Il provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato la piattaforma Aldilapp porta al centro del dibattito un tema che riguarda da vicino la trasformazione digitale dei servizi comunali. L’applicazione era stata adottata da alcuni enti locali italiani per consultare le informazioni delle anagrafi cimiteriali e individuare la posizione delle sepolture. Nel tempo però la piattaforma ha ampliato le proprie funzioni e ha trasformato dati amministrativi in elementi di un ecosistema digitale molto più ampio.
I dati presenti negli archivi cimiteriali comunali venivano utilizzati per generare automaticamente profili digitali dei defunti visibili all’interno dell’applicazione. In questi spazi gli utenti potevano lasciare messaggi, accendere ceri virtuali o pubblicare dediche. Accanto a queste funzioni comparivano servizi a pagamento collegati alla gestione delle tombe, come la consegna di fiori o attività di manutenzione. Il risultato era un ambiente digitale che univa informazioni amministrative, interazione pubblica e attività economiche.
Dati pubblici e piattaforme digitali
Il Garante ha osservato che l’integrazione tra banche dati comunali e funzioni social della piattaforma produceva un trattamento dei dati che andava oltre la finalità originaria del servizio. Le informazioni raccolte dagli enti locali per la gestione amministrativa dei cimiteri entravano in un sistema progettato anche per favorire relazioni pubbliche tra utenti e per offrire servizi commerciali collegati alla memoria dei defunti.
Quando un cittadino utilizza un’applicazione collegata al proprio Comune tende a percepire l’intero ambiente come parte del servizio istituzionale. La presenza nello stesso spazio digitale di funzioni che appartengono a logiche di piattaforma può quindi creare una sovrapposizione tra attività pubblica e iniziativa privata. Il provvedimento richiama proprio questa ambiguità e sottolinea l’esigenza di una separazione chiara tra ciò che rientra nel servizio amministrativo dell’ente e ciò che appartiene a servizi ulteriori gestiti da operatori privati.
La tutela dei dati dei defunti e il ruolo dei familiari
Il caso affronta anche la questione dei dati riferiti alle persone decedute. La normativa europea sulla protezione dei dati riguarda le persone viventi, mentre il diritto italiano consente a familiari o soggetti con un interesse meritevole di tutela di intervenire sui dati dei defunti. Nel sistema esaminato dal Garante, chi voleva chiedere l’oscuramento di un profilo o modificare le informazioni doveva registrarsi sulla piattaforma e rivendicare l’account collegato al proprio parente.
Questo meccanismo introduceva un ulteriore trattamento dei dati personali dei familiari nel momento stesso in cui cercavano di tutelare la memoria del defunto. L’architettura del servizio diventava quindi parte integrante della valutazione giuridica, perché condizionava il modo in cui gli interessati potevano esercitare i propri diritti.
Nel corso dell’istruttoria l’Autorità ha esaminato anche la struttura organizzativa della filiera del servizio. Dai provvedimenti emergono criticità nella definizione dei ruoli tra i soggetti coinvolti e nella regolamentazione dei rapporti tra enti pubblici e fornitori tecnologici. La disciplina europea sulla protezione dei dati richiede che i titolari del trattamento definiscano con precisione istruzioni, responsabilità e limiti delle attività affidate ai responsabili del trattamento. Questo controllo resta in capo all’amministrazione anche quando il servizio viene sviluppato o gestito da soggetti esterni.
Un ulteriore aspetto riguarda la dimensione tecnica del sistema. In piattaforme che integrano dati pubblici, profili degli utenti e servizi commerciali diventa importante la separazione tra dataset e ambienti applicativi. La valutazione del Garante richiama proprio l’esigenza di misure di sicurezza e organizzazione coerenti con la natura dei dati trattati e con la complessità dell’ecosistema digitale.
Le sanzioni applicate risultano contenute, anche alla luce della collaborazione dei soggetti coinvolti e della natura innovativa del progetto. Il valore principale del provvedimento riguarda il principio che introduce nel dibattito sulla digitalizzazione dei servizi pubblici. I dati provenienti da archivi istituzionali richiedono un uso coerente con le finalità amministrative che ne giustificano la raccolta. Quando una piattaforma introduce funzioni ulteriori, l’architettura giuridica e tecnica del servizio deve distinguere chiaramente tra ambito pubblico e attività privata.
Molti enti locali stanno sperimentando applicazioni che riuniscono informazione istituzionale, notifiche ai cittadini, spazi di interazione e servizi aggiuntivi. Il caso Aldilapp mostra quanto la progettazione normativa e organizzativa sia parte integrante della trasformazione digitale della pubblica amministrazione e quanto il tema della protezione dei dati influenzi direttamente il modo in cui questi servizi vengono costruiti.
