INAD, il Garante richiama AgID: la trasparenza è parte integrante della digitalizzazione

La trasformazione digitale della Pubblica Amministrazione non può prescindere dalla tutela dei dati personali. È questo il principio che emerge dal provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato l’Agenzia per l’Italia Digitale (AgID) per alcune criticità riscontrate nella gestione dell’Indice Nazionale dei Domicili Digitali (INAD), uno degli strumenti destinati a diventare sempre più centrale nelle comunicazioni telematiche tra cittadini, professionisti e amministrazioni.

Il provvedimento prende in esame il meccanismo con cui gli indirizzi PEC dei professionisti iscritti nell’INI-PEC sono stati trasferiti automaticamente nell’INAD, rendendoli consultabili come domicilio digitale delle persone fisiche. Secondo il Garante, il problema non riguarda la legittimità del sistema previsto dal Codice dell’amministrazione digitale, bensì le modalità con cui è stato attuato il trattamento dei dati personali.

Il nodo degli obblighi informativi

L’Autorità ha rilevato che milioni di professionisti non sono stati informati in modo adeguato del riversamento automatico dei propri indirizzi PEC nell’INAD e delle conseguenze derivanti dalla loro pubblicazione. In particolare, molti interessati non hanno avuto la possibilità di scegliere consapevolmente se mantenere come domicilio digitale personale la PEC professionale oppure indicarne una diversa prima della pubblicazione nell’indice.

Per il Garante questa modalità operativa ha determinato una violazione di alcuni principi cardine del GDPR: trasparenza, limitazione delle finalità, accountability e privacy by design. L’informazione agli interessati costituisce infatti un elemento essenziale della liceità del trattamento e non può essere considerata un adempimento meramente formale.

Un tema che interessa direttamente i professionisti

La vicenda assume particolare rilievo per avvocati, commercialisti, consulenti del lavoro, notai e, più in generale, per tutti i professionisti che utilizzano quotidianamente la PEC come strumento di lavoro e come canale ufficiale per notifiche e comunicazioni.

La pubblicazione automatica del domicilio digitale professionale nell’INAD può infatti produrre effetti che vanno oltre la sfera professionale, consentendo l’invio di comunicazioni destinate alla persona fisica su una casella spesso gestita anche da collaboratori di studio o utilizzata esclusivamente per finalità lavorative. Proprio questo aspetto è stato ritenuto meritevole di particolare attenzione da parte dell’Autorità.

Privacy by design anche nei servizi pubblici digitali

Uno degli aspetti più interessanti del provvedimento riguarda il richiamo al principio di privacy by design, secondo cui la protezione dei dati deve essere incorporata nella progettazione stessa dei servizi digitali e non introdotta soltanto successivamente per correggere eventuali criticità.

Nel caso dell’INAD, secondo il Garante, sarebbe stato necessario prevedere sin dall’origine modalità idonee a informare preventivamente gli interessati e consentire loro di esercitare una scelta consapevole sul domicilio digitale da rendere pubblico. Le iniziative informative adottate successivamente da AgID sono state considerate utili, ma tardive rispetto all’avvio del trattamento.

Un messaggio per tutta la digitalizzazione della PA

Pur riguardando uno specifico servizio, il provvedimento assume un valore più ampio nel percorso di digitalizzazione della Pubblica Amministrazione. L’evoluzione verso servizi sempre più interoperabili, l’utilizzo diffuso del domicilio digitale e la progressiva digitalizzazione dei rapporti tra cittadini, professionisti e amministrazioni rendono sempre più centrale il corretto equilibrio tra innovazione tecnologica e tutela dei diritti.

---

LEGGI ANCHE