambito dell'esercizio dei pubblici poteri attribuiti alla scrivente amministrazione. Tale attività, compresa la digitalizzazione e dematerializzazione, è svolta in ottemperanza a quanto stabilito dall’AgID, […] nell’ottica di efficienza ed efficacia della pubblica Amministrazione” (cfr., in particolare, nota del XX, pp. XX, nonché del XX, pp. XX) mentre la Velletri Servizi ha precisato che “la base giuridica del trattamento dei dati personali effettuato per l’erogazione dei servizi tramite l’applicazione è quella riscontrabile nella funzione di pubblico interesse collegata alla fruizione del registro cimiteriale, senza il vincolo della presenza fisica presso gli uffici per la sua consultazione e per consentire a chi vuole onorare la memoria dei defunti di poterlo fare senza doversi necessariamente recare presso il luogo di sepoltura” (cfr. nota del XX, p. XX).
Con riguardo alle modalità di “digitalizzazione” e al “nuovo censimento delle tombe geolocalizzandone la posizione esatta”, nonché alle tipologie di dati dell’anagrafe forniti alla STUP, ai fini dello svolgimento dei servizi assegnati a quest’ultima, è stato precisato, in particolare, che “tale categoria di servizi è quella indicata nella sezione del contratto [tra la Stup 1 Srls e la Velletri Servizi S.p.a.] alle premesse al successivo art. 3.4 punto iv, riguardante i “Servizi Accessori Complementari” [nello specifico, Servizi Digitalizzazione Aree Cimiteriali] i quali consistono […] (esclusivamente attraverso sistemi informativi interni legati e correlati alla piattaforma ed all’APP) in una rilevazione materiale della posizione della lapide all’interno del sito cimiteriale rispetto al numero del lotto, nome, cognome, data di nascita e di decesso, dati corrispondenti a quelli già presenti nel registro di cui agli artt. 52 e 53 del D.P.R. 285/90” e che “Qualora non fossero presenti detti dati nel registro in argomento, il servizio di “geolocalizzazione” ha il precipuo scopo di fornire gli stessi all’Ente sì da costituire il proprio “registro”, essendo l’Ente l’unico soggetto deputato alla consultazione della Dashboard di Aldilapp” (cfr. Allegato 4, pp. XX-XXalla nota del Comune del XX). Sul punto, la Velletri Servizi ha specificato, in particolare, che “in nessuna fase del rapporto intercorrente con la STUP 1 s.r.l. SB […sono] state fornite ulteriori tipologie di dati dell’anagrafe cimiteriale” (cfr. nota del XX, p. XX).
Rispetto alle modalità di gestione delle istanze per l’esercizio dei diritti riguardanti le persone decedute (art.15-22 del Regolamento e art. 2-terdecies del Codice, il Comune ha rappresentato che “a seguito del ricevimento delle istanze da parte dei soggetti legittimati all’esercizio dei diritti ivi correlati, [le stesse] saranno gestite dal “responsabile del trattamento” nominato [STUP] il quale, ricevute le richieste all’indirizzo di riferimento indicato nell’informativa e nell’atto di nomina procederà entro 15gg […] all’esame ed alla seguente evasione di dette richieste che ricomprenderanno tutte le facoltà indicate all’art. 2-terdecies del d.lgs. n. 196/2003 e smi e ne informerà puntualmente il titolare del trattamento” (Allegato 4, pagg. XX, alla nota del Comune del XX). Per quanto concerne la “richiesta di oscuramento riguardante 4 defunti (ricevuta per mezzo email ordinaria il XX” pervenuta per il cimitero di Velletri, il Comune ha dichiarato di “non [essere] stato coinvolto”, di non aver “mai avuto accesso alla piattaforma” né di aver “mai ricevuto, né dalla Velletri Servizi S.p.A., né dalla società Stup 1 s.r.l., alcuna autocertificazione ai fini della verifica del grado di parentela dei soggetti che procedevano all'attivazione del profilo nell'applicazione “Aldilapp” [...] verifica avrebbe potuto (e dovuto) essere eseguita dalla medesima società nell'ambito dei controlli che la stessa deve eseguire in ottemperanza della nomina a responsabile esterno fatta in suo favore dalla Velletri Servizi s.p.a. […]” (cfr. “XX”, datata XX, allegata alla nota del XX, nonché nota del Comune del XX, p. XX).
Al riguardo, la Velletri Servizi ha dichiarato di non aver “ricevuto alcuna comunicazione formale e ufficiale relativa alla richiesta di oscuramento dei dati personali riferiti a quattro soggetti deceduti, istanza che, secondo quanto riferito dalla società STUP1 […] sarebbe stata trasmessa via posta elettronica ordinaria alla medesima STUP1. Sul punto, si evidenzia che alla data del XX l’applicazione “AldilApp” risultava ancora in fase sperimentale […] A tale situazione si aggiunga che, in quella fase iniziale, non risultavano ancora consolidati i flussi comunicativi e gestionali tra gli attori coinvolti, né erano stati definiti in modo univoco i canali ufficiali attraverso i quali trasmettere o ricevere richieste di esercizio dei diritti da parte degli interessati o loro aventi causa”(cfr. nota del XX, p. XX).
Per quanto concerne, invece, gli aggiornamenti effettuati rispetto alla procedura di rivendicazione, nella comunicazione trasmessa alla STUP in data XX (prot. n. XX), inserendo in copia l’Autorità, la Velletri Servizi ha rappresentato che “con riferimento alla “grande rivisitazione” della funzionalità relativa al riscatto del profilo del defunto, attuata nella versione 8.3 dell’App […]. detta funzionalità – implicante l’acquisizione di autocertificazioni circa il rapporto di parentela e, più in generale, un coinvolgimento del Comune di Velletri e della Velletri Servizi S.p.A. in un trattamento di dati personali ultroneo rispetto a quello affidato – non è stata mai neppure comunicata, men che meno autorizzata, tanto da […Velletri Servizi], quanto dal Titolare del trattamento”. La medesima società ha altresì chiarito che “Per quanto riguarda l’evoluzione della piattaforma software, in particolare della Dashboard integrata, si precisa che Velletri Servizi S.p.A. ha appreso dell’aggiornamento tecnico introdotto a partire dal XX solo in seguito al ricevimento della nota trasmessa dal Garante del XX. Relativamente all’accesso alla Dashboard, in seguito a richiesta espressa nell’ambito dell’Ufficio è emerso come le credenziali non risultino trasmesse alla Velletri Servizi” (cfr. nota Velletri Servizi del XX, p. XX).
3. La contestazione effettuata dall’Autorità
Con riferimento alla condotta della Velletri Servizi, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ha notificato, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver effettuato il trattamento dei dati personali:
- omettendo di stipulare un accordo sulla protezione dei dati che preveda e disciplini in modo completo e adeguato tutti i trattamenti effettuati da parte degli altri responsabili del trattamento – STUP e ISSAM - per conto del Comune titolare del trattamento, e per aver omesso di vigilare adeguatamente sui trattamenti effettuati dai predetti sub responsabili, in violazione dell’art. 28, par. 4, del Regolamento;
- in violazione degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.
La Velletri Servizi, con l’atto sopra citato, è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).
Con nota del XX (prot. dell’Autorità n. XX del XX), la Velletri Servizi, che non ha chiesto di essere audita, ha presentato una memoria difensiva, cui si rinvia integralmente, rappresentando in particolare che:
- “ha sempre inteso dare corso al mandato ricevuto [dal Comune], senza determinare in modo autonomo mezzi o finalità del trattamento. Ciò è tanto più vero, ove si considerino gli atti prodromici con cui Velletri Servizi ha affidato il servizio di digitalizzazione alla società STUP 1 […mediante] una prima determina – n. XX del XX – con cui si è dato corso alla trattativa privata per la digitalizzazione del cimitero […e] successiva delibera – n. XX del XX – con cui è stato formalizzato l’affidamento del censimento fisico di tutte le postazioni cimiteriali […] In particolare, tale ultima delibera prevedeva che la rilevazione delle postazioni cimiteriali, prevedesse “nome e cognome del defunto, data di nascita, data di morte, presenza della luce votiva specificando: luce accesa, luce spenta, luce assente; zona di appartenenza specificando: settore, tronco, fila e numero di posto”. Questi sono stati gli unici incarichi affidati da Velletri Servizi a Stup 1”;
- “E’ altresì opportuno precisare che sebbene l’account software Aldilapp offrisse […] tra gli altri servizi, anche il gestionale web-based per la gestione amministrativa delle concessioni, Velletri Servizi non si è mai avvalsa di questo servizio […avendo] sempre svolto in proprio, per il tramite del personale interno, tutte le attività connesse alla gestione delle concessioni, senza avvalersi di fornitori esterni, essendosi, a tal fine, dotata di un apposito software […] Sicché, STUP 1 non ha mai effettuato trattamenti di dati personali connessi alla gestione amministrativa delle concessioni”;
- “[…] dell’affidamento – limitatamente alla digitalizzazione e censimento delle tombe – è stata data notizia al Titolare in data XX […] ai sensi dell’art. 6 dell’Accordo per il trattamento dei dati. In tale periodo, il Comune era in fermento in vista delle elezioni amministrative […ma] In ogni caso, delle caratteristiche del servizio il Comune è venuto a conoscenza in vista dell’organizzazione della conferenza stampa di presentazione del progetto […] che è stato individuato e promosso come strumento di efficientamento in favore dei cittadini”;
- “[…] non ha mai inteso rivestire un ruolo autonomo nella determinazione delle finalità e nei mezzi del trattamento. Tantomeno ha mai assunto né rivendicato un ruolo di direzione o controllo sulle logiche funzionali dell’architettura software di Aldilapp, trattandosi di un’applicazione in modalità “chiavi in mano”, offerta da STUP 1 con pacchetto standardizzato, non personalizzabile, come espressamente dichiarato dal fornitore anche nella documentazione contrattuale […] Lungi dal volere eludere o violare le disposizioni di cui all’art. 28, par. 4 del Regolamento […] le modalità di regolamentazione dei rapporti con STUP 1 sono state il frutto di una valutazione giuridica condotta in buona fede, secondo cui, fatta eccezione che per i trattamenti di natura istituzionale delegati (digitalizzazione e censimento), per gli ulteriori trattamenti, STUP 1 avrebbe operato in qualità di titolare autonomo del trattamento, e non già come sub-responsabile. Pertanto, nella rappresentazione giuridica originariamente adottata da Velletri Servizi S.p.A., i trattamenti oggetto di affidamento a STUP 1 in qualità di sub-responsabile ex art. 28 GDPR riguardavano esclusivamente: il censimento [e] la digitalizzazione dell’anagrafica cimiteriale (nome, cognome, date di nascita e morte, posizione fisica della tomba) con geolocalizzazione delle sepolture all’interno del civico cimitero;
- “In assoluta buona fede, […] – come, d’altra parte, numerosi altre Amministrazioni coinvolte […] – ha inteso l’applicativo Aldilapp come un “hub” in grado (i) di fornire i servizi istituzionali richiesti; (ii) e al contempo di smistare i dati verso altri titolari autonomi (i partner commerciali locali), sulla base delle richieste dei singoli utenti. Sicchè, il Comune/Velletri Servizi rimanevano, rispettivamente, titolare e responsabile dei dati contenuti nei registri cimiteriali di propria competenza e degli atti amministrativi connessi (es. dati dei defunti), senza determinare, né controlla[re] l’uso di dati personali quando l’utente utilizza funzionalità come ordini di servizi o interazioni social offerte dall’app […]”;
- “[…] ha sempre evidenziato […] di non essere stata messa in adeguata conoscenza delle modifiche sostanziali dell’applicazione implementate con la versione 8.3, per non avere avuto accesso alla Dashboard, stante la mancata trasmissione delle credenziali di accesso […] A conferma dell’assenza di un effettivo coinvolgimento nelle scelte progettuali, si precisa che Velletri Servizi non solo non è stata informata in via preventiva ma […] l’avviso circa delle modifiche tecniche “sarebbe avvenuto” mediante notifica in dashboard. Quindi con una modalità che, se pure Velletri Servizi avesse avuto le credenziali di accesso alla dashboard, non sarebbero state idonee ad avere un quadro chiaro dell’evoluzione dell’architettura dell’applicazione, soprattutto per quanto attiene le implicazioni connesse ai dati istituzionali. Va in ogni caso ribadito che – a seguito di una verifica interna – non risulta che le dette credenziali siano state trasmesse […]”;
- “Con riferimento all’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice Privacy – in particolare alla fase di rivendicazione del profilo digitale del defunto e alla gestione delle istanze da parte degli utenti – si ribadisce che Velletri Servizi S.p.A. ha sempre operato in buona fede, nella convinzione di adempiere correttamente al proprio ruolo di responsabile del trattamento, come formalmente definito dall’atto di designazione ricevuto dal Comune di Velletri. Ed anzi, proprio nei limiti della delega dei dati personali, conferiti dal Comune. Tale convinzione è stata peraltro rafforzata dall’assenza di indicazioni specifiche, direttive operative o richieste di chiarimento da parte del Titolare, il quale era perfettamente a cono-scenza dell’architettura e delle funzionalità del servizio, se non altro dal XX, […] Si riconosce che, con il senno del poi, una più puntuale regolamentazione contrattuale dei trattamenti relativi ai soggetti legittimati ex art. 2-terdecies – quali familiari, eredi o altri soggetti autorizzati – avrebbe potuto contribuire ad evitare incertezze interpretative, nonché le contestazioni oggetto del presente procedimento. Tuttavia, si evidenzia come l’assenza di tale regolamentazione non sia dipesa da negligenza o volontà elusiva, bensì da una valutazione in buona fede, maturata anche in ragione del silenzio del Titolare, della natura meramente tecnica della funzionalità, e del suo inserimento in un pacchetto applicativo standardizzato, accessorio rispetto al core service di digitalizzazione dei registri anagrafici cimiteriali”.
4. Esito dell’attività istruttoria
4.1. La normativa applicabile in materia di protezione dei dati personali.
In via preliminare, si rappresenta che il presente provvedimento ha ad oggetto esclusivamente le criticità riscontrate in relazione ai trattamenti effettuati in Applicazione e nella Piattaforma Software, da parte dei soggetti coinvolti nella presente istruttoria, per come attualmente configurati, restando in ogni caso impregiudicata ogni eventuale successiva valutazione in relazione ad una diversa riconfigurazione degli stessi.
Ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).
Per quanto concerne il concetto di interessato, il Regolamento prevede che lo stesso “non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” (cons. 27 del Regolamento).
In ambito nazionale, l’art. 2-terdecies (Diritti riguardanti le persone decedute) del Codice prevede, tra l’altro, che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Per quanto concerne le condizioni di liceità, il trattamento posto in essere da parte dei soggetti pubblici o gestori dei pubblici servizi è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, (art. 6, par. 1, lett. c) ed e), 2 e 3 e nonché art. 2-ter del Codice).
Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, di cui all’art. 5 del Regolamento, fra cui quello di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).
Con riferimento al caso di specie, la gestione dei servizi cimiteriali – in cui sono incluse, altresì, le attività di gestione e custodia dei cimiteri e dei locali annessi - rientra tra le attività istituzionali affidate agli enti locali, che non possono, pertanto, “spogliarsi” di tale finalità e compito, ma possono scegliere di affidarne la gestione a soggetti terzi disciplinando il rapporto, per gli aspetti relativi al trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento.
Ciò in quanto il titolare del trattamento, per lo svolgimento delle attività di competenza, può avvalersi di soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali e che operino sotto la sua responsabilità (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (cons. n. 81 e art. 28, parr. 1 e 3, del Regolamento).
Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” e deve adottare “tutte le misure richieste ai sensi dell’art. 32” dal titolare (art. 28, par. 3, lett. a) e c) del Regolamento); inoltre, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento).
In aggiunta, nelle citate Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del Regolamento, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, si rappresenta che “il titolare stabilisce le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento. Il titolare del trattamento è chiamato a decidere tanto sulle finalità quanto sui mezzi. Tuttavia, taluni aspetti più prettamente pratici legati all’implementazione del trattamento («mezzi non essenziali») possono essere delegati al responsabile del trattamento. Per essere qualificato come titolare del trattamento non è necessario che tale soggetto abbia accesso effettivo ai dati trattati” (cfr. par. 99, nonché p. 3 delle citate Linee Guida).
In aggiunta, si evidenzia che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento […]” e che “Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento […] prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del […Regolamento]. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile” (art. 28, parr. 2 e 4, del Regolamento).
4.2. Le violazioni accertate
Dal quadro conoscitivo risultante dalla complessa e articolata attività istruttoria effettuata, comprensiva di tutti gli elementi acquisiti dai diversi soggetti coinvolti nell’istruttoria – anche in sede ispettiva presso la STUP nonché in occasione delle audizioni dei Comuni coinvolti - è stato accertato che il trattamento di dati personali concerne varie categorie di interessati, tra cui, in particolare, gli utenti che si registrano in Applicazione, al fine di poter usufruire dei vari servizi offerti. Tali servizi costituiscono un pacchetto ab origine unitario e inscindibile che viene complessivamente attivato dai clienti istituzionali – direttamente i Comuni o tramite i propri gestori dei servizi cimiteriali - con la sottoscrizione del contratto di concessione di licenza d’uso dell’Applicazione e della Piattaforma Software con la STUP.
L’erogazione di tali servizi implica il trattamento di dati non solo dei defunti ma, altresì, di ulteriori interessati che, in base al livello di interazione e del servizio richiesto in Applicazione, possono essere di minore o maggiore portata.
Infatti, qualora un interessato acceda in Applicazione per usufruire unicamente del servizio – di natura propriamente istituzionale - di ricerca online della posizione dei defunti nei cimiteri del Comune di riferimento, tale servizio è comunque subordinato alla creazione di apposito account, che comporta il conferimento di una serie di dati personali (inclusi dati di contatto quali numero di cellulare ed indirizzo email), e a una procedura di autenticazione.
Pertanto, anche solo ai fini di poter usufruire del citato servizio pubblico, il cittadino viene obbligato a registrarsi e creare un account a suo nome nell’Applicazione – utilizzata come unico canale digitale di informazione sull’ubicazione dei defunti – e a fornire i propri dati personali.
In sede di istruttoria è stato accertato che il servizio di ricerca delle sepolture risulta indissolubilmente legato agli ulteriori servizi offerti in Applicazione, quali quelli di natura commerciale e social, aventi natura ultronea rispetto ai compiti istituzionalmente attribuiti ai Comuni. Ciò si evince, in primo luogo, dal fatto che, una volta individuato il defunto oggetto di ricerca, per poter accedere alle indicazioni in merito all’ubicazione della sepoltura è necessario consultare il relativo “profilo digitale del defunto” in cui risultano visibili, in modo inscindibile, non solo i dati anagrafici del defunto stesso e l’attuale ubicazione della sepoltura, bensì anche le attività di interazione effettuate dagli utenti sul predetto “profilo”.
In altre parole, la ricerca effettuata dall’utente non restituisce la sola informazione relativa all’ubicazione del defunto bensì un vero e proprio “profilo”, arricchito di numerose funzionalità. I “profili digitali” vengono, infatti, creati di default in Applicazione a seguito dell’acquisizione dell’elenco cimiteriale del Comune (risultato del censimento o dell’acquisizione dei registri comunali già digitalizzati) e resi di default immediatamente visualizzabili e abilitati a ricevere interazioni da parte degli utenti (i.e. rivendicazione del profilo, pubblicazione di messaggi di cordoglio, accensione di ceri virtuali, ecc.), con conseguente arricchimento del profilo digitale di ulteriori dati personali, relativi agli utenti e ad attività aventi natura prevalentemente “social” o di tipo commerciale da questi ultimi effettuate.
Al riguardo, il Comitato Europeo per la Protezione dei dati (di seguito “CEPD”) intende per "social media", le “piattaforme online che consentono lo sviluppo di reti e di comunità di utenti, tra i quali vengono condivisi contenuti e informazioni […] Tra le caratteristiche principali dei social media figurano la possibilità per le persone fisiche di registrarsi al fine di creare "account" […] o "profili" per sé stesse, di interagire tra loro condividendo contenuti generati dagli utenti o altri contenuti nonché di sviluppare collegamenti e reti con altri utenti“ e che “Oltre alle piattaforme di social media "tradizionali", tra gli ulteriori esempi di social media si annoverano: […] piattaforme nel contesto delle quali gli utenti registrati possono caricare i propri video, commentare i video pubblicati da altri e creare collegamenti con tali video; oppure giochi per computer nel contesto dei quali gli utenti registrati possono […], scambiarsi informazioni o condividere le loro esperienze […]” (cfr. Linee guida 8/2020 sul targeting degli utenti di social media Versione 2.0 adottate dal CEPD il 13 aprile 2021, parr. 1 e 2).
In merito, la STUP ha evidenziato che l’Applicazione fornisce “un'esperienza utente unificata sulla piattaforma […] e la creazione di una community commemorativa virtuale” (cfr. memoria difensiva della STUP del XX, prot. dell’Autorità n. XX del XX.
Su tale ultimo aspetto, il sistema non consente agli utenti – né ai clienti istituzionali -di poter selezionare il grado di visibilità di quanto pubblicato in Applicazione. Né la creazione del profilo digitale – con tutte le abilitazioni e funzionalità annesse - deriva da una volontà espressa dall’interessato medesimo (ormai defunto) o da parte di un eventuale soggetto legittimato.
Con riguardo ai dati personali delle persone decedute, il Regolamento prevede la “clausola di salvaguardia” (considerando n. 27), riconoscendo la facoltà agli Stati membri di “prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Il riconoscimento, effettuato dal Codice, della possibilità per i soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, di esercitare i diritti in luogo delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento – fra cui, non solo il diritto di accesso, di rettifica, cancellazione dei dati, limitazione o opposizione al trattamento, ma anche il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai “principi applicabili al trattamento di dati personali” nel rispetto delle condizioni di “liceità del trattamento”, in quanto compatibili (cfr. provv. ti n. 304 del 15 settembre 2022, doc. web n. 9810028, n. 90 del 23 marzo 2023, doc. web n. 9888188, n. 466 del 5 ottobre 2023, doc. web n. 9953563 nonché, da ultimo, provv. n. 82 del 19 febbraio 2024, doc. web n. 9996647 e i provvedimenti ivi citati).
Inoltre, per quanto concerne i servizi della società dell’informazione, i commi 2 e 3 dell’art. 2-terdecies, comma 2 del Codice presuppongono, una “conoscenza” e una forma di “controllo” preventivi da parte dell’interessato rispetto alla propria “identità digitale”, potendo lo stesso vietare l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento da parte dei soggetti di cui al primo comma del medesimo articolo mediante “dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”, frutto di una volontà “specifica, libera e informata”.
Ciò non può verificarsi nel caso di specie, posto che le informazioni relative al defunto, trattate inizialmente dai Comuni per specifiche finalità di natura istituzionale (polizia mortuaria, gestione cimiteriale ecc.), vengono successivamente utilizzate, mediante la trasposizione di default in Applicazione e visualizzate dagli utenti unicamente nella forma di “profilo del defunto”, comprensivo delle funzionalità e delle informazioni ulteriori (commenti), accessibili a chiunque, senza tener conto anche dell’interesse al riserbo personale e familiare dell’interessato deceduto o delle relative famiglie.
Né il predetto trattamento può giustificarsi sulla base della circostanza che i dati personali e l’immagine del defunto sarebbero comunque esposti fisicamente in un luogo aperto al pubblico, in quanto tale esposizione, a differenza del “profilo digitale”, appare connessa a circoscritte finalità legate al ricordo, alla memoria e alla pietà per il defunto, e risultano conoscibili unicamente alle persone, anche non familiari, in visita presso il cimitero (in merito a tale principio, si veda il provv. del 19 dicembre 2002, doc. web n. 1067167, relativo alla diffusione su una testata giornalistica dei dati personali di minori vittime di una calamità naturale, acquisiti presso le sepolture nel cimitero locale).
Inoltre, la presenza della funzione “Esporta” in ciascun profilo digitale presente in Applicazione, espone a maggiori rischi in merito alla circolazione e strumentalizzazione di tali informazioni concernenti, come detto, dati personali non solo di defunti ma, altresì, degli utenti dell’Applicazione stessa.
In secondo luogo, si fa presente che la creazione di default di un profilo digitale del defunto, vincola i soggetti che intendano tutelare l’interessato deceduto o abbiano un interesse proprio, a dover fornire ulteriori dati personali posto che, come rappresentato dalla STUP, ai fini dell’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice mediante l’Applicazione, solo “la persona che […ha] rivendicato un profilo: […] può inviare istanze GDPR (si abilita un menù “istanze GDPR” dove si possono esercitare i diritti in vece del defunto) […] Queste attività non possono essere svolte se un profilo non viene amministrato“. Si evidenzia altresì che è proprio dalla creazione di default del “profilo digitale del defunto” - anziché dei soli dati strettamente necessari ai fini della ricerca dell’ubicazione - che deriva la necessità di chiederne l’”oscuramento”, al fine di evitarne l’esposizione digitale nelle forme sopra descritte.
In aggiunta, la commistione inscindibile tra finalità istituzionali e finalità ulteriori si evince dal fatto che, nel caso di scioglimento del rapporto contrattuale con l’Ente di riferimento, la STUP intende comunque mantenere la visibilità in Applicazione del profilo rivendicato come “bacheca virtuale”, posto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società e al momento della rivendicazione manifesta uno specifico interesse soggettivo rispetto al profilo rivendicato. Tale scelta di business comporta la conservazione dei profili rivendicati e dei commenti anche a seguito dello scioglimento del rapporto contrattuale con il Comune di riferimento e il conseguente mantenimento della visibilità dei profili rivendicati nell’Applicazione e delle funzionalità correlate”.
4.2.1. Inidonea regolamentazione del rapporto ai sensi dell’art. 28 del Regolamento tra Velletri Servizi, STUP e ISSAM
Nell’ambito dei servizi erogati in Applicazione, vengono fornite agli utenti due informative distinte (le citate informativa A1 e A2), in cui sono indicate distinte titolarità del trattamento.
Nell’informativa A1, relativa al trattamento dei dati degli utenti dell’Applicazione, ISSAM è indicata come titolare del trattamento, mentre nell’informativa A2, nel premettere che l’Applicazione consente ai “Comuni o agli Enti di gestione cimiteriale la pubblicazione digitalizzata degli elenchi dell’anagrafe cimiteriale”, è precisato che “titolare del trattamento è il Comune o l’Ente di riferimento” e che “ISSAM CONSULTANCY LTD agisce in qualità di Responsabile del trattamento dei dati”. È inoltre indicato che “i parenti di primo grado del defunto possono fare richiesta per diventare Amministratori del suo profilo […], una volta ultimata la procedura e validato il passaggio, ISSAM diventerà titolare del trattamento dei dati”.
Ai fini dell’effettivo inquadramento dei ruoli delle parti, è opportuno in primo luogo ricordare che le Linee Guida 07/2020 precisano che “sebbene fonti giuridiche esterne possano contribuire all’individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati. […]” e che “vi sono casi in cui la titolarità può essere ricavata dalla competenza espressamente conferita per legge, ad esempio quando il titolare del trattamento o i criteri specifici per la sua designazione sono determinati dal diritto nazionale o dell’Unione. […] In assenza di titolarità derivante da disposizioni giuridiche, la qualifica di titolare del trattamento deve essere stabilita sulla base di una valutazione delle circostanze concrete del trattamento […prendendo] in considerazione tutte le circostanze di fatto pertinenti al fine di stabilire se uno specifico soggetto eserciti un’influenza determinante sul trattamento dei dati personali in questione […] Anche se il responsabile del trattamento offre un servizio definito in via preliminare in modo specifico, al titolare del trattamento deve essere messa a disposizione una descrizione dettagliata di tale servizio e spetta al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche. Inoltre, il responsabile del trattamento non può modificare successivamente gli elementi essenziali dello stesso senza l’approvazione del titolare del trattamento” (cfr. Linee guida 7/2020, parr. 13, 22, 24, 25 e 30).
A tal proposito, i Comuni sono titolari del trattamento per quanto concerne, in primis, i trattamenti connessi allo svolgimento delle proprie funzioni istituzionali, tra cui quelle gestite tramite l’Applicazione (es. servizi di comunicazione e informazione all’utenza, gestione delle concessioni cimiteriali e dell’illuminazione votiva, etc.).
In tale contesto, la titolarità si desume dalle competenze espressamente conferite al Comune dal quadro normativo di settore. Come già evidenziato, il Comune di Velletri ha affidato alla Velletri Servizi, con apposito contratto disciplinare (di seguito “Contratto e del Disciplinare di servizio”), la gestione dei servizi cimiteriali, indicati all’art. 4 del disciplinare, tra i quali figurano la “gestion[e] delle concessioni”, “l’anagrafe mortuaria”, “altri servizi a supporto delle attività cimiteriali”, inclusi il “servizio di comunicazione e informazione all’utenza” e il “Servizio di censimento di tutti i loculi esistenti con digitalizzazione e dematerializzazione delle concessioni cartacee presenti” (cfr. allegato XX alla nota XX citata, “XX, prot. n. XX del XX”).
Inoltre, il Comune di Velletri ha designato la Velletri Servizi “quale Responsabile del trattamento, ai sensi dell'art. 28 del Regolamento […], in relazione alle attività di cui all’art. 4 del contratto summenzionato” (cfr. Relazione Settore VI, Ufficio manutenzione Civico Cimitero e Concessioni Cimiteriali, denominata “allegato xx, nonché allegati XX e XX alla nota XX citata). Dal predetto ”Accordo per il trattamento dei dati personali tra il Comune di Velletri e la Velletri Servizi Spa”, sottoscritto il XX (di seguito, “Accordo”), si rileva che quest’ultima:
- “eseguirà le operazioni di trattamento sulla seguente tipologia di dati personali […]: a) dati anagrafici intestatario […]; dati di contatto (telefono; e-mail); c) dati di pagamento e fatturazione […] riferiti alle seguenti categorie di interessati: a) utenti” (punto 3.1. Accordo)”;
- “tratterà i dati personali […] esclusivamente per le finalità inerenti all’esecuzione del contratto di servizi […]. In nessun caso il responsabile del trattamento potrà utilizzare i dati per altre finalità” (punto 3.2 Accordo);
- “il Comune di Velletri, titolare del trattamento, “concede l’autorizzazione generale, ai sensi dell’art. 28, comma 2, del GDPR […] a incaricare un altro responsabile del trattamento […] in relazione alle operazioni di trattamento di cui al precedente art. 4” (punto 6.2 Accordo), fermo restando l’impegno a “comunicare al titolare ogni variazione dell’elenco dei sub-responsabili” e la “facoltà [del titolare] di opporsi alla nomina dei sub-responsabili“ (punti 6.3 e 6.4 Accordo).
In tale contesto, la Velletri Servizi S.p.A., ha affidato alla STUP alcuni dei servizi cimiteriali ad essa assegnati in gestione dal Comune. Nel “Contratto di concessione di licenza d’uso “ALDILAPP”, tra i servizi inclusi nel preventivo sottoscritto dalla Velletri Servizi rientrano i seguenti: “Account software Aldilapp”, ”Ricerca defunti (dati anagrafici e posizione di sepoltura)”, “Profilo digitale del defunto”, “Servizio “Fidelio” – invio fiori e servizi di cura delle tombe”, “Mappatura e geolocalizzazione cimitero”, “Gestionale web-based per la gestione amministrativa delle concessioni” (cfr. “Contratto concessione licenza d’uso ALDILAPP”, e “preventivo n. XX del XX”, p. XX, allegato XX, nota XX citata).
Nell’accordo tra la Velletri Servizi e la STUP, che disciplina, ai sensi dell’art. 28 del Regolamento il trattamento dei dati personali effettuati dalla STUP tramite l’Applicazione e la Piattaforma Software in qualità di responsabile, sono indicati i seguenti trattamenti: “manutenzione dell’applicazione; gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp” […] in ottemperanza a quanto previsto dall’art. 2-terdecies – d.lgs 196/2003 […]; acquisizione del consenso al trattamento dei dati da parte degli utenti in fase di creazione account; gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso le app; censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento”. Il predetto Accordo precisa altresì che, con riguardo alla “natura e scopo” del trattamento, “la tipologia e le finalità del trattamento […] sono dettagliatamente descritti nel contratto di concessione della licenza” d’uso “ALDILAPP” (cfr. allegato XX, pagg. XX e ss. alla nota XX citata).
Tali attività sono indicate, altresì, nell’informativa resa agli utenti dell’Applicazione denominata “A2 - Informativa sul trattamento dei dati per le persone defunte presenti sulla Piattaforma Aldilapp” in cui è precisato che “[…] I comuni che decidono di servirsi di Aldilapp potranno […] offrire un servizio utile ai cittadini e, nel contempo, digitalizzare il proprio cimitero comunale e avere a disposizione un database dell’anagrafe cimiteriale aggiornato […] Aldilapp permette quindi ai Comuni o agli Enti di gestione cimiteriale la pubblicazione digitalizzata degli elenchi dell’anagrafe cimiteriale. In questo caso […] il titolare del trattamento è il Comune o l’Ente di riferimento. Tuttavia, i parenti di primo grado del defunto possono fare richiesta per diventare Amministratori del suo profilo al fine di personalizzarne la foto o scriverne la biografia. In questo caso, una volta ultimata la procedura e validato il passaggio, ISSAM diventerà titolare del trattamento dei dati” (cfr. documento “XX, p. XX, nota XX citata).
Ciò premesso, si rileva che nell’accordo stipulato tra la Velletri Servizi e la STUP, ai sensi dell’art. 28 del Regolamento, che disciplina il trattamento dei dati personali effettuati dalla STUP in qualità di responsabile, la Velletri Servizi si qualifica quale “titolare del trattamento”. Al riguardo, si ricorda che “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. […] Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. […] Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto” (cfr. punto 28, Linee guida 7/2020).
Nel caso concreto, il responsabile ha scelto le modalità con cui eseguire i trattamenti relativi ad alcuni dei servizi cimiteriali ad esso attribuiti nell’ambito del Contratto e del Disciplinare di servizio. Sul punto, si ricorda che anche le Linee Guida 7/2020 del CEPD prevedono che la titolarità non è esclusa anche nel caso in cui vi siano ”decisioni […] che possono essere lasciate a discrezione del responsabile del trattamento […quali] i mezzi non essenziali [che] possono essere determinati anche dal responsabile del trattamento, […e che] riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento” (cfr. punti 39-40 delle Linee Guida cit.).
Alla luce di tali indicazioni e della circostanza che i servizi cimiteriali sono gestiti dalla Velletri Servizi per conto del Comune, non può condividersi l’inquadramento della Velletri Servizi quale titolare del trattamento indicato nell’accordo stipulato con la STUP ai sensi dell’art. 28 del Regolamento. Ciò in quanto il gestore dei servizi cimiteriali effettua il trattamento dei dati personali non per proprie finalità ma per conto del Comune stesso - committente e titolare del trattamento in base al quadro normativo di settore - nell’esecuzione del Contratto e del Disciplinare di servizio (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento).
Più propriamente, considerato inoltre che, in base all’Accordo sopra menzionato, alla Velletri Servizi è concessa “l’autorizzazione generale, ai sensi dell’art. 28, comma 2, del GDPR […] a incaricare un altro responsabile del trattamento […] in relazione alle operazioni di trattamento di cui al precedente art. 4”, ferma restando la “facoltà [del titolare] di opporsi alla nomina dei sub-responsabili“, la Velletri Servizi riveste il ruolo di responsabile del trattamento per conto del Comune titolare del trattamento, e la STUP quello di sub-responsabile (punti XX, XX e XX Accordo; allegato XX alla nota del XX).
Per quanto concerne gli ulteriori trattamenti effettuati tramite l’Applicazione - diversi da quelli connessi alle funzioni istituzionali, quali quelli di tipo “social” e commerciale - risulta invece necessario esaminare gli specifici elementi acquisiti in sede di istruttoria al fine di un corretto inquadramento dei ruoli soggettivi di titolare e responsabile del trattamento. Tale analisi si rende necessaria in quanto negli accordi sottoscritti con la STUP e con la ISSAM ai sensi dell’art. 28 del Regolamento, e nell’informativa resa agli utenti in fase di registrazione e di utilizzo dell’Applicazione (Informativa A2), è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti.
In primo luogo, occorre considerare la legittima aspettativa degli utenti in merito alla riconducibilità ai Comuni dei servizi offerti dall’Applicazione, essendo la stessa utilizzata da questi ultimi – anche per il tramite dei gestori dei servizi cimiteriali, come avvenuto per il Comune di Ancona - per fornire, anche in via esclusiva, all’utenza le informazioni sull’ubicazione dei defunti nei cimiteri comunali.
L’informativa A2 fornita agli utenti indica espressamente, come detto in precedenza, che “I comuni che decidono di servirsi di Aldilapp potranno […] offrire un servizio utile ai cittadini e, nel contempo, digitalizzare il proprio cimitero comunale e avere a disposizione un database dell’anagrafe cimiteriale aggiornato esponendo, inoltre, una segnaletica ordinata all’interno del cimitero. Grazie a questa innovativa applicazione i comuni che aderiscono al servizio Aldilapp, potranno fornire una rete di servizi che impiega le imprese locali offrendo loro la possibilità di allargare la loro attività anche a utenti che non possono raggiungere fisicamente il cimitero, ma hanno l’esigenza di stare vicino a propri cari defunti portando fiori freschi o pulendo la tomba che li accoglie”.
La pubblicizzazione sui siti istituzionali dei Comuni del ricorso all’Applicazione ai fini dell’accesso ai servizi informativi cimiteriali, rafforza ulteriormente nell’utente la legittima aspettativa che il servizio sia fornito dal Comune e che, conseguentemente, lo stesso sia il titolare dei relativi trattamenti (cfr. post del 28 luglio 2023 pubblicato sul profilo Facebook del Sindaco di Velletri https://www.facebook.com/...; post del 18 settembre 2023 pubblicato sul profilo Facebook di Velletri Servizi S.p.a. https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/).
Ciò a maggior ragione nei casi in cui tale servizio viene fornito - in via telematica - esclusivamente tramite l’Applicazione, come nel caso del Comune di Velletri. Sul punto, le Linee guida 7/2020 citate, precisano che “Poiché l’obiettivo di fondo nell’attribuzione del ruolo di titolare del trattamento è garantire il rispetto del principio di responsabilizzazione e una protezione efficace e completa dei dati personali, il concetto di «titolare del trattamento» dovrebbe essere interpretato in modo sufficientemente estensivo, favorendo il più possibile una tutela efficace e completa degli interessati, […] evitare lacune e prevenire elusioni potenziali delle norme, senza sminuire, al contempo, il ruolo del responsabile del trattamento” (punto 14).
In secondo luogo, occorre considerare l’inscindibilità dei servizi e delle funzionalità offerte in Applicazione e nella Piattaforma Software.
Infatti, l’utente anche solo per consultare l’ubicazione dei defunti, deve, comunque, scaricare l’Applicazione e registrarsi creando un account. Inoltre, il servizio di ricerca non restituisce all’utente la semplice informazione relativa alla posizione della sepoltura all’interno del cimitero, ma fornisce, come risultato di ricerca, il “profilo del defunto”, come dettagliatamente descritto nel precedente par. 2.2 nel contenuto e nelle funzioni (rivendicazione, commenti, richiesta di servizi commerciali etc.). Pertanto, in ragione della loro inscindibilità, anche tali trattamenti non possono che essere ricondotti alla titolarità del Comune.
Al riguardo, non possono condividersi le argomentazioni avanzate dalla STUP in corso d’istruttoria merito al fatto che “L'interpretazione che vede il Comune come unico Titolare e la piattaforma come mero Responsabile risulta […] limitante e non rappresentativa della realtà fattuale e giuridica del trattamento […ritenendo invece che] la qualifica più corretta per quanto riguarda i dati degli utenti dell’app e dei profili rivendicati sia quella di titolari autonomi, ciascuno per le fasi di trattamento di propria competenza”. La STUP giustifica infatti tale posizione considerando che “L'Ente Comunale persegue finalità di interesse pubblico legate alla gestione dei servizi cimiteriali […mentre] ISSAM […] tratta i dati degli utenti registrati per finalità proprie e distinte, quali la fornitura di un'esperienza utente unificata sulla piattaforma […]” e che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune. Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner. Se un Comune dovesse cessare il proprio rapporto con Aldilapp, i dati dell'account dell'utente (nome, email, interazioni) persisterebbero legittimamente sulla piattaforma, poiché il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi […]” (cfr. memoria difensiva della STUP del XX).
Come esposto in precedenza, attualmente è necessaria la registrazione in Applicazione per fruire di tutti i servizi, incluso quello di ricerca l’ubicazione di una sepoltura, primaria finalità per cui viene sottoscritto il contratto di concessione e licenza d’uso da parte dei Comuni e/o dei gestori. L’Applicazione, infatti, non consente alcuna facoltà di scelta all’utente in relazione all’apertura o meno di un account, obbligando lo stesso a registrarsi e a conferire i propri dati personali, anche per poter fruire unicamente del servizio comunale di ricerca dell’ubicazione dei defunti, offerto spesso in via esclusiva tramite l’Applicazione. L’obbligatorietà dell’apertura dell’account e l’inscindibilità di tutti i servizi offerti per il tramite dell’Applicazione, unitamente alle circostanze sopra rappresentate, riconducono l’intero trattamento alla titolarità dei Comuni.
Si ritiene opportuno evidenziare, peraltro, che il servizio di consultazione dell’ubicazione delle sepolture non richiederebbe l’identificazione dell’utente e, conseguentemente, la necessità di alcuna registrazione (diversamente, con riferimento alle app per la prenotazione dei servizi di sportello, si vedano i provv.ti n. 81 del 7 marzo 2019, doc. web n. 9121890, nn. 280, 281 e 282 del 17 dicembre 2020, doc. web nn. 9524175, 9525315, 9525337 e provv. n. 116 del 27 febbraio 2025, doc. web 10126141). Al riguardo, molti Comuni offrono servizi cimiteriali online di ricerca puntuale delle informazioni di cui trattasi senza richiedere i dati personali dell’utente, limitandosi a prevedere meccanismi volti al prevenire o bloccare le interrogazioni massive – automatiche o abusive, tipicamente attuate mediante il ricorso a bot o a funzioni di scraping; ciò, ad esempio, mediante strumenti, quali ad esempio l’utilizzo di codici Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart), per distinguere utenti umani legittimi da software per l’interrogazione automatizzata.
In secondo luogo, la “commistione” forzata tra finalità di interesse pubblico e di natura privata discende direttamente dall’attuale configurazione dell’Applicazione, che vincola in modo inscindibile le varie funzionalità offerte sia all’utente che al soggetto istituzionale. Diversamente da quanto evidenziato dalla STUP, riguardo al fatto che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune […e che] Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner” (cfr. memoria difensiva della STUP del XX), l’intera gamma dei servizi offerti in Applicazione è basata sui dati primariamente attinti dai registri cimiteriali comunali, e l’adesione del Comune al servizio è il presupposto per la visibilità dei cimiteri in Applicazione.
Attualmente, infatti, non è prevista una fruizione separata, da un lato, del servizio pubblico di consultazione – fondato sui database comunali e fruibile senza necessità di registrazione in Applicazione – e, dall’altro, dei servizi di tipo non istituzionale, di natura “social” o commerciale – che dovrebbero essere basati unicamente su dati personali forniti alla STUP direttamente dagli utenti, anche con riguardo ai dati dei defunti al fine di richiedere l’apertura (qualora ne abbiano idonea legittimazione) di un profilo digitale commemorativo. Il profilo digitale del defunto, al quale sono attualmente associate una serie di funzionalità e servizi, non dovrebbe quindi essere aperto di default utilizzando i database comunali nell’ambito di una commistione inscindibile di servizi di natura propriamente istituzionale e non, ma essere rimesso ad una scelta volontaria dei soggetti legittimati e sempre nel rispetto dei principi in materia di protezione dei dati personali. La registrazione e la creazione di un account dovrebbe pertanto essere rimessa a una scelta volontaria degli interessati, sia per l’apertura di un profilo digitale che per usufruire degli ulteriori servizi, di natura non istituzionale, anche in relazione ad altri profili virtuali, volontariamente aperti da altri utenti. Ciò anche al fine di non precludere la fruibilità del servizio pubblico di consultazione a coloro che siano interessati esclusivamente a tale servizio e/o che non intendano fornire informazioni e dati personali propri e relativi ai familiari. Solo a questa condizione sarebbe condivisibile l’osservazione della STUP rispetto al fatto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società” e che “il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi”.
Peraltro, l’attuale previsione di default dei profili digitali dei defunti, pubblicamente consultabili ed esposti all’inserimento di commenti e ad altre interazioni, costringe gli utenti che intendano tutelare il proprio caro a fornire i propri dati personali, dovendo necessariamente registrarsi e rivendicare il profilo per poterne chiedere l’oscuramento o esercitare i diritti ai sensi dell’art. 2-terdecies del Codice.
Con riferimento, inoltre, alle caratteristiche dei servizi offerti e/o della loro inscindibilità - sia nell’Applicazione sia nella Piattaforma Software -, si evidenzia che la parziale consapevolezza lamentata da alcuni enti, non li esonera dalle proprie responsabilità in ordine al trattamento, posto che dalla documentazione contrattuale complessivamente sottoscritta (“Condizioni generali contrattuali - Concessione della licenza d’uso ALDILAPP®”, proposta economica, preventivo e listino prezzi, atti di affidamento etc.), l’oggetto della licenza concessa mediante il contratto è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore” sia dalla “relativa Piattaforma software”. Tale documentazione precisa, altresì, che “in nessun caso sarà consentito il recesso disgiunto dall’erogazione dei Servizi Accessori Complementari disgiuntamente dai Servizi Principali”.
In aggiunta, nell’atto giuridico stipulato ai sensi dell’art. 28 del Regolamento, il titolare – o, comunque, il soggetto istituzionale che sottoscrive gli atti di nomina con la STUP e con la ISSAM, potendo essere direttamente il Comune (effettivo titolare del trattamento) o il gestore dei servizi cimiteriali, che agisce per suo conto in qualità di responsabile del trattamento - “dichiara di ben conoscere le caratteristiche e le misure di sicurezza [dell’Applicazione e della Piattaforma software] dettagliate nel contratto fra le parti e relativi allegati tecnici e di averle ritenute congrue alla normativa di riferimento”.
Le numerose utilità fornite in Applicazione, incluse quelle di natura social e commerciali, sono state, come detto, anche pubblicizzate alla cittadinanza all’atto dell’avvio dei progetti di digitalizzazione dei cimiteri (cfr., in particolare, post del XXdella Velletri Servizi S.p.a. in cui si evidenzia che con Aldilapp è possibile “Individuare la posizione esatta della tomba che stai cercando; Far consegnare fiori direttamente sul posto; far mantenere la pulizia e il decoro della lapide o della tomba; creare un profilo digitale del defunto, caricando una biografia e una foto. Grazie alla nuova App sarà quindi possibile a tutti i parenti, anche ai più lontani, inviare fiori, accendere un cero virtuale come segno di ricordo e vicinanza, lasciare una dedica in memoria del defunto creando una comunità virtuale di condivisione e supporto. A breve saranno disponibili molti altri servizi, come il pagamento della luce votiva tramite PagoPA”, URL, https://www.facebook.com/velletriservizi/posts/%C3%A8-arrivata-la-app-che-semplifica-e-arricchisce-la-visita-ai-nostri-cari-defunti-/805503018036827/).
Al riguardo, si rende opportuno evidenziare la necessità per i soggetti istituzionali di porre sempre la dovuta attenzione nella sottoscrizione di contratti per l’acquisto di prodotti e servizi digitali, anche sotto il profilo delle caratteristiche, della natura e della tipologia dei servizi offerti, che devono rientrare nel perimetro delle competenze istituzionali dell’ente. Ciò non solo al fine di garantire che i trattamenti ad essi correlati siano sorretti da un’idonea base giuridica, ma anche al fine di rispettare la legittima aspettativa degli interessati circa la loro riconducibilità all’ente, anche in ragione delle modalità e ambiente di erogazione.
Si ricorda, inoltre, che, nella determinazione dei ruoli di titolare e responsabile del trattamento “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. […] Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. Se non sussiste motivo di dubitare che ciò rispecchi fedelmente la realtà, niente vieta di attenersi alle previsioni del contratto. Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto” (cfr. punto 28, Linee guida 7/2020). Per quanto attiene, invece all’individuazione di ulteriori soggetti coinvolti (i.e. altri responsabili del trattamento designati da parte del primo responsabile del trattamento), le Linee guida citate prevedono che “L’analisi volta a stabilire se il prestatore di servizi agisca in qualità di sub-responsabile dovrebbe essere effettuata in linea con quanto sopra detto sul concetto di responsabile del trattamento (cfr. paragrafo 83)” (cfr. punto 151 delle Linee guida 7/2020 citate).
Alla luce degli elementi che precedono, evidenziati nel precedente paragrafo 4.2.1, non può condividersi l’inquadramento dei ruoli dei soggetti coinvolti nel trattamento, per come indicati negli accordi sottoscritti con la STUP e con la ISSAM ai sensi dell’art. 28 del Regolamento e per come prospettati nell’informativa agli utenti in fase di registrazione e di utilizzo dell’Applicazione, ove è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti (Informativa A2).
Infatti, come sopra evidenziato, oltre al servizio di mera ricerca dell’ubicazione del defunto, l’Applicazione consente lo svolgimento di ulteriori attività nell’interesse dei Comuni titolari del trattamento, non indicate negli accordi ai sensi dell’art. 28 del Regolamento e nell’informativa A2 sopra citata.
Come accertato in sede d’ispezione, anche le richieste di esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice, presentate dall’amministratore di un profilo, comportano un trattamento di dati personali da parte del Comune. Infatti, le istanze ricevute dalla STUP sono “inoltra[te] automaticamente […] al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale)”.
Analogamente, un trattamento dei dati personali dell’utente si rileva nella fase di “rivendicazione” del profilo digitale di un defunto poiché l’utente, ai fini di divenire amministratore del profilo, deve comunicare dati personali aggiuntivi (rispetto a quelli forniti in sede di registrazione dell’account), relativi alla propria residenza, al rapporto con il defunto, caricando un’autocertificazione e una copia del documento d’identità. In tale contesto “l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente”.
Il fatto che i predetti trattamenti avvengano per conto del Comune si evince anche dagli accordi sottoscritti dalla STUP, ai sensi dell’art. 28 del Regolamento, con i clienti istituzionali, in cui è espressamente indicato che “Il Responsabile del Trattamento è incaricato […della] Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app”. Tuttavia, tali accordi menzionano unicamente il trattamento dei dati dei defunti, senza considerare che l’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice può essere effettuato solo da un interessato necessariamente diverso dal defunto, e che anche i dati personali dei soggetti legittimati all’esercizio dei predetti diritti, devono essere trattati dalla STUP – così come dalla ISSAM - nell’interesse del Comune. Giova precisare, al riguardo, che nel caso in cui il contratto di concessione di licenza d’uso e i relativi accordi ai sensi dell’art. 28 del Regolamento siano stipulati direttamente con i Comuni, la STUP e ISSAM agiscono in qualità di responsabili del trattamento mentre, come nel caso di specie, qualora la sottoscrizione dei predetti accordi avvenga con i gestori dei servizi cimiteriali locali (da inquadrare, alla luce delle considerazioni che precedono, come responsabili del trattamento dei Comuni, effettivi titolari), le stesse agiscono in qualità di sub-responsabili del trattamento.
In relazione ai trattamenti sopra menzionati, si ritiene che sia la STUP che la ISSAM trattino per conto del Comune di riferimento, dati personali ulteriori rispetto a quelli dei defunti e diversi rispetto a quelli oggetto di regolamentazione ai sensi dell’art. 28 del Regolamento.
In aggiunta, la STUP tratta anche i dati relativi ai titolari delle concessioni cimiteriali: nella Dashboard in uso al Comune - direttamente o tramite il proprio gestore cimiteriale - oltre al contratto di concessione, che riporta i dati del concessionario, possono essere annotati altresì ulteriori dati relativi ai dati di contatto degli eredi o ai familiari (che possono o meno coincidere con quelli del concessionario), quali nome e cognome, indirizzo, numero di telefono ed email (cfr. il documento “XX”, allegato alla nota della STUP del XX). Al riguardo, la STUP ha dichiarato che è stato “prodotto un nuovo modello di atto di nomina a Responsabile del trattamento, il cui oggetto è stato esteso per includere in modo analitico e dettagliato tutte le categorie di dati e tutti i trattamenti effettuati per conto degli Enti, inclusi esplicitamente i dati afferenti alle concessioni cimiteriali […ed è] in corso di presentazione ai Comuni clienti il set di nuovi atti emendati, avviando la sostituzione di tutti gli accordi precedentemente in essere” (cfr. memoria difensiva della STUP del XX).
Da ultimo, nell’ambito dell’incertezza derivante da tale regolamentazione parziale e dal non corretto inquadramento dei ruoli di titolare e responsabile, l’istruttoria ha evidenziato altresì che la STUP ha implementato autonomamente aggiornamenti e sviluppi dell’Applicazione comportanti la raccolta di ulteriori dati personali; ciò, in particolare, per quanto riguarda il rafforzamento della procedura di rivendicazione del profilo, nell’ambito della quale, a decorrere dal mese di XX, è stata prevista l’acquisizione di ulteriori categorie di dati (autocertificazione e copia documento di identità), messi a disposizione dei Comuni nella Dashboard, ai fini della verifica.
Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’”articolo 28, paragrafo 3, del [Regolamento]” e, considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo competente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (par. 103 delle citate Linee guida 07/2020). Deve evidenziarsi inoltre che nel citato paragrafo 3 dell’articolo 28 del Regolamento sono indicati gli elementi obbligatori da inserire nel “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”, tra cui “l’oggetto del trattamento”, “la natura del trattamento […] e la finalità”, “la tipologia di dati personali” “le categorie di interessati” e “gli obblighi e diritti del titolare del trattamento” (cfr. punto 114 citate Linee guida 7/2020).
Si ricorda inoltre che nelle medesime Linee guida è previsto che se il responsabile del trattamento vuole avvalersi di un altro responsabile del trattamento (c.d. sub-responsabile), deve “concludere con quest’ultimo un contratto che preveda i medesimi obblighi imposti dal titolare al primo responsabile del trattamento; in alternativa, gli obblighi devono essere previsti da un altro atto giuridico, ai sensi del diritto dell’UE o dello Stato membro. L’intera catena delle attività di trattamento deve essere disciplinata da accordi scritti. L’imposizione dei «medesimi» obblighi dovrebbe essere interpretata in senso funzionale piuttosto che formale: non è necessario che il contratto contenga esattamente la stessa formulazione impiegata nel contratto tra il titolare e il responsabile del trattamento; tuttavia dovrebbe garantire che, nella sostanza, gli obblighi siano identici. […]” (cfr. punto 160 citate Linee guida 7/2020).
Pertanto, nel caso di assenza totale del predetto contratto, o di mancanza parziale di uno o più degli elementi essenziali di cui al citato paragrafo 3 dell’art. 28 del Regolamento, tale da determinare una definizione non chiara del rapporto titolare-responsabile tra le parti – o meglio, come nel caso di specie, tra titolare (Comune di Velletri), responsabile del trattamento (Velletri Servizi) e i sub-responsabili del trattamento (STUP e ISSAM) – si avrebbe una violazione, per quanto attiene la Velletri Servizi, dell’ art. 28, par. 4 del Regolamento, avendo stipulato un accordo con i sub-responsabili privo di alcuni degli elementi essenziali di cui all’art. 28, par. 3 del Regolamento.
Ciò in quanto, sebbene sia stato stipulato con la STUP e la ISSAM un atto giuridico ai sensi dell’art. 28 del Regolamento, indicante la titolarità in capo ai soggetti istituzionali, in relazione ai trattamenti connessi ai compiti istituzionali effettuati in Applicazione, tale regolamentazione si è rivelata incompleta rispetto all’oggetto e alla natura del trattamento, alle finalità, alla tipologia di dati personali e alle categorie di interessati (es. soggetti che esercitano i diritti ai sensi dell’art. 2-terdecies del Codice, concessionari, familiari ed eredi, etc.), nonché agli obblighi e diritti del titolare e del responsabile del trattamento (sub-responsabile). Al riguardo, risulta opportuno precisare che non rileva quanto dichiarato dalla Velletri Servizi in ordine alla circostanza che “sebbene l’account software Aldilapp offrisse […] tra gli altri servizi, anche il gestionale web-based per la gestione amministrativa delle concessioni, Velletri Servizi non si è mai avvalsa di questo servizio […avendo] sempre svolto in proprio, […] tutte le attività connesse alla gestione delle concessioni, senza avvalersi di fornitori esterni […e che] STUP 1 non ha mai effettuato trattamenti di dati personali connessi alla gestione amministrativa delle concessioni” (cfr. memoria difensiva del XX) considerato che, nell’ambito del contratto di concessione e licenza d’uso sottoscritto con la STUP era, in ogni caso, compreso anche il servizio concernente il “Gestionale web-based per la gestione amministrativa delle concessioni”.
In aggiunta, risulta che Velletri Servizi ha omesso di vigilare adeguatamente rispetto all’attività svolta dagli ulteriori responsabili del trattamento con riferimento ai trattamenti dagli stessi effettuati in Applicazione, nonché ad adottare le opportune misure affinché il trattamento fosse effettuato nel rispetto della normativa in materia di protezione dei dati personali.
Si ricorda infatti che anche il responsabile del trattamento, nel caso in cui scelga di avvalersi di ulteriori responsabili del trattamento per effettuare trattamenti di dati personali per conto del titolare del trattamento, è tenuto non solo a disciplinare adeguatamente il rapporto con gli stessi, per gli aspetti relativi al trattamento dei dati personali, ai sensi dell’art. 28, par. 4, del Regolamento, ma deve altresì esercitare quelle attività di selezione e vigilanza, che costituiscono per esso un obbligo (come previsto dall’art. 28, par. 4 del Regolamento) ma allo stesso tempo anche una importante occasione di verificare la corretta esecuzione del servizio e dei relativi trattamenti da parte degli ulteriori responsabili del trattamento da esso coinvolti. Si ricorda infatti che “Indipendentemente dai criteri proposti dal titolare del trattamento nella scelta dei fornitori, il responsabile del trattamento conserva nei confronti del titolare l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile (articolo 28, paragrafo 4, del GDPR). Pertanto, il responsabile del trattamento si assicura di proporre sub-responsabili in grado di offrire garanzie sufficienti” (cfr. punto 159 citate Linee guida 7/2020).
Nel caso concreto, Velletri Servizi ha omesso di vigilare adeguatamente rispetto alle attività svolte, in particolare, dalla STUP, e di adottare misure idonee a garantire il permanente rispetto della protezione dei dati personali, pur avendo contezza della tipologia dei servizi attivati in Applicazione con riguardo ai cimiteri di Velletri. Tale conoscenza si desume non solo dalle attività di divulgazione effettuate da Velletri Servizi nel mese di XX in vista dell’avvio dei servizi in Applicazione, ma in primis, dal dettaglio dei servizi così come presentato dalla STUP nel proprio “XX” del XX, prot. n. XX (cfr. in atti) alla Velletri Servizi in cui, nella sezione descrittiva del servizio “Account software Aldilapp” veniva espressamente indicato il “Profilo digitale del defunto”. Devono considerarsi altresì, le richieste di informazioni dell’Autorità del XX e successive, con le quali sono state sempre rappresentate a Velletri Servizi potenziali criticità e necessità di approfondimenti dei servizi erogati in Applicazione, delle funzionalità attive – fino alla data di recesso da parte di Velletri Servizi - e dell’inquadramento del proprio ruolo nel trattamento. La vigilanza sull’attività del proprio sub-responsabile si rendeva inoltre particolarmente necessaria anche alla luce delle comunicazioni intercorse con la STUP in merito alla durata del contratto di concessione e licenza dell’Applicazione.
I successivi trattamenti effettuati in Applicazione sono stati pertanto avallati proprio dall’assenza di idonea vigilanza da parte di Velletri Servizi, in merito al rispetto della disciplina in materia di protezione dei dati personali da parte degli ulteriori responsabili del trattamento, e dalla stipula con questi ultimi di accordi non adeguati in merito al trattamento dei dati personali per conto del titolare.
Alla luce delle considerazioni che precedono e degli elementi acquisiti in atti, si ritiene che Velletri Servizi abbia agito in violazione dell’art. 28, par. 4, del Regolamento.
4.2.2. L’inidoneità delle misure tecniche e organizzative adottate
Nell’ambito dell’istruttoria la Velletri Servizi ha, inoltre, rappresentato che, nonostante la cessazione del rapporto contrattuale con la STUP, “La trasmissione dei dati relativi ai soggetti deceduti, da parte di Velletri Servizi S.p.A. verso STUP1, è proseguita fino a data successiva alla comunicazione di interruzione del rapporto contrattuale, per una mancata tempestiva interruzione dei flussi informativi. […] in assenza di un blocco automatico dei flussi di dati e per una disallineata gestione tecnica del canale di trasmissione, la fornitura dei dati relativi ai soggetti defunti è proseguita in maniera non intenzionale, sino alla restituzione formale dei dati da parte di STUP1, avvenuta in data XX conseguentemente ad apposito sollecito. Solo a seguito di verifica successiva, effettuata internamente nel primo trimestre XX, è stato possibile rilevare che nella banca dati restituita erano presenti riferimenti relativi a soggetti deceduti dopo la cessazione contrattuale, evidenza che ha determinato l’avvio di ulteriori misure correttive e di revisione delle procedure interne con interruzione immediata dei flussi informativi alla società STUP1” (cfr. nota del XX). Al riguardo, nella memoria difensiva del XX, la Velletri Servizi ha successivamente fornito aggiornamenti rappresentando, in particolare, che “Il profilo del cimitero civico di Velletri veniva oscurato immediatamente: il giorno successivo al recesso. Velletri Servizi S.p.A. riconosce che alcune criticità si sono effettivamente manifestate nella gestione del rapporto, in particolare per quanto concerne la cessazione dei flussi di dati. […] a seguito della risoluzione del contratto, il flusso informativo è proseguito oltre il termine previsto, per un lasso di tempo limitato e non riconducibile a volontà o iniziativa autonoma della società […] in quanto, sotto un profilo tecnico, non si è disposto il blocco del canale di comunicazione (cd. connettore) tra il gestionale interno dei Servizi Cimiteriali della Velletri Servizi e l’applicativo Aldilapp […e] l’attivazione del connettore, avvenuta su richiesta di STUP 1, è proseguito […] in via non intenzionale sino al XX”. Nella medesima memoria, la Velletri Servizi ha, altresì, precisato che “a partire dall’XX il profilo del civico cimitero di Velletri non era più accessibile sull’applicazione, sicché l’impatto sugli interessati è stato limitato, trattandosi solo di dati relativi alle persone decedute e la collocazione delle tombe”, rappresentando inoltre di essere in fase di completamento di “un’attività strutturata di revisione delle misure tecniche e organizzative applicabili ai rapporti con i fornitori di servizi, con particolare riguardo alla gestione dei flussi informativi in fase di cessazione del rapporto […adottando, in particolare] un protocollo di sicurezza interno finalizzato al blocco dei flussi dei dati in caso di recesso/risoluzione/scioglimento dei contratti […comprensivo di un] blocco tecnico dei flussi che, tra gli altri, prevede: (i) disattivazione dei connettori […]; (ii) revoca delle credenziali di accesso alla piattaforma o ai sistemi remoti; (iii) l’interruzione dei servizi di sincronizzazione automatica (es. backup, notifiche, esportazioni) […]”.
Ciò posto, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta l’acquisizione e la gestione delle anagrafiche cimiteriali, i trattamenti effettuati nel contesto in esame richiedono l’adozione di elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali degli interessati. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.
Al riguardo, si ribadisce che, sebbene nella cornice normativa del Regolamento rimanga in capo al titolare del trattamento la responsabilità dell’attuazione delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2 e 24 del Regolamento; cfr. le citate Linee Guida 7/2020, in particolare, punto 41), l’art. 32 del Regolamento prevede, altresì, taluni obblighi direttamente a carico anche dello stesso responsabile. Spetta dunque anche a quest’ultimo, in ragione dell’esperienza e delle competenze nello specifico settore in cui opera, adottare misure tecniche ed organizzative adeguate.
Per tali ragioni, nell’ambito delle accertate circostanze e dichiarazioni fornite dalla Velletri Servizi in corso d’istruttoria, deve concludersi che le misure tecniche e organizzative implementate non siano state adeguate - per il lasso di tempo successivo alla cessazione del rapporto con la STUP, essendo proseguiti i flussi informativi nei confronti della stessa - in relazione agli specifici rischi del trattamento, in violazione degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.
5. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Velletri Servizi, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Velletri Servizi, per aver effettuato il trattamento di dati personali in violazione degli artt. 28, par. 4), e 32 del Regolamento.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dagli artt. 83, par. 4, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).
L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).
Prendendo atto di quanto emerso in fase di istruttoria e tenuto conto della prescrizione adottata nei confronti della STUP con il provvedimento n. 72 adottato in data odierna, con il quale, è stato richiesto alla predetta società di completare il processo di separazione dei servizi istituzionali offerti in Applicazione e in Dashboard, da quelli di natura diversa (servizi di tipo social o commerciale), al fine di consentire ai soggetti istituzionali di effettuare unicamente trattamenti di dati personali sorretti da idonea base giuridica, previsti dalla specifica normativa di settore (rilevazione delle sepolture, gestione delle concessioni cimiteriali e dell’illuminazione votiva, servizio informativo agli utenti di ricerca delle sepolture in Applicazione, senza richiedere agli stessi la registrazione di un account), si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere alla Velletri Servizi, limitatamente al perimetro di competenza territoriale, posto che, come accertato dall’Autorità in data XX i profili dei defunti relativi ai cimiteri cittadini non risultano più visibili in Applicazione, di verificare, in collaborazione con il Comune di Velletri titolare del trattamento, l’avvenuta cancellazione di tutti i dati personali e informazioni associate ai profili rivendicati, aperti di default sulla base del database comunale, sia con riferimento ai dati dei defunti che alle interazioni e rivendicazioni effettuate dagli utenti in Applicazione.
Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, la Velletri Servizi dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d).
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Nel caso di specie, si ravvisano due condotte distinte (quali, da un lato, l’inidonea regolamentazione dei rapporti con i sub-responsabili del trattamento e la vigilanza non adeguata in merito agli stessi, in violazione dell’art. 28, par. 4 del Regolamento e, dall’altro, l’adozione di misure tecniche e organizzative non adeguate, in violazione dell’art. 32 del Regolamento) imputabili alla Velletri Servizi, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.
Per la determinazione del massimo edittale delle predette sanzioni pecuniarie, in accordo con i precedenti provvedimenti adottati dall’Autorità, occorre fare riferimento al fatturato di Velletri Servizi che risulta pari a euro 7.040.783.
7.1. La condotta di cui al paragrafo 4.2.1 del presente provvedimento
Tenuto conto che, con riguardo alla violazione delle disposizioni citate nel precedente paragrafo 4.2.1. del presente provvedimento, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie la violazione dell’art. 28, par. 4, del Regolamento è soggetta alla sanzione amministrativa prevista dall’83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che, come ricavato dall’ultimo bilancio d’esercizio disponibile (31 dicembre 2024) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo della Velletri Servizi nel 2024 è pari a euro 7.040.783, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Con specifico riguardo alla natura, alla gravità e durata della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che gli accordi sottoscritti con i sub-responsabili del trattamento recavano elementi non completi rispetto all’oggetto e alla natura del trattamento, alle finalità, alla tipologia di dati personali e alle categorie di interessati (es. concessionari, familiari ed eredi, etc.), nonché agli obblighi e diritti del titolare e del responsabile del trattamento (sub-responsabile). Da tale regolamentazione parziale, nonché dall’inidonea vigilanza da parte della Velletri Servizi è derivata, altresì, l’incertezza in ordine all’inquadramento dei ruoli di titolare (Comune di Velletri), responsabile del trattamento (Velletri Servizi) e i sub-responsabili del trattamento.
Deve, inoltre, considerarsi che:
- allo stato, non risultano pervenuti reclami da parte di interessati (art. 83 par. 2, lett. a) del Regolamento);
- la violazione ha carattere colposo, derivando da una valutazione non corretta da parte della Velletri Servizi in merito alla complessa tipologia dei trattamenti svolti in Applicazione (art. 83, par. 2, lett. b), del Regolamento);
- i trattamenti in questione non sono relativi a categorie particolari di dati né a dati giudiziari (art. 83, par. 2, lett. g).
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole alla Velletri Servizi, che non risultano precedenti violazioni pertinenti commesse dalla stessa (art. 83, par. 2, lett. e), del Regolamento) nonché il grado di cooperazione manifestato con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto, in particolare, che la stessa ha provveduto ad avviare un’interlocuzione con la STUP al fine di chiedere a quest’ultima di limitare i servizi forniti “a quelli strettamente collegati alla gestione e all’aggiornamento dell’anagrafica cimiteriale” (art. 83, par. 2, lett. f), del Regolamento). In merito al contesto di riferimento occorre rilevare, in senso favorevole alla Velletri Servizi, il fatto che, secondo quanto dichiarato dalla STUP con la citata nota del XX, è pervenuta unicamente “1 richiesta di oscuramento riguardante 4 defunti”,” in relazione ai cimiteri di Velletri e che risultano dagli utenti già rivendicati numerosi profili nel limitato arco temporale di operatività dell’Applicazione (art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00) per la violazione dell’art. 28, par. 4, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, con particolare riferimento alla peculiarità del trattamento e alla sua connessione con lo svolgimento di servizi istituzionali nonché al numero degli interessati coinvolti.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
7.2. La condotta di cui al paragrafo 4.2.2 del presente provvedimento
Tenuto conto che, con riguardo invece alla violazione delle disposizioni citate nel precedente paragrafo 4.2.2. del presente provvedimento, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie la violazione dell’art. 32 del Regolamento è soggetta alla sanzione amministrativa prevista dall’83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che, come ricavato dall’ultimo bilancio d’esercizio disponibile (31 dicembre 2024) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo della Velletri Servizi nel 2024 è pari a euro 7.040.783, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare il ridotto lasso temporale (fine XX – XX) in cui le impostazioni di sicurezza implementate sono risultate inadeguate, nonché il fatto che, come dichiarato dalla Velletri Servizi, “dall’XX] il profilo del civico cimitero di Velletri non era più accessibile sull’applicazione, sicché l’impatto sugli interessati è stato limitato […]”.
Deve, inoltre, considerarsi che:
- allo stato, non risultano pervenuti reclami da parte di interessati (art. 83 par. 2, lett. a) del Regolamento);
- la violazione ha carattere colposo, derivando da una non corretta impostazione di default di una funzionalità tecnica (art. 83, par. 2, lett. b), del Regolamento);
- che i trattamenti in questione non sono relativi a categorie particolari di dati né a dati giudiziari (art. 83, par. 2, lett. g).
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole alla Velletri Servizi, che non risultano precedenti violazioni pertinenti commesse dalla stessa (art. 83, par. 2, lett. e), del Regolamento) nonché il grado di cooperazione manifestato con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto, in particolare, che la stessa ha dichiarato che era in fase di completamento “un’attività strutturata di revisione delle misure tecniche e organizzative applicabili ai rapporti con i fornitori di servizi, con particolare riguardo alla gestione dei flussi informativi in fase di cessazione del rapporto” (art. 83, par. 2, lett. f), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 500,00 (cinquecento/00) per la violazione dell’art. 32, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, con particolare riferimento alla peculiarità del trattamento e alla sua connessione con lo svolgimento di servizi istituzionali.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dalla Velletri Servizi S.p.A. nei termini di cui in motivazione, per la violazione degli artt. 28, par. 4, e 32 del Regolamento;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Velletri Servizi S.p.A., con sede legale in Corso della Repubblica n. 241, Velletri (RM), 00049, C.F. 06679251006, di pagare la complessiva somma di euro 2.500,00 (duemilacinquecento/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla Velletri Servizi S.p.A.:
- di pagare la complessiva somma di euro 2.500,00 (duemilacinquecento/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee, limitatamente al perimetro di competenza territoriale concernente i cimiteri di Velletri, a verificare, in collaborazione con il Comune di Velletri titolare del trattamento, l’avvenuta cancellazione di tutti i dati personali e informazioni associate ai profili rivendicati, aperti di default sulla base del database comunale, sia con riferimento ai dati dei defunti che alle interazioni e rivendicazioni effettuate dagli utenti in Applicazione;
- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.
DISPONE
ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;
ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 12 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
