Il Garante per la protezione dei dati personali ha inflitto ad AgID una sanzione di 55.000 euro per la gestione del riversamento delle PEC professionali da INI-PEC a INAD. Il provvedimento accerta che il modo in cui AgID ha governato l’informazione agli interessati, le impostazioni predefinite del sistema e la dimostrazione delle misure adottate non era conforme al GDPR.
Un caso che fissa principi applicabili a ogni progetto di digitalizzazione pubblica in cui un dato cambia contesto d’uso.
Indice degli argomenti
Il fatto: il riversamento automatico da INI-PEC a INAD
Con il provvedimento n. 419 del 28 maggio 2026, il Garante per la protezione dei dati personali ha irrogato ad AgID una sanzione di 55.000 euro per la gestione del riversamento degli indirizzi PEC dei professionisti da INI-PEC a INAD. Le violazioni accertate riguardano gli articoli 5, par. 1, lett. a) e b), 5, par. 2, 12, 14 e 25 del GDPR.
Il provvedimento non mette in discussione l’esistenza dell’INAD né la base normativa del riversamento. Il punto è diverso: il modo in cui AgID ha governato l’informazione agli interessati, le impostazioni predefinite del sistema e la dimostrazione delle misure adottate nel momento in cui un indirizzo PEC raccolto e pubblicato per finalità professionali ha assunto anche una funzione personale.
La vicenda mostra un principio utile per ogni progetto pubblico di digitalizzazione: quando un dato cambia contesto d’uso, la base giuridica non esaurisce il problema. Occorre verificare se l’interessato sia stato informato in modo effettivo, se abbia avuto una possibilità concreta di intervenire prima della pubblicazione e se il titolare sia in grado di dimostrare le scelte compiute.
Dal 6 giugno 2023 i cittadini maggiorenni titolari di PEC hanno potuto eleggere il proprio domicilio digitale sull’INAD. Contestualmente, gli indirizzi PEC dei professionisti presenti nell’INI-PEC sono stati eletti automaticamente anche nell’INAD come domicili digitali delle persone fisiche. Dal 6 luglio 2023 sono stati pubblicati e resi consultabili senza autenticazione.
Il punto delicato è il cambio di contesto. La PEC presente in INI-PEC era collegata all’esercizio dell’attività professionale. Una volta riversata in INAD, quella stessa casella poteva diventare il domicilio digitale della persona fisica anche per comunicazioni non professionali, incluse quelle con valore legale della pubblica amministrazione.
Il Garante evidenzia un rischio concreto: una casella usata nello studio, talvolta accessibile anche ai collaboratori, poteva ricevere comunicazioni relative alla sfera privata dell’interessato, comprese notifiche di sanzioni. Il problema non è la diffusione di un indirizzo già pubblico, ma la sua trasformazione funzionale: un dato raccolto e pubblicato per finalità professionali assumeva, senza un passaggio di scelta effettiva, una funzione ulteriore con effetti sulla sfera personale.
La base normativa c’era, ma non esauriva gli obblighi
AgID operava in una cornice normativa precisa. L’art. 6-quater del Codice dell’amministrazione digitale istituisce l’INAD, ne affida la gestione ad AgID e prevede che, per i professionisti iscritti in albi ed elenchi, il domicilio digitale sia l’indirizzo già presente in INI-PEC, salva la possibilità di eleggerne uno diverso. L’art. 6-quinquies consente la consultazione online degli elenchi senza autenticazione e in formato aperto.
Il Garante non afferma che AgID fosse priva di base giuridica. Afferma che la base giuridica non esaurisce gli obblighi del titolare, soprattutto quando il trattamento produce un cambio di destinazione pratica del dato e incide sulla sfera privata degli interessati.
Questa precisazione vale per ogni progetto di digitalizzazione pubblica. La previsione di legge può legittimare il trattamento, ma non sostituisce le garanzie di trasparenza, limitazione della finalità e protezione per impostazione predefinita imposte dal GDPR.
Le Linee guida INAD e la garanzia strutturale ignorata
Le Linee guida INAD, adottate da AgID nel 2021, prevedevano una misura di mitigazione precisa: inserimento provvisorio per trenta giorni, senza pubblicazione, dei domicili provenienti da INI-PEC; informazione ai professionisti; possibilità di modificare il domicilio digitale prima della pubblicazione. Questa misura era stata richiesta dal Garante nel provv. n. 288 del 22 luglio 2021 per ridurre l’impatto del riversamento automatico.
La trasparenza preventiva, quindi, non era un dettaglio organizzativo. Era una garanzia strutturale di conformità del riversamento, iscritta nell’architettura del sistema che AgID stessa aveva contribuito a definire.
La contestazione principale: un’informazione non effettiva
Su questo presupposto, il Garante contesta ad AgID di non aver fornito ai professionisti un’informazione adeguata sul trattamento in corso, sull’origine dei dati, sulla pubblicazione su un sito accessibile a chiunque senza autenticazione e sui diritti esercitabili, inclusa la possibilità di modificare o cancellare il domicilio prima della pubblicazione.
AgID aveva inviato, il 21 giugno 2023, una comunicazione a sedici tra Collegi e Ordini professionali, con un flyer informativo allegato. Il Garante ha ritenuto la misura insufficiente per tre ragioni: non tutte le trentuno categorie professionali presenti in INI-PEC erano comprese tra i destinatari; alcuni professionisti iscritti a Ordini collegati a Federazioni nazionali non avevano ricevuto informazioni; la comunicazione non chiedeva con chiarezza l’avvio di una campagna informativa verso gli iscritti, né prevedeva accorgimenti idonei a dimostrare che gli interessati fossero stati effettivamente informati.
Il passaggio è rilevante sul piano pratico. Inviare una nota a un intermediario istituzionale non equivale automaticamente a informare gli interessati. Quando la trasparenza è una misura di garanzia, il titolare deve progettare anche la prova della sua efficacia: non basta che l’informazione sia stata trasmessa, deve essere ragionevolmente idonea a raggiungere i destinatari, e il titolare deve poterlo dimostrare.
Lo sforzo sproporzionato: perché la difesa non ha retto
AgID ha sostenuto che una comunicazione individuale a circa due milioni di professionisti avrebbe comportato uno sforzo sproporzionato ai sensi dell’art. 14, par. 5, lett. b), del GDPR. Ha aggiunto il rischio che messaggi individuali venissero percepiti come phishing o spam, valorizzando in alternativa campagne informative, comunicati, presenza sui media e canali pubblici.
Il Garante non nega le difficoltà operative. Ritiene però che la difesa non sia sufficiente. La successiva comunicazione congiunta AgID-MIMIT, indirizzata agli Ordini e destinata alla diffusione verso gli iscritti, dimostra che misure più efficaci erano concretamente praticabili.
Il problema riguarda il tempo. Quella misura è stata rappresentata all’Autorità nel novembre 2024 e realizzata solo nel luglio 2025, circa due anni dopo l’avvio dei trattamenti. Se una misura più mirata era praticabile, e lo era perché poi è stata adottata, lo sforzo sproporzionato non può giustificare la sostituzione, per due anni, di una comunicazione più efficace con una comunicazione generalista.
L’esonero dell’art. 14, par. 5, lett. b), richiede una valutazione concreta e documentata delle alternative disponibili. Non opera come giustificazione permanente quando esistono soluzioni organizzative idonee, anche se più onerose.
La garanzia di legge: perché l’argomento si è ritorto contro AgID
AgID ha invocato anche l’art. 14, par. 5, lett. c), del GDPR, secondo cui l’obbligo informativo può non applicarsi quando l’ottenimento o la comunicazione dei dati sono espressamente previsti dalla legge e questa prevede misure appropriate per tutelare gli interessati.
Il passaggio più rilevante sul piano giuridico è la risposta del Garante. La misura appropriata richiesta per tutelare gli interessati esisteva: era proprio quella prevista dalle Linee guida INAD, fondata sull’inserimento provvisorio, sull’informazione e sulla possibilità di modifica prima della pubblicazione.
AgID non poteva quindi invocare l’esonero dall’informativa facendo leva su garanzie che la legge e le Linee guida prevedevano, ma che non erano state attuate in modo adeguato. La norma può prevedere il trattamento, ma le garanzie iscritte nell’architettura normativa devono essere effettive. Diversamente, la base giuridica resta in piedi, ma il trattamento perde correttezza, trasparenza e protezione per impostazione predefinita.
Il centro del provvedimento: la privacy by default
L’art. 25 del GDPR non è richiamato in modo accessorio. Nel caso INAD, la protezione per impostazione predefinita assume un significato concreto: evitare che una PEC professionale diventi automaticamente domicilio digitale personale senza aver prima dato all’interessato una possibilità effettiva di scegliere, modificare o cessare il domicilio.
La configurazione predefinita del sistema ha prodotto l’effetto opposto. Se il professionista non compiva alcuna azione, la sua PEC professionale diventava anche domicilio digitale personale, pubblicato e utilizzabile per comunicazioni elettroniche con valore legale.
È qui che la privacy by default mostra la sua natura sostanziale: riguarda ciò che il sistema decide quando l’utente non fa nulla. Quando l’inerzia produce un effetto rilevante sulla sfera personale, quell’automatismo richiede una trasparenza preventiva ed effettiva.
Il Garante collega questo profilo anche alla limitazione della finalità ex art. 5, par. 1, lett. b): il dato era stato raccolto per finalità professionali, e la sua nuova destinazione personale non poteva essere gestita attraverso una configurazione predefinita silente.
Accountability: dimostrare in modo ordinato e tempestivo
Il Garante conferma anche la violazione dell’art. 5, par. 2, del GDPR. Il rilievo non riguarda solo il ritardo nell’informazione. Riguarda il fatto che soltanto con gli scritti difensivi, dopo oltre due anni di istruttoria, l’Autorità ha potuto avere piena cognizione delle iniziative di comunicazione pubblica adottate da AgID.
L’accountability non coincide con l’aver svolto attività. Richiede che il titolare sia in grado di dimostrare in modo ordinato, tempestivo e verificabile quali misure ha adottato, quando, con quale perimetro e con quali effetti.
Una difesa ricostruita a posteriori, per quanto documentata, non equivale a un sistema di responsabilizzazione che funziona durante il trattamento. L’accountability non si misura dalla capacità di ricostruire dopo. Si misura dalla capacità di dimostrare durante.
Un provvedimento proporzionato
Il Garante non utilizza ogni rilievo emerso per aggravare la posizione di AgID. Due profili vengono archiviati.
Il primo riguarda l’erronea indicazione di un soggetto diverso come service provider nella fase di autenticazione SPID. L’Autorità riconosce che, nel contesto complessivo del portale, l’interessato poteva comunque comprendere che AgID fosse il titolare rilevante, e archivia la violazione dell’art. 13.
Il secondo riguarda l’art. 31 sulla cooperazione con l’Autorità. Pur rilevando ritardi e difficoltà, il Garante considera le congiunture finanziarie e organizzative rappresentate da AgID ed esclude una volontà di sottrarsi alla collaborazione.
Questa selezione rende più solido il nucleo sanzionatorio. L’Autorità mantiene la contestazione dove individua un problema sistemico: informazione, limitazione della finalità, impostazioni predefinite e accountability. Archivia invece ciò che non incide in modo decisivo su quel nucleo.
La sanzione
La sanzione è fissata in 55.000 euro, per violazioni di gravità media.
Tra gli elementi considerati a sfavore rientrano il coinvolgimento di tutti i professionisti presenti in INI-PEC, l’introduzione di misure adeguate solo nell’estate 2025, il fatto che gli obblighi informativi fossero già previsti nelle Linee guida adottate dalla stessa AgID e i reclami con conseguenze concrete, come notifiche su caselle non adatte a ricevere comunicazioni personali.
A favore sono stati considerati l’assenza di precedenti pertinenti, le campagne comunicative comunque svolte, la successiva adozione di misure di mitigazione, il coinvolgimento di altri attori istituzionali e le difficoltà finanziarie e organizzative rappresentate nel procedimento.
Il Garante non adotta ulteriori misure correttive, dando atto che AgID si è attivata per superare le criticità. Precisa però che, per i futuri riversamenti da INI-PEC a INAD, dovranno essere adottate modalità efficaci di adempimento degli obblighi informativi.
Le lezioni per la digitalizzazione pubblica
Il provvedimento offre indicazioni che vanno oltre l’INAD.
La digitalizzazione pubblica non consiste soltanto nel collegare banche dati, riversare informazioni e rendere consultabili indici nazionali. Ogni volta che un dato cambia contesto d’uso, devono essere rivalutate le garanzie che accompagnano quel trattamento.
Un indirizzo PEC pubblicato in un indice professionale non produce gli stessi effetti quando diventa domicilio digitale personale utilizzabile per comunicazioni elettroniche con valore legale.
Ne discendono tre criteri operativi.
Il primo: quando la norma prevede garanzie per mitigare l’impatto sui diritti degli interessati, quelle garanzie devono essere attuate in modo verificabile.
Il secondo: l’informazione non può essere considerata adempiuta solo perché trasmessa a un intermediario istituzionale. Deve essere progettata per raggiungere gli interessati e il titolare deve poter dimostrare l’idoneità del percorso scelto.
Il terzo: la protezione per impostazione predefinita si misura soprattutto quando l’utente non compie alcuna azione. Se l’inerzia produce un effetto rilevante sulla sfera personale, il default deve essere progettato con particolare cautela.
Il caso AgID-INAD conferma che la protezione dei dati non interviene dopo la digitalizzazione. Deve essere incorporata nell’architettura del servizio, nella comunicazione agli interessati e nella capacità del titolare di dimostrare ciò che ha fatto.
Partecipa alla community