VEDI ANCHE Newsletter del 9 marzo 2026

[doc. web n. 10225673]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 74 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

In data XX è pervenuta all’Autorità una segnalazione con la quale sono state lamentate alcune presunte criticità in merito al trattamento dei dati personali connessi all’erogazione di alcuni servizi mediante l’applicazione “Aldilàpp” (di seguito l’”Applicazione” o “Piattaforma Aldilapp”).

Tale Applicazione, scaricabile gratuitamente, consente, tra l’altro, agli utenti, previa registrazione, di ricercare l’ubicazione dei defunti all’interno dei cimiteri dei Comuni aderenti al servizio, nonché di fruire di alcune funzionalità in stile "social media" (quali, in particolare, diventare amministratore del profilo digitale di un defunto, attivare notifiche push in Applicazione, seguire il profilo digitale di un defunto nonché interagire con il relativo profilo digitale mediante pubblicazione di messaggi, dediche, o accensione di un cero virtuale) e di alcuni servizi offerti da imprese locali, tra cui servizi di fornitura di fiori freschi e di pulizia della tomba (cfr. https://aldilapp.it/app/).

L’Ufficio ha conseguentemente avviato una complessa attività istruttoria nei confronti di soggetti a vario titolo coinvolti nei predetti trattamenti. A tale fine, in un primo momento, è stata avanzata una richiesta d’informazioni, tra l’altro, al Comune di Ancona (di seguito il “Comune”), in quanto tra i maggiori Comuni i cui cimiteri sono censiti nell’Applicazione (nota del XX, prot. n. XX) e coinvolgendo, nelle successive richieste d’informazioni, anche la società Anconambiente S.p.A. (di seguito “Anconambiente”), iniziale gestore dei servizi cimiteriali locali (note del XX, del XX, del XX e del XX, rispettivamente, prot. nn. XX, XX, XX e XX). Successivamente, l’Ufficio ha avanzato delle richieste di informazioni anche nei confronti della STUP 1 Srls – oggi STUP 1 S.r.l. SB - (di seguito “STUP”) con note del XX (prot. n. XX), del XX (prot. n. XX) e, con riferimento ai cimiteri di Ancona, del XX (prot. n. XX), in quanto sottoscrittore dei contratti di concessione della licenza d’uso dell’Applicazione con i Comuni/gestori dei servizi cimiteriali nonché distributore dell’Applicazione in Italia. Alle predette richieste, la STUP ha fornito riscontro con note del XX (prot. dell’Autorità n. XX dell’XX), del XX (prot. dell’Autorità n. XX) e, con riferimento ai cimiteri di Ancona, del XX (prot. dell’Autorità n. XX del XX).

Sono stati effettuati, altresì, accertamenti di carattere ispettivo nelle giornate del XX, XX e XX presso la STUP, al fine di effettuare approfondimenti per i profili di natura tecnica, a seguito dei quali, con nota del XX (prot. dell’Autorità n. XX) la predetta società ha trasmesso ulteriore documentazione a scioglimento delle riserve effettuate in sede d’ispezione.

Inoltre, a seguito della contestazione di violazione amministrativa effettuata nei confronti dei predetti soggetti coinvolti nell’istruttoria, sono state effettuate le audizioni dei due Comuni coinvolti in istruttoria, in data XX, perfezionatesi, per il Comune di Ancona, con la nota di riscontro del XX (prot. dell’Autorità n. XX del XX, nonché acquisite le memorie difensive dei vari soggetti.

2. Attività istruttoria

2.1. Il contesto di riferimento e i servizi erogati

L’Applicazione è stata sviluppata dalla società Issam Consultancy LTD (con sede a Malta, di seguito “ISSAM”), con finalità, inizialmente, di rispondere all’esigenza dei piccoli Comuni nella digitalizzazione e dematerializzazione degli archivi cimiteriali, di consentire la consultazione online dei cimiteri e, al contempo, di fornire un servizio ai cittadini nella richiesta e la messa in opera di servizi di decoro cimiteriale (cfr. verbale di ispezione del XX).

L’Applicazione, distribuita esclusivamente in Italia da parte della STUP su apposito mandato della ISSAM, viene concessa in licenza d’uso tramite un contratto stipulato con i Comuni aderenti o i relativi gestori dei servizi cimiteriali. Nello specifico, l’oggetto della licenza è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore […che dalla] relativa Piattaforma software” (cfr. atto di nomina allegato al contratto di concessione).

Tra i servizi accessori contemplati nel predetto contratto è prevista, nei casi in cui il Comune non disponga di registri cimiteriali digitalizzati o gli stessi siano incompleti o inaffidabili, un’attività di censimento in loco, consistente nella rilevazione delle sepolture e della loro collocazione fisica all’interno del cimitero, mediante la raccolta dei dati riportati sulle lapidi quali nome e cognome del defunto, data di nascita e di morte, ove presenti, nonché ubicazione della sepoltura all’interno dell’area cimiteriale (cfr. verbale del XX, p. XX, nonché nota della STUP del XX, pp. XX).  

Sul punto, la STUP ha precisato che tale attività di censimento, effettuata una tantum solo nei casi di Comuni sprovvisti di elenchi cimiteriali digitalizzati, non è giuridicamente inquadrabile nella ricostruzione dei registri cimiteriali, di cui all’art. 52 del D.P.R. 285/1990, ma è finalizzata a consentire, da un lato, al Comune di effettuare il successivo aggiornamento dei dati relativi alle sepolture (es. in caso di nuove sepolture, traslazioni) e implementazione e, dall’altro, di consentire agli utenti di rinvenire l’esatta ubicazione del defunto nel cimitero mediante la ricerca in Applicazione (cfr. verbale del XX, p. XX e del XX, p. XX).

Gli elenchi cimiteriali (risultato del censimento o dell’acquisizione dei registri comunali digitalizzati) vengono messi a disposizione dei Comuni mediante un’apposita dashboard (di seguito anche “Dashboard” o “Piattaforma Software”) utilizzata dai Comuni privi di un proprio applicativo come sistema gestionale. Inoltre, sebbene la predetta dashboard consti di “funzionalità minime rispetto ad un vero e proprio gestionale cimiteriale, […consente], comunque, [ai Comuni] di caricare documentazione quale contratti di concessione cimiteriali, documenti relativi agli eredi e relativi dati di contatto. Tali servizi sono comunque disponibili funzionalmente e attivi per i clienti” (cfr. verbale del XX, p. XX).

A tali funzionalità si aggiunge, in ogni caso, la geolocalizzazione delle sepolture, effettuata tramite “l’acquisizione delle coordinate GPS, da parte di personale e/o collaboratori della STUP1, attraverso servizi di “Google maps” (cfr. verbale del XX, p. XX).

Con riferimento, infine, alla durata del contratto di fornitura di servizi la STUP, nel riscontrare alla nota della società Anconambiente del XX (prot. n. XX), in cui veniva rappresentato che “Il contratto per la fornitura dell’App, derivante dall’atto a contrarre […] di affidamento diretto emesso da parte della Società a STUP 1 S.r.l.s., risulta ad oggi decaduto, giunto a regolare scadenza in data XX”), precisava, in particolare, che “il servizio erogato ha natura giuridica “di fornitura di durata”, per cui, […] non è soggetto ad alcun termine di scadenza né di rinnovo” e che “l’interesse pubblico nell’erogazione del servizio dev’essere bilanciato con l’interesse soggettivo delle migliaia di utenti registrati, i quali hanno usufruito, ed usufruiscono quotidianamente, delle funzioni dell’App, le quali contengono manifestazioni di pensieri e di cordoglio nel ricordo dei cari defunti, meritevoli di tutela e protezione, non essendo questi ultimi suscettibili di facile misurazione economica e/o negoziale […]” (cfr. nota della STUP del XX, pp. XX). precisando altresì che “i contratti di affidamento sono contratti di durata, non aventi pertanto scadenza naturale”.

A tal riguardo, si evidenzia in particolare che, riguardo ai cimiteri di Ancona, Anconambiente ha dichiarato che il contratto di concessione e licenza d’uso per l’Applicazione e la Piattaforma Software “derivante dall’atto a contrarre - prot. n. XX del XX - di affidamento diretto” sottoscritto da Anconambiente e STUP, “risulta ad oggi decaduto, giunto a regolare scadenza in data XX” (cfr. note del XX, p. XX e del XX, p. XX). In relazione al predetto contratto “non è stato effettuato alcun “subentro” in data XX, da parte di M&P Mobilità e Parcheggi S.p.A., oggi Ancona Servizi S.p.A. […nuovo gestore cimiteriale] nel rapporto contrattuale inerente la fornitura dell’applicazione ALDILAPP […in quanto] il subentro è avvenuto […] con esclusivo riferimento alla “gestione dei servizi cimiteriali e delle lampade votive”, come specificato sia nella documentazione (pubblicamente reperibile) prodotta dagli organi comunali del Comune di Ancona, sia nel contratto di affitto di ramo d’azienda registrato ad Ancona in data XX […]”. Pertanto, “in data XX, AnconAmbiente ha comunicato a Stup la nuova gestione in capo a M&P, oggi Ancona Servizi, dei citati servizi cimiteriali e lampade votive […comunicando, in particolare, alla STUP che] Anconambiente ha ceduto la gestione dei servizi cimiteriali e lampade votive per i cimiteri di Ancona [ma non il contratto con la STUP] alla società “Mobilità e Parcheggi” (cfr. nota di Anconambiente del XX, p. XX, nonchè “XX”, alla nota del XX). Di conseguenza, Anconambiente “ha provveduto ad effettuare l’aggiornamento dei dati dei defunti verso Aldilapp sino al XX, data in cui la migrazione dei dati relativi ai servizi cimiteriali e lampade votive, in esecuzione del nuovo affidamento degli stessi a M&P, oggi Ancona Servizi, è stata completata […e solo] [d]al XX al XX, in costanza di rapporto contrattuale tra la scrivente e Stup, l’aggiornamento è stato materialmente effettuato da M&P, oggi Ancona Servizi” (cfr. nota del XX, p. XX).

2.2. I servizi offerti in Applicazione agli utenti

I dati dei defunti inizialmente acquisiti vengono automaticamente pubblicati in Applicazione, ai fini della consultazione da parte degli utenti (“I dati inseriti dal Cliente, saranno liberamente consultabili dagli utenti registrati sull’applicazione per Smartphone “Aldilapp®” attualmente pubblicata sugli App Store® di Apple e GooglePlay® di Google […]” (cfr. art. 14, par. 1 del contratto di concessione).

Anche al solo fine di poter usufruire dei servizi di consultazione e localizzazione delle sepolture offerti dall’Applicazione, gli utenti devono previamente registrarsi, mediante la creazione di apposito account. Ai fini della registrazione, attualmente, l’identificazione degli gli utenti finali avviene “tramite numero di cellulare validato con one time password (OTP). […] Successivamente alla validazione del numero di telefono con OTP, all’utente viene chiesto di completare il profilo con un nome utente ed un indirizzo email. […] L’email non viene validata e non è univoca […]” (cfr. verbale del XX, p. XX). L’utente ha inoltre la facoltà di completare il proprio profilo aggiungendo una foto, mediante caricamento dalla Galleria del proprio dispositivo mobile o con scatto istantaneo.

In tale contesto, la “presa visione dell’informativa privacy viene richiesta all’utente solo a seguito del perfezionamento della validazione del numero di cellulare mediante OTP e della finalizzazione dell’account con inserimento del nome utente e dell’indirizzo email”;” (cfr. verbale del XX, p. XX). Per quanto concerne le informazioni fornite agli utenti in merito al trattamento dei dati personali, in Applicazione sono presenti due informative: l’“A1 - Informativa sul trattamento dei dati per gli Utenti della Piattaforma “Aldilapp” e la “A2 - Informativa sul trattamento dei dati per le persone defunte presenti sulla Piattaforma “Aldilapp” […]” (cfr. in atti).

A seguito della predetta registrazione, l’utente è abilitato ad usufruire delle varie funzionalità presenti in Applicazione, quali:

1. Cercare un defunto: tale ricerca avviene mediante un modulo a partire dal Comune di sepoltura. Ciò in quanto, “tutte le attivazioni dei servizi legati al precipuo funzionamento di “Aldilapp” avvengono solo ed esclusivamente dietro richiesta dell’Ente Pubblico Comune e/o dal Gestore Cimiteriale avente l’opportuna delega da parte dell’Ente Pubblico Delegante. […]”; di conseguenza “i Comuni che non hanno attivato e/o aderito ai servizi offerti in APP non sono attualmente disponibili nell’elenco della funzione “Comune di sepoltura […]” (cfr. nota della STUP del XX, p. XX). L’utente, selezionando il Comune d’interesse, otterrà un elenco di defunti ordinati “per numero di visualizzazioni e per ordine alfabetico”. È prevista anche la ricerca di un defunto inserendo direttamente nome e/o cognome; in tale caso, “Man mano che la casella di ricerca viene compilata vengono filtrati i defunti aventi nel nome o nel cognome il testo digitato. In questo modo sarà possibile, ad esempio, cercare tutti i defunti che hanno un determinato cognome” (cfr. https://aldilapp.it/app/#cercare-defunto). Inoltre, come accertato dall’Autorità in data XX, all’avvio della consultazione nella bacheca principale, con indicata solo la “Nazione di sepoltura” (unicamente Italia), vengono indicate le “Dediche più visualizzate”, con indicazione sia della dedica che dell’utente autore della stessa. Procedendo poi alla ricerca del defunto, valorizzando i campi relativi al Comune di sepoltura, in aggiunta alle predette dediche vengono inoltre proposti all’utente i “Defunti in evidenza”, consistente in un elenco di defunti con indicato nome e cognome, età, cimitero di sepoltura ed eventuale foto;

2. Visitare il “profilo digitale” di un defunto: tale funzione consente di accedere alla scheda di un defunto, contenente, in primo luogo, nome, cognome, data di nascita e di morte, nonché l’ubicazione del luogo di sepoltura, rilevati da STUP in fase di censimento in loco. Mediante la funzione di geolocalizzazione (“Apri mappa”) l’utente può, altresì, ricevere le indicazioni per raggiungere il luogo di sepoltura mediante consultazione delle coordinate GPS su Google maps. Il profilo digitale può essere, inoltre, arricchito mediante caricamento della foto e della biografia del defunto, da parte dell’utente/degli utenti che ha/hanno rivendicato il profilo. Al riguardo, la STUP ha rappresentato, in particolare, che “le foto che si trovano nell’Applicazione non sono state acquisite da STUP1 durante l’attività di rilevazione dei dati riportati sulle sepolture, ma sono esclusivamente inserite dai familiari a seguito della rivendicazione del profilo”; analogamente, “la funzione di “Amministratore” del profilo digitale del defunto, […] consente […] la redazione di una biografia dei propri cari soggetta ad attività di monitoraggio e moderazione al fine di evitare l’utilizzo di turpiloqui […sul] profilo oggetto di consultazione da parte di altri utenti” (cfr. verbale del XX, p. XX; si veda altresì nota della STUP del XX, p. XX). Nel medesimo profilo risultano altresì visibili le ulteriori attività degli utenti (caricamento di messaggi e dediche e accensione di ceri virtuali commemorativi) nonché l’elenco dei “Defunti correlati” mediante il quale all’utente che visita il relativo profilo vengono segnalati ulteriori profili di potenziale interesse.

L’Applicazione prevede inoltre una funzionalità “Condividi” che consente, ad ogni utente (anche non amministratore) di poter esportare il profilo digitale del defunto, mediante creazione di una scheda linkabile, accessibile anche da utenti non registrati all’Applicazione, in cui sono riportate, altresì, le più recenti attività di interazione (ceri virtuali, commenti più recenti, ecc.) realizzate, con indicazione dello specifico utente che le ha effettuate. Il profilo esportato è suscettibile, inoltre, di poter essere ulteriormente condiviso mediante la funzione “Condividi questo profilo sul tuo social preferito” (cfr. relazione di servizio dell’Autorità dell’XX);

3. Scrivere messaggi/dediche e accendere ceri virtuali: tale funzione consente a ciascun utente, sia nei profili rivendicati che non, di poter scrivere un pensiero per il defunto in una casella di testo a campo libero, e/o accendere un cero virtuale. Tali attività risultano automaticamente visibili a tutti gli utenti che visitano il profilo, unitamente all’indicazione dell’utente che l’ha effettuata nonché con il riferimento temporale (es. il giorno precedente, 15 giorni prima), senza possibilità di limitarne la visibilità. La STUP ha altresì precisato che “è possibile lasciare ricordi o accendere ceri anche per profili non rivendicati. La differenza riguarda la moderazione, non effettuata dall’amministratore del profilo, ma solo dalla STUP1” (cfr. verbale del XX, p. XX);

4. Segnalare un errore o un abuso sul profilo digitale: ciascun utente può inviare alla STUP una segnalazione in merito alla presenza di contenuti offensivi o non veritieri o errori sul profilo di un defunto. Rispetto ai contenuti pubblicati è prevista, altresì, un’attività di moderazione direttamente da parte della STUP nonché anche da parte dell’amministratore di un profilo “rivendicato” (cfr. nota della STUP del XX, pp. XX);

5. Seguire un defunto: tale funzione consente all’utente, in particolare, di restare aggiornato sulle attività svolte dagli altri utenti sul profilo “seguito”. Per attivare tale funzione l’utente è tenuto a selezionare il tipo di rapporto con il defunto (i.e. “Genitore”, “Moglie/Marito, “Figlio/a”, ecc., “Amico/a”, “Collega” o “Altro”; cfr. relazione di servizio dell’Autorità dell’XX;

6. Acquistare fiori o servizi in favore di un defunto: l’utente può acquistare, altresì, dei servizi di natura commerciale di varie tipologie, da effettuare presso il luogo di sepoltura del defunto; in particolare, “Le categorie ed i prodotti di servizi pubblicati dai Fornitori sono suddivisi in sezioni predeterminate condivise con il Gestore/Ente di riferimento e gli articoli contenuti nei cataloghi sono fissi ed invariabili, segnatamente, vengono erogati solo i seguenti servizi: […] Fornitura fiori freschi […e] finti sul sito cimiteriale; […] Pulizia […e] Lucidatura della Lapide/Sito cimiteriale; […]  Altri gadget di abbellimento del sito (n.d.r. Lumini Elettrici, crocifissi ed accessori di ornamento)” (cfr. nota della STUP del XX, p. XX);

7. Diventare amministratori del profilo digitale: tale funzionalità è stata implementata sin dal primo rilascio dell’Applicazione (XX), al fine di poter “identificare i soggetti abilitati ad esercitare i diritti GDPR” (cfr. verbale del XX, p. XX) ed è stata successivamente oggetto di aggiornamenti successivi dell’Applicazione, in quanto ”attualmente, per rivendicare il profilo di un defunto è necessario “auto-certificare” attraverso una dichiarazione sostitutiva […] DPR n. 445/2000 […] il proprio grado di parentela […] a seguito del quale […l’] utente che lo ha riscattato […], in qualità di soggetto ex art. 2-terdecies D.Lgs. 196/2003 co. 1, assumerà il ruolo di “amministratore” del profilo […]. A seguito del corretto espletamento della procedura di verifica, l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente” (cfr. nota della STUP del XX, p. XX, nonché verbale del XX, p. XX).

Anche in sede di rivendicazione è richiesta l’indicazione del tipo di rapporto col defunto. Al termine delle varie fasi l’utente deve confermare la dichiarazione di riscatto del profilo mediante OTP ricevuto via SMS. Nell’ambito del processo di rivendicazione non viene fornita nuovamente l’informativa all’utente che riscatta il profilo. Tuttavia, all’avvio del processo di rivendicazione l’utente viene informato mediante apposita schermata che i suoi dati personali verranno condivisi con l’”Ente titolare dei dati” (cfr. verbale del XX, p. XX).

In sede d’ispezione, è stato accertato che l’amministratore di un profilo può caricare la fotografia e/o la biografia del defunto, inviare “istanze GDPR” (nei termini sotto indicati),  autorizzare altri co-amministratori, effettuare attività di moderazione del profilo; l’amministratore può inoltre abilitare la ricezione di notifiche push sulle attività effettuate dagli altri utenti sul profilo amministrato (es. pubblicazione di messaggi, accensione di ceri virtuali, utilizzo di servizi commerciali), comprensive dell’indicazione del loro username (cfr. verbale del XX, p. XX, verbale del XX, pp. XX, nonché nota della STUP del XX, p. XX).

Con riguardo, in particolare, alle modalità di esercizio dei diritti, ai sensi dell’art. 2-terdecies del Codice, riguardanti le persone decedute da parte di un amministratore del profilo, è stato precisato che “Grazie […] all’inserimento della procedura di verifica di conformità del grado di parentela, all’interno del profilo dell’utente sarà presente la funzione per le comunicazioni dirette da parte dei soggetti ex art. 2-terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo) verso la Stup1 la quale, ricevute le istanze, provvede ad inoltrare automaticamente queste ultime al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […]” cfr. nota della STUP del XX, pp. XX); si specifica inoltre che “mediante la stessa funzione l’utente amministratore può esercitare sia i diritti ai sensi del 2-terdecies del Codice che per sé stesso ai sensi degli artt. 15-22 del Regolamento. Una volta valorizzati i campi, la richiesta viene perfezionata […e la] Stup1 […] provvederà a trasmetterla al titolare competente (Comune o Issam). L’utente […] che non ha rivendicato alcun profilo può esercitare, […] i diritti di cui agli artt.15-22 del Regolamento attivando un contatto diretto con la società (cfr. verbale del XX, pp. XX).

Con riferimento ai sopra menzionati servizi, si evidenzia che, in corso d’istruttoria, è emerso che il contratto stipulato con i clienti istituzionali comprende “l’intero pacchetto dei servizi forniti dall’applicazione Aldilapp […]”. Infatti, solo a seguito della richiesta di un Comune, datata XX, di limitare i servizi forniti “a quelli strettamente collegati alla gestione e all’aggiornamento dell’anagrafica cimiteriale” la STUP ha dichiarato di aver “dato corso alle attività di sviluppo di questa opzione di erogazione del servizio” escludendo le funzionalità relative alla gestione dei profili dei defunti e delle interazioni degli utenti (cfr. verbale del XX, p. XX).

2.3. I servizi offerti in Dashboard ai Comuni

Sulla Piattaforma Software sono a disposizione dei Comuni:

- le pagine del/dei singoli cimiteri, visibili dal Comune di riferimento, nei quali sono visualizzabili la denominazione e la localizzazione del cimitero, le aree di sepoltura e le singole tombe, ciascuna di esse “cliccabile e […contenente] i dati dell’occupante e dello stato della lampada votiva”, ai fini della “gestione e della fatturazione dei servizi di illuminazione votiva”;

- le schede relative ai defunti, contenenti i dati anagrafici del defunto, incluse le date di nascita e di morte e in cui è “altresì visualizzabile una sezione […] denominata “profilo defunto” ove, in caso di rivendicazione, sono presenti la foto o la biografia del defunto stesso”;

- nel “menù “contratti” relativo ai contratti di concessione”, ove inseriti dal Comune, sono presenti “i dati personali […] delle persone fisiche titolari di contratti di concessione (soggetti passivi dei canoni di concessione)” e la scadenza della concessione; nella relativa scheda “è possibile caricare documenti relativi al contratto di concessione”;

- “i dati personali delle persone fisiche che hanno riscattato il profilo di un defunto” comprensivi dei dati anagrafici degli stessi, della data di rivendicazione del profilo del defunto e del grado di parentela/legame con il defunto stesso nonché, per le rivendicazioni effettuate “successivamente al mese di XX, la documentazione conferita (dichiarazione sostitutiva, foto fronte e retro del documento di identità)” dai richiedenti, consultabili dagli operatori comunali nella sezione “rivendicazioni” della Dashboard. A decorrere dalla predetta data, le nuove rivendicazioni sono notificate “al Comune […] con trasmissione della relativa documentazione […] con la finalità di verifica della correttezza dei dati dichiarati dai soggetti legittimati”. L’istruttoria ha, tuttavia, rilevato che le mail di notifica della richiesta di rivendicazione dei profili sono state inviate da STUP “all’indirizzo email assegnato al Comune quale username di accesso alla dashboard […]”. Tale casella di posta elettronica non era tuttavia consultabile dagli stessi “in quanto non gli […erano state] fornite le relative credenziali di accesso […]” (cfr. verbale del XX, pp. XX e XX; nota della STUP del XX, pp. XX nonché p. XX).

2.4. I ruoli soggettivi nel trattamento dei dati personali

Con riferimento ai ruoli soggettivi, la STUP ha precisato che “Il trattamento relativo ai dati dei defunti vede i Comuni agire in qualità di Titolari del trattamento. I Comuni e/o gli enti affidatari dei servizi di gestione cimiteriale pongono in essere trattamenti relativi all’anagrafe cimiteriale che […] coinvolgono Stup1 S.r.l. […] in qualità di responsabile del trattamento. In questo caso, il titolare del trattamento comunica i dati di cui sopra alla Stup1 che, in proprio, o tramite la messa a disposizione di una dashboard dedicata sull’applicazione “Aldilapp”, di proprietà della Issam Consultancy ltd, […] e che la stessa Stup1 distribuisce in Italia, verranno inseriti nell’applicazione stessa” (cfr. nota della STUP del XX, pp. XX).

Sia la STUP che la ISSAM sono state designate responsabili del trattamento ai sensi dell’art. 28 del Regolamento, unicamente per il trattamento dei dati del defunto e con riguardo alle attività di “Manutenzione dell’applicazione”, “Gestione della pubblicazione dei dati che saranno liberamente consultabili dagli utenti registrati sull’applicazione […] “Aldilapp®” […]” e “Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app” (cfr. “Nomina resp. ISSAM” e “Nomina resp. STUP 1 srls” in atti).

La STUP è stata designata, altresì, come responsabile del trattamento per il “Censimento della popolazione cimiteriale secondo le indicazioni del titolare del trattamento” (cfr. “Nomina resp. STUP 1 srls” in atti).

In caso di riscatto di un profilo, la STUP trasmette al “Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) […] copia dell’autocertificazione rilasciata da parte dell’utente” nonché le richieste trasmesse “ex art. 2terdecies D.Lgs. 196/2003 co. 1 (n.d.r. amministratori del profilo)” tramite la piattaforma” (cfr. nota della STUP del XX, pp. XX, nonché verbale del XX, p. XX). Il Comune “tramite dashboard o tramite proprio gestionale, provvede a rimuovere la visibilità del defunto dall’Applicazione. In caso di inerzia del Comune, STUP1 procede all’oscuramento in autonomia in via cautelativa previa comunicazione al Comune stesso. La decisione finale dell’oscuramento rimane del Comune che è il titolare del trattamento dei dati resi disponibili ai cittadini tramite l’Applicazione. La richiesta di oscuramento può anche essere sottomessa dai cittadini tramite istanza rivolta direttamente al Comune […]” (cfr. verbale del XX, p. XX). I Comuni interessati dall’istruttoria in esame, hanno precisato che, allo stato, nessuna istanza di esercizio dei diritti è stata trasmessa dalla STUP agli stessi o al relativo gestore dei servizi cimiteriali (cfr. note del Comune di Ancona del XX, pp. XX e del XX nonché di Anconambiente del XX, p. XX e del XX, p. XX).

La STUP ha dichiarato che la ISSAM, agisce in qualità di titolare del trattamento “dei dati personali degli utenti dell’applicazione Aldilapp […] e dei cosiddetti “Aldilapper” […] ovvero dei fornitori di servizi (ad esempio dei fiorai e/o manutentori) […]” (cfr. nota della STUP del XX, p. XX). Pertanto, la STUP è designata da ISSAM responsabile del trattamento ai sensi dell’art. 28 del Regolamento, per il trattamento di dati personali concernenti: “Anagrafiche degli utenti della piattaforma Aldilapp; Anagrafiche dei defunti presenti sulla piattaforma Aldilapp per i soli profili rivendicati; Anagrafiche degli “Aldilapper” della piattaforma Aldilapp” (cfr. “All. 1 Nomina responsabile Stup1- Società Benefit”, al verbale del XX) mentre la ISSAM, fornitrice della piattaforma “Aldilapp”, si occupa della “intera gestione tecnica dei database […]” (cfr. nota della STUP del XX, p. XX).

2.5. I riscontri del Comune di Ancona e del gestore Anconambiente alle richieste di informazioni dell’Autorità

A fronte delle richieste di informazioni avanzate dall’Autorità con le citate note del XX, del XX del XX, del XX e del XX, in merito ai cimiteri di Ancona, sia il Comune che Anconambiente hanno fornito i propri chiarimenti in merito ai profili di seguito evidenziati. I predetti riscontri sono stati forniti da parte del Comune con note dell’XX (prot. n. XX), del XX (prot. n. XX), del XX (prot. n. XX), del XX (prot. n. XX) e del XX(prot. n. XX), cui si rinvia integralmente, e da Anconambiente, con note delXX (prot. dell’Autorità n. XX dell’XX), XX(prot. dell’Autorità n. XX del XX), XX (prot. dell’Autorità n. XX del XX) e XX (prot. dell’Autorità n. XX dell’XX), cui si rinvia integralmente.  

Per quanto concerne la gestione dei servizi cimiteriali e il ruolo svolto, con riferimento alla protezione dei dati personali da parte del Comune e dal gestore dei predetti servizi, il Comune di Ancona ha dichiarato, in particolare, che “il Contratto di servizio in capo ad AnconAmbiente S.p.a. […] ha ad oggetto la gestione dei servizi cimiteriali complessivamente intesi […]” tra cui “la gestione delle operazioni cimiteriali, della pulizia dei cimiteri, l'apertura e chiusura dei cancelli, l'illuminazione votiva. Per lo svolgimento di tali servizi, il gestore è responsabile del trattamento dei dati personali di cui viene a conoscenza e con i quali opera. Nel caso di AnconAmbiente S.p.A., che è affidataria dei servizi cimiteriali già in epoca antecedente il contratto Rep. XX, in virtù di diverso antecedente atto di oggetto analogo, la designazione è stata effettuata con apposito decreto sindacale n. 139/2008. Infatti, già prima dell'entrata in vigore del Regolamento Europeo 2016/679, il Comune di Ancona, quale Titolare, ha nominato la società quale Responsabile sulla scorta del D.lgs. n. 196/2003, […e] Il successivo atto di designazione […], ai sensi dell'art. 28 Reg. UE 2016/679, solo per brevità, riporta come titolo la dicitura del “servizio di lampade votive”, ma in realtà tale accordo autorizza il responsabile al trattamento dell'intero elenco dei servizi svolti dal gestore […]” (cfr. nota del Comune del XX, p. XX).

Al riguardo, Anconambiente ha rappresentato, in particolare, che il predetto Comune “con contratto registrato in data XX (rep. XX) ha affidato alla […] Società la gestione dei servizi cimiteriali […] Tale affidamento, […] ricomprende un’ampia gamma di servizi per cui la Società risulta concessionaria di pubblico servizio. L’articolo 11 del medesimo (rubricato “Tutela della Privacy”) prevede in primis il ruolo di titolare del trattamento in capo al Comune di Ancona e quello di responsabile del trattamento in capo alla Società con esclusivo riferimento alle designazioni che verranno in seguito effettuate. Tali designazioni (i.e., tali accordi ex art. 28 GDPR) hanno riguardato solo ed esclusivamente i servizi relativi alla “igiene ambientale” e alle “lampade votive” […] In secundis e sempre nell’ambito delle attività di pubblico servizio affidate alla Società, per altre funzioni la stessa Società – e per le quali è priva di tale designazioni ex art. 28 GDPR da parte del Comune - risulta invece essere titolare autonoma, […]. Tra queste funzioni, risultano quelle connesse all’utilizzo dell’applicazione “Aldilàpp” […] i cui trattamenti di dati personali fuoriescono dal perimetro di cui ai DPA Comune-AnconAmbiente. Di conseguenza, con riferimento ai dati personali dei soggetti defunti trattati per il tramite dell’App, la Società ha agito in questo secondo ruolo, quale titolare del trattamento nell’esecuzione dei compiti affidatile dal dante causa Comune di Ancona, ricoprendo il ruolo di concessionaria di pubblici servizi” (cfr. nota Anconambiente del XX, pp. XX, altresì nota del XX, p. XX).

Con riferimento, invece, ai trattamenti effettuati nell’ambito dell’Applicazione, il Comune ha rappresentato, in particolare, che la predetta Applicazione “è stata interamente commissionata da AnconAmbiente S.p.a. e da essa direttamente gestita. Tale servizio, infatti, non rientra nell'oggetto del contratto di gestione dei servizi cimiteriali, in carico ad AnconAmbiente S.p.a. fino al XX con contratto rep. n. XX del XX e poi affidato a M&P Mobilità e Parcheggi S.p.a. [oggi Ancona Servizi S.p.A.] con contratto rep. n. XX a far data dal XX, in seguito a contratto di affitto del relativo ramo di azienda” (cfr. nota del Comune dell’XX, p. XX). Il medesimo Comune ha precisato, altresì, che “[D]alla documentazione conservata agli atti d'ufficio non risulta alcun accordo o informazione circa la realizzazione e l'utilizzo di questa applicazione da parte di AnconAmbiente S.p.a. […e]  In ogni caso non vi è alcun coinvolgimento diretto da parte del Comune di Ancona, se non a livello di mera divulgazione tramite il proprio sito istituzionale, che si è provveduto a correggere nella sua impostazione […] specificando che il servizio non è erogato e gestito dal Comune, ma direttamente dall'affidataria del servizio di gestione, […] Pertanto, AnconAmbiente S.p.a. si è occupata personalmente e in piena autonomia della realizzazione dell'applicazione per il tramite della società Stup1 Srls, nonché della gestione del servizio ad essa relativo” mentre “Con riguardo al subentro della M&P Mobilità e Parcheggi S.p.a./Ancona Servizi S.p.A. ad Anconambiente S.p.A., la comunicazione alla STUP 1 S.r.l. SB non è stata effettuata né portata a conoscenza del Comune di Ancona […]”  (cfr. note dell’XX, pp. XX, del XX, p. XX nonché del XX, p. XX e del XX, p. XX).

Sul punto, Anconambiente ha rappresentato, in particolare, che “In relazione ai trattamenti dei dati personali dei soggetti defunti connessi all’App, il ruolo esercitato da AnconAmbiente è quello di titolare del trattamento in quanto concessionario di pubblici servizi. Il ruolo di STUP 1 S.r.l.s., […] è quello di responsabile del trattamento, ai sensi dell’articolo 28 GDPR […]. Al riguardo, in data XX, AnconAmbiente ha provveduto ad un affidamento diretto nei confronti di STUP 1 S.r.l.s. per la fornitura dell’App concernente i servizi cimiteriali […]  In aggiunta, si sottolinea che AnconAmbiente ha sottoscritto un accordo, ai sensi dell’articolo 28 GDPR, con il responsabile del trattamento “ISSAM Consultancy LTD” […]. Con riferimento, invece, ai dati degli utenti dell’App, come si evince dalla privacy policy presente sul sito di Aldilàpp (https://aldilapp.it/privacy-policy/) e sull’App medesima, ISSAM Consultancy LTD riveste il ruolo di titolare del trattamento e STUP 1 S.r.l. SB quello di responsabile mentre la Società risulta estranea a detto trattamento” (cfr. nota Anconambiente del XX, pp. XX e XX nonché nota del XX, p. XX). In aggiunta, Anconambiente ha dichiarato che “gli unici trattamenti per cui la Società ha rivestito il ruolo di titolare del trattamento […] sono stati quelli relativi alla digitalizzazione dei registri cimiteriali, con conseguente comunicazione delle informazioni relative ai defunti alla società Stup 1 S.r.l. al fine della loro presenza in App, e quelli relativi ai servizi “connessi” (quali, ad es., l’accensione di un cero virtuale o la richiesta di pulizia tomba), inclusi questi ultimi nei “servizi cimiteriali” di cui era concessionaria la Società per il tramite del Contratto di servizi […] I restanti servizi erogati per il tramite dell’App ai diversi soggetti interessati utenti dell’App medesima, non costituiscono trattamenti di dati personali per cui la scrivente Società ha mai rivestito alcun ruolo” (cfr. nota del XX, p. XX).

Rispetto ai tempi e alle modalità con cui il Comune ha avuto conoscenza dell’affidamento della fornitura dell'applicazione “Aldilàpp” per i servizi cimiteriali alla STUP, lo stesso ha rappresentato, in particolare, che “La pubblicazione sul sito web istituzionale del Comune di Ancona della notizia relativa all’avvio di una nuova applicazione “Aldilàpp” è avvenuta da parte dell’URP in data XX […che] ha appreso la notizia direttamente dal “Comunicato stampa” di AnconAmbiente […] il “rilancio” dei comunicati stampa costituisce un mero riporto di notizie senza che ciò possa costituire una reale conoscenza da parte dell’organo amministrativo dell’Ente e senza che l’organo amministrativo sia coinvolto nel trattamento illustrato nella notizia […] [C]on la pubblicazione della notizia in data XX, solo per mero errore materiale non è stata specificata la riconducibilità dell'applicazione ad AnconAmbiente S.p.a., ma successivamente in data XX si è provveduto a rettificare la notizia sul proprio sito web, a riprova dell’estraneità dei fatti di cui né l’Urp né l’organo amministrativo erano al corrente […]” (cfr. note del Comune dell’XX, p. X e del XX, pp. XX). Per quanto concerne le iniziative adottate a seguito della conoscenza di tale affidamento, il Comune ha dichiarato, in particolare, che l’Applicazione “realizzata e gestita da AnconAmbiente S.p.a., non rientra nell'oggetto del contratto di gestione dei servizi cimiteriali, pertanto il Comune non era tenuto ad intervenire, non rivestendo per tale fattispecie il ruolo di Titolare del trattamento dei dati personali […]” (cfr. nota del XX, p. XX).

In merito all’accesso alla Dashboard, Anconambiente ha rappresentato, in particolare, di non aver “alcun accesso alla piattaforma software a far data dalla scadenza del rapporto contrattuale con Stup, ovverosia il XX” e di aver comunicato “in data XX, […] a Stup la nuova gestione in capo a M&P, oggi Ancona Servizi, dei citati servizi cimiteriali e lampade votive […]” (cfr. nota del XX, p. XX e XX). Nella predetta comunicazione Anconambiente chiedeva informazioni di natura tecnica, in quanto il referente dei Sistemi Informativi rappresentava, in particolare, alla STUP che “Per lo scambio dei dati, il processo accede al server XX con l’utente “XX”. […Occorre] sapere se […si può] comunicare utente e password al nuovo gestore oppure se […si preferisce] generare delle nuove credenziali. Con l’occasione […si comunica] che Anconambiente ha ceduto la gestione dei servizi cimiteriali e lampade votive per i cimiteri di Ancona [ma non il contratto con la STUP] alla società “Mobilità e Parcheggi”” (cfr. “Allegato 2 - XX”, alla nota del XX).

Con riguardo alle modalità di “digitalizzazione” e al “nuovo censimento delle tombe geolocalizzandone la posizione esatta”, nonché alle tipologie di dati dell’anagrafe forniti alla STUP, ai fini dello svolgimento dei servizi assegnati a quest’ultima, Anconambiente ha rappresentato, in particolare, che “Nel corso del XX è stato attivato il servizio (in cloud) “Aldilàpp” […] per i servizi cimiteriali. […] tramite di apposita procedura (sui server della Società), […per cui] ogni giorno si estraevano i dati aggiornati dei defunti dalla banca dati gestita dalla Società medesima e si inviavano, tramite servizio FTP, ai server di Aldilàpp (in cloud). Tali dati consistevano in: codice identificativo […] cognome […e] nome del defunto; data di nascita […e di] decesso; codice e descrizione del cimitero […], della zona del cimitero […e] della sezione del cimitero; codici ubicazione e fila (cfr. nota Anconambiente del XX, p. XX, altresì nota del XX, p. XX). La medesima società ha, inoltre, dichiarato di non aver “mai fornito alla Stup1 alcun dato riferito a soggetti diversi dai defunti” (cfr. nota del XX, p. XX; altresì nota del XX, p. XX).

Rispetto alle modalità di gestione delle istanze per l’esercizio dei diritti riguardanti le persone decedute (art.15-22 del Regolamento e art. 2-terdecies del Codice, Anconambiente ha rappresentato, in particolare, di aver “stipulato due distinti accordi ex art. 28 GDPR con ISSAM […] e Stup […], entrambe responsabili del trattamento […in cui] tra i trattamenti svolti per conto del titolare, è presente la gestione delle richieste di esercizio dei diritti degli interessati. Queste debbono essere intese in riferimento ai soggetti defunti, in quanto […] la Società riveste il ruolo di titolare del trattamento solo ed esclusivamente con riferimento a questi ultimi. Infatti, nei predetti accordi ex art. 28 GDPR gli unici dati personali oggetto del trattamento per conto della Società risultavano essere riferiti ai defunti medesimi. […] AnconAmbiente ad oggi, non ha mai ricevuto alcuna istanza di esercizio dei diritti ai sensi dell’articolo 2-terdecies Codice Privacy. La Società, inoltre, non è a conoscenza di alcuna simile istanza esercitata tramite ISSAM […] o di Stup […] con riferimento ai dati dei soggetti defunti […]” (cfr. nota Anconambiente del XX, p. XX, altresì nota del XX, p. XX).

Per quanto concerne, infine, il ruolo svolto nell’accertamento dei requisiti di legittimazione dichiarati dall’utente in fase di “rivendicazione” del profilo digitale di un defunto, il Comune di Ancona ha evidenziato che lo stesso “non riveste alcun ruolo nell’ambito della comunicazione delle dichiarazioni di parentela finalizzate all'uso della predetta applicazione […nè] ha mai ricevuto alcuna comunicazione né dichiarazione di parentela a riguardo, a conferma dell'assoluta estraneità ai fatti” (cfr. note del Comune del XX, p. XX e del XX, p. XX) mentre Anconambiente ha dichiarato, in particolare, di “non […aver] mai concretamente avuto, né è stato mai previsto ciò a livello contrattuale, alcun ruolo in relazione alle funzionalità sopra descritte […di non essere] mai nemmeno stata coinvolta in tali trattamenti” [con riferimento alla rivendicazione del profilo digitale]. […]” e di “non aver mai avuto a disposizione alcun dato relativo al processo di verifica […] poiché Stup1 non ha mai notificato alla Società detti dati, né messo a disposizione software da essa consultabili onde reperire dati anche con finalità di verifica e/o controllo, relativamente al periodo in cui ad Anconambiente è stata affidata la gestione del servizio cimiteriale” (cfr. note Anconambiente del XX, p. XX e del XX, p. XX). Anconambiente ha precisato, altresì, di essere “del tutto estranea sia alla verifica del grado di parentela sia alla fase di rivendicazione del profilo e, quindi, estranea a tale tipologia di trattamento di dati personali […e che] la procedura di verifica di conformità del grado di parentela svolta da Stup1 ha avuto inizio solo dopo la cessazione dei rapporti contrattuali tra AnconAmbiente e la stessa Stup1 (i.e. XX) […]” (cfr. nota del XX, pp. XX).

3. La contestazione effettuata dall’Autorità

Con riferimento alla condotta della società Anconambiente, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ha notificato, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver effettuato il trattamento:

- in qualità di responsabile del trattamento, omettendo di stipulare un accordo sulla protezione dei dati con il Comune di Ancona che preveda e disciplini in modo completo e adeguato tutti i trattamenti effettuati da Anconambiente per conto del titolare del trattamento, in violazione dell’art. 28, par. 3, del Regolamento;

- omettendo di stipulare altresì un accordo sulla protezione dei dati che preveda e disciplini in modo completo e adeguato tutti i trattamenti effettuati da parte degli altri responsabili del trattamento – STUP e ISSAM - per conto del Comune titolare del trattamento, e per aver omesso di vigilare adeguatamente sui trattamenti effettuati dai predetti sub responsabili, in violazione dell’art. 28, par. 4, del Regolamento.

Anconambiente, con l’atto sopra citato, è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), Anconambiente, che non ha chiesto di essere audita, ha presentato una memoria difensiva, cui si rinvia integralmente, ribadendo, in particolare, talune dichiarazioni già prospettate in sede di riscontro alle richieste di informazioni avanzate dall’Autorità nell’ambito dell’istruttoria.

4. Esito dell’attività istruttoria

4.1. La normativa applicabile in materia di protezione dei dati personali.

In via preliminare, si rappresenta che il presente provvedimento ha ad oggetto esclusivamente le criticità riscontrate in relazione ai trattamenti effettuati in Applicazione e nella Piattaforma Software, da parte dei soggetti coinvolti nella presente istruttoria, per come attualmente configurati, restando in ogni caso impregiudicata ogni eventuale successiva valutazione in relazione ad una diversa riconfigurazione degli stessi.

Ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

Per quanto concerne il concetto di interessato, il Regolamento prevede che lo stesso “non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” (cons. 27 del Regolamento).

In ambito nazionale, l’art. 2-terdecies (Diritti riguardanti le persone decedute) del Codice, prevede, tra l’altro, che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

Per quanto concerne le condizioni di liceità, il trattamento posto in essere da parte dei soggetti pubblici o gestori dei pubblici servizi è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, (art. 6, par. 1, lett. c) ed e), 2 e 3 del Regolamento, nonché art. 2-ter del Codice).

Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, di cui all’art. 5 del Regolamento, fra cui quello di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).

Con riferimento al caso di specie, la gestione dei servizi cimiteriali – in cui sono incluse, altresì, le attività di gestione e custodia dei cimiteri e dei locali annessi - rientra tra le attività istituzionali affidate agli enti locali, che non possono, pertanto, “spogliarsi” di tale finalità e compito, ma possono scegliere di affidarne la gestione a soggetti terzi disciplinando il rapporto, per gli aspetti relativi al trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento.

Ciò in quanto il titolare del trattamento, per lo svolgimento delle attività di competenza, può avvalersi di soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali e che operino sotto la sua responsabilità (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (cons. n. 81 e art. 28, parr. 1 e 3, del Regolamento).

Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” e deve adottare “tutte le misure richieste ai sensi dell’art. 32” dal titolare (art. 28, par. 3, lett. a) e c) del Regolamento); inoltre, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento).

In aggiunta, nelle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del Regolamento, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, si rappresenta che “il titolare stabilisce le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento. Il titolare del trattamento è chiamato a decidere tanto sulle finalità quanto sui mezzi. Tuttavia, taluni aspetti più prettamente pratici legati all’implementazione del trattamento («mezzi non essenziali») possono essere delegati al responsabile del trattamento. Per essere qualificato come titolare del trattamento non è necessario che tale soggetto abbia accesso effettivo ai dati trattati” (cfr. par. 99, nonché p. 3 delle citate Linee Guida).

Infine, qualora un responsabile del trattamento decida di ricorrere a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento “sono imposti, mediante un contratto o un altro atto giuridico […], gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento” ricordandosi inoltre che, “Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile” (art. 28, par. 4, del Regolamento).

4.2. Le violazioni accertate

Dal quadro conoscitivo risultante dalla complessa e articolata attività istruttoria effettuata, comprensiva di tutti gli elementi acquisiti dai diversi soggetti coinvolti nell’istruttoria – anche in sede ispettiva presso la STUP nonché in occasione delle audizioni dei Comuni coinvolti - è stato accertato che il trattamento di dati personali concerne varie categorie di interessati, tra cui, in particolare, gli utenti che si registrano in Applicazione, al fine di poter usufruire dei vari servizi offerti. Tali servizi costituiscono un pacchetto ab origine unitario e inscindibile che viene complessivamente attivato dai clienti istituzionali – direttamente i Comuni o tramite i propri gestori dei servizi cimiteriali - con la sottoscrizione del contratto di concessione di licenza d’uso dell’Applicazione e della Piattaforma Software con la STUP.

L’erogazione di tali servizi implica il trattamento di dati non solo dei defunti ma, altresì, di ulteriori interessati che, in base al livello di interazione e del servizio richiesto in Applicazione, possono essere di minore o maggiore portata.

Infatti, qualora un interessato acceda in Applicazione per usufruire unicamente del servizio – di natura propriamente istituzionale - di ricerca online della posizione dei defunti nei cimiteri del Comune di riferimento, tale servizio è comunque subordinato alla creazione di apposito account, che comporta il conferimento di una serie di dati personali (inclusi dati di contatto quali numero di cellulare ed indirizzo email), e a una procedura di autenticazione.

Pertanto, anche solo ai fini di poter usufruire del citato servizio pubblico, il cittadino viene obbligato a registrarsi e creare un account a suo nome nell’Applicazione – utilizzata come unico canale digitale di informazione sull’ubicazione dei defunti – e a fornire i propri dati personali.

In sede di istruttoria è stato accertato che il servizio di ricerca delle sepolture risulta indissolubilmente legato agli ulteriori servizi offerti in Applicazione, quali quelli di natura commerciale e social, aventi natura ultronea rispetto ai compiti istituzionalmente attribuiti ai Comuni. Ciò si evince, in primo luogo, dal fatto che, una volta individuato il defunto oggetto di ricerca, per poter accedere alle indicazioni in merito all’ubicazione della sepoltura è necessario consultare il relativo “profilo digitale del defunto” in cui risultano visibili, in modo inscindibile, non solo i dati anagrafici del defunto stesso e l’attuale ubicazione della sepoltura, bensì anche le attività di interazione effettuate dagli utenti sul predetto “profilo”.

In altre parole, la ricerca effettuata dall’utente non restituisce la sola informazione relativa all’ubicazione del defunto bensì un vero e proprio “profilo”, arricchito di numerose funzionalità. I “profili digitali” vengono, infatti, creati di default in Applicazione a seguito dell’acquisizione dell’elenco cimiteriale del Comune (risultato del censimento o dell’acquisizione dei registri comunali già digitalizzati) e resi di default immediatamente visualizzabili e abilitati a ricevere interazioni da parte degli utenti (i.e. rivendicazione del profilo, pubblicazione di messaggi di cordoglio, accensione di ceri virtuali, ecc.), con conseguente arricchimento del profilo digitale di ulteriori dati personali, relativi agli utenti e ad attività aventi natura prevalentemente “social” o di tipo commerciale da questi ultimi effettuate.  

Al riguardo, il Comitato Europeo per la Protezione dei dati (di seguito “CEPD”) intende per "social media", le “piattaforme online che consentono lo sviluppo di reti e di comunità di utenti, tra i quali vengono condivisi contenuti e informazioni […] Tra le caratteristiche principali dei social media figurano la possibilità per le persone fisiche di registrarsi al fine di creare "account" […] o "profili" per sé stesse, di interagire tra loro condividendo contenuti generati dagli utenti o altri contenuti nonché di sviluppare collegamenti e reti con altri utenti“ e che “Oltre alle piattaforme di social media "tradizionali", tra gli ulteriori esempi di social media si annoverano: […] piattaforme nel contesto delle quali gli utenti registrati possono caricare i propri video, commentare i video pubblicati da altri e creare collegamenti con tali video; oppure giochi per computer nel contesto dei quali gli utenti registrati possono […], scambiarsi informazioni o condividere le loro esperienze […]” (cfr. Linee guida 8/2020 sul targeting degli utenti di social media Versione 2.0 adottate dal CEPD il 13 aprile 2021, parr. 1 e 2).

In merito, la STUP ha evidenziato che l’Applicazione fornisce “un'esperienza utente unificata sulla piattaforma […] e la creazione di una community commemorativa virtuale” (cfr. memoria difensiva della STUP del XX, prot. dell’Autorità n. XX del XX).

Su tale ultimo aspetto, il sistema non consente agli utenti – né ai clienti istituzionali -di poter selezionare il grado di visibilità di quanto pubblicato in Applicazione. Né la creazione del profilo digitale – con tutte le abilitazioni e funzionalità annesse - deriva da una volontà espressa dall’interessato medesimo (ormai defunto) o da parte di un eventuale soggetto legittimato.

Con riguardo ai dati personali delle persone decedute, il Regolamento prevede la “clausola di salvaguardia” (considerando n. 27), riconoscendo la facoltà agli Stati membri di “prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Il riconoscimento, effettuato dal Codice, della possibilità per i soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, di esercitare i diritti in luogo delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento – fra cui, non solo il diritto di accesso, di rettifica, cancellazione dei dati, limitazione o  opposizione al trattamento, ma anche il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai “principi applicabili al trattamento di dati personali” nel rispetto delle condizioni di “liceità del trattamento”, in quanto compatibili (cfr. provv. ti n. 304 del 15 settembre 2022, doc. web n. 9810028, n. 90 del 23 marzo 2023, doc. web n. 9888188, n. 466 del 5 ottobre 2023, doc. web n. 9953563 nonché, da ultimo, provv. n. 82 del 19 febbraio 2024, doc. web n. 9996647 e i provvedimenti ivi citati).

Inoltre, per quanto concerne i servizi della società dell’informazione, i commi 2 e 3 dell’art. 2-terdecies, comma 2 del Codice presuppongono, una “conoscenza” e una forma di “controllo” preventivi da parte dell’interessato rispetto alla propria “identità digitale”, potendo lo stesso vietare l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento da parte dei soggetti di cui al primo comma del medesimo articolo mediante “dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”, frutto di una volontà “specifica, libera e informata”.

Ciò non può verificarsi nel caso di specie, posto che le informazioni relative al defunto, trattate inizialmente dai Comuni per specifiche finalità di natura istituzionale (polizia mortuaria, gestione cimiteriale ecc.), vengono successivamente utilizzate mediante la trasposizione di default in Applicazione e visualizzate dagli utenti unicamente nella forma di “profilo del defunto”, comprensivo delle funzionalità e delle informazioni ulteriori (commenti), accessibili a chiunque, senza tener conto anche dell’interesse al riserbo personale e familiare dell’interessato deceduto o delle relative famiglie.

Né il predetto trattamento può giustificarsi sulla base della circostanza che i dati personali e l’immagine del defunto sarebbero comunque esposti fisicamente in un luogo aperto al pubblico. Sul punto, il Comune di Ancona ha evidenziato che l’Applicazione “tratta dati reperibili sulle lapidi di ciascun defunto tumulato o inumato presso i cimiteri cittadini, quindi accessibili a chiunque si rechi presso un cimitero […e che] Il dato non eccede la finalità di individuare la posizione della tomba di un defunto”, cfr. nota dell’XX, pp. XX). Al riguardo, si evidenzia che i dati esposti sulle sepolture, a differenza della pubblicazione del “profilo digitale” in Applicazione, risultano connessi a circoscritte finalità legate al ricordo, alla memoria e alla pietà per il defunto, e conoscibili unicamente alle persone, anche non familiari, in visita presso il cimitero (in merito a tale principio, si veda il provv. del 19 dicembre 2002, doc. web n. 1067167, relativo alla diffusione su una testata giornalistica dei dati personali di minori vittime di una calamità naturale, acquisiti presso le sepolture nel cimitero locale).

Inoltre, la presenza della funzione “Esporta” in ciascun profilo digitale presente in Applicazione, espone a maggiori rischi in merito alla circolazione e strumentalizzazione di tali informazioni concernenti, come detto, dati personali non solo di defunti ma, altresì, degli utenti dell’Applicazione stessa.

In secondo luogo, si fa presente che la creazione di default di un profilo digitale del defunto, vincola i soggetti che intendano tutelare l’interessato deceduto o abbiano un interesse proprio, a dover fornire ulteriori dati personali posto che, come rappresentato dalla STUP, ai fini dell’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice mediante l’Applicazione, solo “la persona che […ha] rivendicato un profilo: […] può inviare istanze GDPR (si abilita un menù “istanze GDPR” dove si possono esercitare i diritti in vece del defunto) […] Queste attività non possono essere svolte se un profilo non viene amministrato“. Si evidenzia altresì che è proprio dalla creazione di default del “profilo digitale del defunto” - anziché dei soli dati strettamente necessari ai fini della ricerca dell’ubicazione - che deriva la necessità di chiederne l’”oscuramento”, al fine di evitarne l’esposizione digitale nelle forme sopra descritte.  

In aggiunta, la commistione inscindibile tra finalità istituzionali e finalità ulteriori si evince dal fatto che, nel caso di scioglimento del rapporto contrattuale con l’Ente di riferimento, la STUP intende comunque mantenere la visibilità in Applicazione del profilo rivendicato come “bacheca virtuale”, posto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società e al momento della rivendicazione manifesta uno specifico interesse soggettivo rispetto al profilo rivendicato. Tale scelta di business comporta la conservazione dei profili rivendicati e dei commenti anche a seguito dello scioglimento del rapporto contrattuale con il Comune di riferimento e il conseguente mantenimento della visibilità dei profili rivendicati nell’Applicazione e delle funzionalità correlate”.

4.2.1. Inidonea regolamentazione del rapporto ai sensi dell’art. 28 del Regolamento tra il Comune di Ancona e Anconambiente

Nell’ambito dei servizi erogati in Applicazione, vengono fornite agli utenti due informative distinte (le citate informativa A1 e A2), in cui sono indicate distinte titolarità del trattamento.

Nell’informativa A1, relativa al trattamento dei dati degli utenti dell’Applicazione, ISSAM è indicata come titolare del trattamento, mentre nell’informativa A2, nel premettere che l’Applicazione consente ai “Comuni o agli Enti di gestione cimiteriale la pubblicazione digitalizzata degli elenchi dell’anagrafe cimiteriale”, è precisato che il “titolare del trattamento è il Comune o l’Ente di riferimento” e che “ISSAM CONSULTANCY LTD agisce in qualità di Responsabile del trattamento dei dati”. È inoltre indicato che “i parenti di primo grado del defunto possono fare richiesta per diventare Amministratori del suo profilo […], una volta ultimata la procedura e validato il passaggio, ISSAM diventerà titolare del trattamento dei dati”.

Ai fini dell’effettivo inquadramento dei ruoli delle parti, è opportuno in primo luogo ricordare che le Linee Guida 07/2020 precisano che “sebbene fonti giuridiche esterne possano contribuire all’individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati. Il concetto di titolare del trattamento non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di titolare dei diritti in materia di proprietà intellettuale o di diritto della concorrenza” e che “Vi sono casi in cui la titolarità può essere ricavata dalla competenza espressamente conferita per legge, ad esempio quando il titolare del trattamento o i criteri specifici per la sua designazione sono determinati dal diritto nazionale o dell’Unione. […] In assenza di titolarità derivante da disposizioni giuridiche, la qualifica di titolare del trattamento deve essere stabilita sulla base di una valutazione delle circostanze concrete del trattamento […prendendo] in considerazione tutte le circostanze di fatto pertinenti al fine di stabilire se uno specifico soggetto eserciti un’influenza determinante sul trattamento dei dati personali in questione […] Anche se il responsabile del trattamento offre un servizio definito in via preliminare in modo specifico, al titolare del trattamento deve essere messa a disposizione una descrizione dettagliata di tale servizio e spetta al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche. Inoltre, il responsabile del trattamento non può modificare successivamente gli elementi essenziali dello stesso senza l’approvazione del titolare del trattamento” (cfr. Linee guida 7/2020, parr. 13, 22, 24, 25 e 30).

A tal proposito, i Comuni sono titolari del trattamento per quanto concerne, in primis, i trattamenti connessi allo svolgimento delle proprie funzioni istituzionali, tra cui quelle gestite tramite l’Applicazione (es. servizi di comunicazione e informazione all’utenza, gestione delle concessioni cimiteriali e dell’illuminazione votiva, etc.). In tale contesto, la titolarità si desume dalle competenze espressamente conferite ai Comuni dal quadro normativo di settore, per quanto concerne i servizi cimiteriali, intendendosi, con tale termine, le seguenti attività:

• gestioni delle concessioni;

• operazioni cimiteriali;

• servizi necroscopici (anagrafe mortuaria, polizia mortuaria, trasporto e fornitura feretri per non abbienti, funerali dignitosi per indigenti);

• altri servizi a supporto delle attività cimiteriali (servizio di custodia e vigilanza, servizio di comunicazione e informazione all’utenza, attività di controllo per l’edilizia privata);

• manutenzione ordinaria, manutenzione del verde pubblico cimiteriale, pulizia cimiteriale;

• servizio di censimento di tutti i loculi esistenti.

Il gestore dei servizi cimiteriali, invece – Anconambiente e, successivamente, M&P Mobilità e Parcheggi – essendo affidatario dei servizi di competenza comunale, risulta inquadrabile come responsabile del trattamento. Ciò in quanto è il Comune stesso ad aver incaricato il gestore di erogare, per proprio conto, il complesso dei servizi cimiteriali locali, con ciò definendo le finalità e i mezzi essenziali del trattamento, selezionandolo sul mercato e fornendogli le istruzioni sul trattamento (contratti di servizio e atti di designazione a responsabile del trattamento, tra cui il contratto di servizio per la gestione dei servizi cimiteriali, rep. N. XX, registrato il XX, di seguito il “Contratto di servizio”), nei termini indicati più avanti, anche in merito al livello di qualità atteso nell’erogazione dei predetti servizi e nella gestione operativa dei cimiteri comunali.

Non può pertanto accogliersi l’eccezione sollevata dal Comune di Ancona riguardo alla propria, totale assenza di titolarità per i trattamenti inerenti ai servizi forniti tramite l’Applicazione, sulla base del fatto che quest’ultima “è stata interamente commissionata da AnconAmbiente S.p.a. e da essa direttamente gestita” e che “Tale servizio, […] non rientra nell'oggetto del contratto di gestione dei servizi cimiteriali, in carico ad AnconAmbiente S.p.a. fino al XX con contratto rep. n. XX […]” (cfr. in particolare, nota dell’XX, p. XX, ribadito sostanzialmente nella memoria difensiva del Comune di Ancona, del XX, pp. XX).

Al riguardo, si fa presente che Anconambiente stessa, nella nota del XX, prot. n.XX, ha riconosciuto che “La finalità del trattamento effettuato tramite l’App consiste, in primis, nell’adempimento dei doveri della Società in quanto concessionaria di pubblici servizi per il tramite del Contratto di servizio, ovverosia nella gestione dei servizi cimiteriali, inclusi quelli di custodia e portineria così come richiamati all’art. 2 del Contratto di servizio finalizzati ad agevolare l’accesso e la visita del pubblico cimiteriale ai luoghi di sepoltura”. In aggiunta, Anconambiente, pur dichiarando che “Al di fuori del perimetro dei DPA Comune-AnconAmbiente, la Società, in qualità di titolare del trattamento, nell’alveo della predetta concessione e nell’espletamento dei servizi concessi e commissionati, ha determinato i mezzi e le finalità del trattamento consistenti nel censimento e nella digitalizzazione della popolazione cimiteriale tramite l’App e i relativi “servizi” connessi (ad es., accensione di un cero virtuale, richiesta pulizia tomba) […]” ha rappresentato che “tale scelta […è] stata in larghissima misura determinata anche dalle difficoltà riscontrate dalla Società nel reperire personale che potesse essere adibito all’accoglienza ed accompagnamento dei visitatori dei luoghi di sepoltura, […]”. È lo stesso gestore ad aver inoltre precisato che, al fine di “garantire innanzitutto un servizio adeguato per l’utenza e parimenti rispettare i propri obblighi contrattuali nei confronti della concedente, si è ritenuto utile se non indispensabile fare ricorso a strumenti tecnologici”. Anche alla luce delle precisazioni del gestore, non può che ritenersi confermato l’inquadramento del Comune quale titolare del trattamento.

Infatti, dalle predette precisazioni si evince che il citato gestore, più che determinare mezzi e finalità del trattamento, abbia stabilito le modalità con cui eseguire i trattamenti relativi ad alcuni dei servizi cimiteriali (incluso il servizio di custodia e portineria volto ad agevolare accesso e visita dell’utenza ai luoghi di sepoltura) ad esso attribuiti proprio nell’ambito del contratto di servizio rep. n. XX, al fine di garantire il rispetto degli standard qualitativi ivi previsti. Sul punto, si ricorda che anche le Linee Guida 7/2020 del CEPD prevedono che la titolarità non è esclusa anche nel caso in cui vi siano ”[…] decisioni […] che possono essere lasciate a discrezione del responsabile del trattamento […quali] i mezzi non essenziali [che] possono essere determinati anche dal responsabile del trattamento, […e che] riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento” (cfr. punti 39-40).

Né si condivide l’affermazione che il gestore abbia disatteso le istruzioni fornite dal Comune per quanto concerne il trattamento dei dati personali, divenendo esso stesso titolare ai sensi dell’art. 28, par. 10 del Regolamento (cfr., da ultimo, memoria difensiva del XX, p. XX) per aver determinato mezzi e finalità del trattamento posto che la confusione in merito al ruolo svolto dal gestore è derivata, altresì, da una mancanza di chiarezza proprio nell’atto stipulato ai sensi dell’art. 28 del Regolamento. In merito a tale aspetto, il Comune ha rappresentato che “Il successivo atto di designazione della società AnconAmbiente S.p.a. quale responsabile del trattamento dei dati personali […] solo per brevità, riporta come titolo la dicitura del “servizio di lampade votive”, ma in realtà tale accordo autorizza il responsabile al trattamento dell'intero elenco dei servizi svolti dal gestore. Infatti, nelle premesse dell'atto di nomina […] si legge “considerato che ...omissis… in forza del predetto contratto è necessario designare l’affidatario quale responsabile del trattamento dei dati personali raccolti in relazione all’espletamento delle attività inerenti l’oggetto del contratto”. Si fa pertanto riferimento all'intero oggetto del contratto, ivi comprendendo i servizi cimiteriali propriamente detti Peraltro, nelle righe successive, vi è un ulteriore rinvio all'intero contenuto del contratto Rep. n. XX […] Deve dunque leggersi il richiamo all'oggetto tutto così come riportato nel regolamento contrattuale, includendo la nomina a Responsabile del trattamento a tutte le attività svolte da AnconAmbiente in forza del detto contratto di servizio. […] che disciplina una pluralità di prestazioni collegate e unitarie, […] quali […] i “servizi cimiteriali di: inumazione, esumazione, tumulazione, estumulazione, manutenzione del verde, pulizia, custodia e portineria compresa la gestione della Sala del commiato costruita presso il Cimitero di Tavernelle, pulizia dei bagni pubblici presenti nei cimiteri di Tavernelle, Pinocchio e Posatora, lampade votive [...]” (cfr. nota del XX, p. XX, e memoria difensiva del XX, pp. XX).
Tuttavia, con nota del XX, Anconambiente ha precisato che, il Contratto di servizio ricomprendeva “un’ampia gamma di servizi per cui la Società risulta concessionaria di pubblico servizio” ma che “L’articolo 11 del [...contratto] prevede in primis il ruolo di titolare del trattamento in capo al Comune di Ancona e quello di responsabile del trattamento in capo alla Società con esclusivo riferimento alle designazioni che verranno in seguito effettuate. Tali designazioni (i.e., tali accordi ex art. 28 GDPR) hanno riguardato solo ed esclusivamente i servizi relativi alla “igiene ambientale” e alle “lampade votive” […]”, mentre “[…] sempre nell’ambito delle attività di pubblico servizio affidate alla Società, per altre funzioni la stessa Società – e per le quali è priva di tale designazioni ex art. 28 GDPR da parte del Comune – risulta invece essere titolare autonoma, […] Tra queste funzioni, risultano quelle connesse all’utilizzo dell’applicazione “Aldilàpp” […] i cui trattamenti di dati personali fuoriescono dal perimetro di cui ai DPA Comune-AnconAmbiente”.

Da tali argomentazioni non emerge una titolarità autonoma del trattamento in capo al gestore, intesa come scelta e valutazione autonoma delle finalità e dei mezzi del trattamento, bensì soltanto la necessità di dover organizzare le modalità di svolgimento delle ulteriori attività ad esso attribuite contrattualmente, seppur prive di specifiche istruzioni rispetto ai trattamenti di dati personali sottesi. Anche in assenza di istruzioni in ordine ai predetti trattamenti - che ha determinato, tra l’altro, l’incertezza in merito al perimetro degli obblighi di comunicazione al titolare del trattamento in caso di designazione di eventuali sub-responsabili del trattamento (quali la STUP) – il gestore si è comunque mantenuto nell’alveo delle competenze attribuite con il Contratto di servizio e nell’esercizio delle pubbliche funzioni dallo stesso scaturenti. Ciò risulta rafforzato proprio dalle ulteriori dichiarazioni fornite da Anconambiente nella medesima nota del XX, in cui è stato, altresì, puntualizzato che “[…] con riferimento ai dati personali dei soggetti defunti trattati per il tramite dell’App, la Società ha agito in questo secondo ruolo, quale titolare del trattamento nell’esecuzione dei compiti affidatile dal dante causa Comune di Ancona, ricoprendo il ruolo di concessionaria di pubblici servizi” e che “Quanto alla base giuridica, essa è rinvenibile nell’articolo 6(1) lett. e) GDPR in quanto trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, proprio tramite il […] citato Contratto di servizio […]”.

Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’”articolo 28, paragrafo 3, del [Regolamento]” e, considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo competente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (par. 103 delle citate Linee guida 07/2020). Deve evidenziarsi inoltre che nel paragrafo 3 dell’articolo 28 del Regolamento sono indicati gli elementi obbligatori da inserire nel “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”, tra cui “l’oggetto del trattamento”, “la natura del trattamento […] e la finalità” (cfr. punto 114 citate Linee guida 7/2020). Pertanto, nel caso di assenza totale del predetto contratto, o di mancanza di uno o più degli elementi essenziali di cui al citato paragrafo 3, tale da determinare una definizione non chiara del rapporto titolare-responsabile tra le parti – come avvenuto nel caso di specie – si avrebbe una violazione del citato art. 28, par. 3 del Regolamento.

Alla luce delle considerazioni che precedono, e degli elementi in atti, si ritiene che Anconambiente abbia agito in violazione dell’art. 28, par. 3, del Regolamento in quanto, sebbene sia stato sottoscritto un atto giuridico ai sensi dell’art. 28 del Regolamento con il Comune di Ancona, tale regolamentazione si è rivelata incompleta rispetto all’oggetto e alla natura del trattamento (la totalità dei servizi cimiteriali oggetto del Contratto di servizio), nonché agli obblighi e diritti del titolare e del responsabile del trattamento. Pertanto, nel caso di specie, seppur sussista “un rapporto titolare-responsabile del trattamento […] anche in assenza di un [valido] accordo di trattamento per iscritto” - in quanto Anconambiente ha effettuato in concreto il trattamento non per proprie finalità ma per conto del Comune - committente e titolare del trattamento - nell’esecuzione del Contratto di servizi (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento) - “ciò implic[a] […] una violazione dell’articolo 28, paragrafo 3, del [Regolamento]” (Linee guida 7/2020 cit., par. 103, nota n. 42).

La mancata stipula di un contratto o atto giuridico tra il Comune e Anconambiente adeguatamente dettagliato ha comportato l’assenza di definizione di istruzioni, in violazione dell’art. 28, par. 3, del Regolamento, atte a garantire una maggiore conformità del trattamento dei dati personali, da cui è derivata, in primis, la trasmissione alla STUP dei dati contenuti nei registri cimiteriali, nella disponibilità di Anconambiente in quanto gestore del pubblico servizio cimiteriale e, pertanto, proprio in esecuzione del Contratto di servizio in essere con il Comune.

4.2.2. Inidonea regolamentazione del rapporto ai sensi dell’art. 28 del Regolamento tra Anconambiente, la STUP e la ISSAM

Per quanto concerne gli ulteriori trattamenti effettuati tramite l’Applicazione - diversi da quelli connessi alle funzioni istituzionali, quali quelli di tipo “social” e commerciale - risulta invece necessario esaminare gli specifici elementi acquisiti in sede di istruttoria al fine di un corretto inquadramento dei ruoli soggettivi di titolare e responsabile del trattamento. Tale analisi si rende necessaria in quanto negli accordi sottoscritti con la STUP e con la ISSAM ai sensi dell’art. 28 del Regolamento, e nell’informativa resa agli utenti in fase di registrazione e di utilizzo dell’Applicazione (Informativa A2), è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti.

In primo luogo, occorre considerare la legittima aspettativa degli utenti in merito alla riconducibilità ai Comuni dei servizi offerti dall’Applicazione, essendo la stessa utilizzata da questi ultimi – anche per il tramite dei gestori dei servizi cimiteriali, come avvenuto per il Comune di Ancona - per fornire, anche in via esclusiva, all’utenza le informazioni sull’ubicazione dei defunti nei cimiteri comunali.

L’informativa A2 fornita agli utenti indica espressamente che “I comuni che decidono di servirsi di Aldilapp potranno […] offrire un servizio utile ai cittadini e, nel contempo, digitalizzare il proprio cimitero comunale e avere a disposizione un database dell’anagrafe cimiteriale aggiornato esponendo, inoltre, una segnaletica ordinata all’interno del cimitero. Grazie a questa innovativa applicazione i comuni che aderiscono al servizio Aldilapp, potranno fornire una rete di servizi che impiega le imprese locali offrendo loro la possibilità di allargare la loro attività anche a utenti che non possono raggiungere fisicamente il cimitero, ma hanno l’esigenza di stare vicino a propri cari defunti portando fiori freschi o pulendo la tomba che li accoglie”.

La pubblicizzazione sui siti istituzionali dei Comuni del ricorso all’Applicazione ai fini dell’accesso ai servizi informativi cimiteriali, rafforza ulteriormente nell’utente la legittima aspettativa che il servizio sia fornito dal Comune e che, conseguentemente, lo stesso sia il titolare dei relativi trattamenti (cfr. per il Comune di Ancona, https://www.comuneancona.it/unapp-digitalizza-i-cimiteri-di-ancona/;  https://www.anconambiente.it/2023/09/19/anconambiente-digitalizza-i-cimiteri-di-ancona-per-migliorarne-il-decoro-con-unapp/, nonché la presentazione ai cittadini e alla stampa mediante la conferenza stampa di Anconambiente del 18 settembre 2023).

Ciò a maggior ragione nei casi in cui tale servizio viene fornito - in via telematica - esclusivamente tramite l’Applicazione, come nel caso del Comune di Ancona. Sul punto, le Linee guida 7/2020 citate, precisano che “Poiché l’obiettivo di fondo nell’attribuzione del ruolo di titolare del trattamento è garantire il rispetto del principio di responsabilizzazione e una protezione efficace e completa dei dati personali, il concetto di «titolare del trattamento» dovrebbe essere interpretato in modo sufficientemente estensivo, favorendo il più possibile una tutela efficace e completa degli interessati, […] evitare lacune e prevenire elusioni potenziali delle norme, senza sminuire, al contempo, il ruolo del responsabile del trattamento” (punto 14).

In secondo luogo, occorre considerare l’inscindibilità dei servizi e delle funzionalità offerte in Applicazione e nella Piattaforma Software.

Infatti, l’utente anche solo per consultare l’ubicazione dei defunti, deve, comunque, scaricare l’Applicazione e registrarsi creando un account. Inoltre, il servizio di ricerca non restituisce all’utente la semplice informazione relativa alla posizione della sepoltura all’interno del cimitero, ma fornisce, come risultato di ricerca, il “profilo del defunto”, come dettagliatamente descritto nel precedente par. 2.2 nel contenuto e nelle funzioni (rivendicazione, commenti, richiesta di servizi commerciali etc.). Pertanto, in ragione della loro inscindibilità, anche tali trattamenti non possono che essere ricondotti alla titolarità del Comune.

Al riguardo, non possono condividersi le argomentazioni avanzate dalla STUP in corso d’istruttoria merito al fatto che “L'interpretazione che vede il Comune come unico Titolare e la piattaforma come mero Responsabile risulta […] limitante e non rappresentativa della realtà fattuale e giuridica del trattamento […ritenendo invece che] la qualifica più corretta per quanto riguarda i dati degli utenti dell’app e dei profili rivendicati sia quella di titolari autonomi, ciascuno per le fasi di trattamento di propria competenza”. La STUP giustifica infatti tale posizione considerando che “L'Ente Comunale persegue finalità di interesse pubblico legate alla gestione dei servizi cimiteriali […mentre] ISSAM […] tratta i dati degli utenti registrati per finalità proprie e distinte, quali la fornitura di un'esperienza utente unificata sulla piattaforma […]” e che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune. Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner. Se un Comune dovesse cessare il proprio rapporto con Aldilapp, i dati dell'account dell'utente (nome, email, interazioni) persisterebbero legittimamente sulla piattaforma, poiché il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi […]” (cfr. memoria difensiva della STUP del XX).  

Come esposto in precedenza, attualmente è necessaria la registrazione in Applicazione per fruire di tutti i servizi, incluso quello di ricerca l’ubicazione di una sepoltura, primaria finalità per cui viene sottoscritto il contratto di concessione e licenza d’uso da parte dei Comuni e/o dei gestori. L’Applicazione, infatti, non consente alcuna facoltà di scelta all’utente in relazione all’apertura o meno di un account, obbligando lo stesso a registrarsi e a conferire i propri dati personali, anche per poter fruire unicamente del servizio comunale di ricerca dell’ubicazione dei defunti, offerto spesso in via esclusiva tramite l’Applicazione. L’obbligatorietà dell’apertura dell’account e l’inscindibilità di tutti i servizi offerti per il tramite dell’Applicazione, unitamente alle circostanze sopra rappresentate, riconducono l’intero trattamento alla titolarità dei Comuni.

Si ritiene opportuno evidenziare, peraltro, che il servizio di consultazione dell’ubicazione delle sepolture non richiederebbe l’identificazione dell’utente e, conseguentemente, la necessità di alcuna registrazione (diversamente, con riferimento alle app per la prenotazione dei servizi di sportello, si vedano i provv.ti n. 81 del 7 marzo 2019, doc. web n. 9121890, nn. 280, 281 e 282 del 17 dicembre 2020, doc. web nn. 9524175, 9525315, 9525337 e provv. n. 116 del 27 febbraio 2025, doc. web 10126141). Al riguardo, molti Comuni offrono servizi cimiteriali online di ricerca puntuale delle informazioni di cui trattasi senza richiedere i dati personali dell’utente, limitandosi a prevedere meccanismi volti al prevenire o bloccare le interrogazioni massive – automatiche o abusive, tipicamente attuate mediante il ricorso a bot o a funzioni di scraping; ciò, ad esempio, mediante strumenti, quali ad esempio l’utilizzo di codici Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart), per distinguere utenti umani legittimi da software per l’interrogazione automatizzata.  

In secondo luogo, la “commistione” forzata tra finalità di interesse pubblico e di natura privata discende direttamente dall’attuale configurazione dell’Applicazione, che vincola in modo inscindibile le varie funzionalità offerte sia all’utente che al soggetto istituzionale. Diversamente da quanto evidenziato dalla STUP, riguardo al fatto che “Il rapporto tra l'utente e la piattaforma Aldilapp non si esaurisce nel contesto di un singolo Comune […e che] Un utente può registrarsi e interagire con i dati di defunti sepolti in più Comuni partner” (cfr. memoria difensiva della STUP del XX), l’intera gamma dei servizi offerti in Applicazione è basata sui dati primariamente attinti dai registri cimiteriali comunali, e l’adesione del Comune al servizio è il presupposto per la visibilità dei cimiteri in Applicazione.

Attualmente, infatti, non è prevista una fruizione separata, da un lato, del servizio pubblico di consultazione – fondato sui database comunali e fruibile senza necessità di registrazione in Applicazione – e, dall’altro, dei servizi di tipo non istituzionale, di natura “social” o commerciale – che dovrebbero essere basati unicamente su dati personali forniti alla STUP direttamente dagli utenti, anche con riguardo ai dati  dei defunti al fine di richiedere l’apertura (qualora ne abbiano idonea legittimazione) di un profilo digitale commemorativo. Il profilo digitale del defunto, al quale sono attualmente associate una serie di funzionalità e servizi, non dovrebbe quindi essere aperto di default utilizzando i database comunali nell’ambito di una commistione inscindibile di servizi di natura propriamente istituzionale e non, ma essere rimesso ad una scelta volontaria dei soggetti legittimati e sempre nel rispetto dei principi in materia di protezione dei dati personali.  La registrazione e la creazione di un account dovrebbe pertanto essere rimessa a una scelta volontaria degli interessati, sia per l’apertura di un profilo digitale che per usufruire degli ulteriori servizi, di natura non istituzionale, anche in relazione ad altri profili virtuali, volontariamente aperti da altri utenti. Ciò anche al fine di non precludere la fruibilità del servizio pubblico di consultazione a coloro che siano interessati esclusivamente a tale servizio e/o che non intendano fornire informazioni e dati personali propri e relativi ai familiari. Solo a questa condizione sarebbe condivisibile l’osservazione della STUP rispetto al fatto che “all’atto della registrazione nell’Applicazione […l’utente] instaura un rapporto di tipo privatistico direttamente con la società” e che “il rapporto fiduciario è instaurato primariamente con Aldilapp, che funge da aggregatore di servizi”.

Peraltro, l’attuale previsione di default dei profili digitali dei defunti, pubblicamente consultabili ed esposti all’inserimento di commenti e ad altre interazioni, costringe gli utenti che intendano tutelare il proprio caro a fornire i propri dati personali, dovendo necessariamente registrarsi e rivendicare il profilo per poterne chiedere l’oscuramento o esercitare i diritti ai sensi dell’art. 2-terdecies del Codice.

Con riferimento, inoltre, alle caratteristiche dei servizi offerti e/o della loro inscindibilità - sia nell’Applicazione sia nella Piattaforma Software -, si evidenzia che la parziale consapevolezza lamentata da alcuni enti, non li esonera dalle proprie responsabilità in ordine al trattamento, posto che dalla documentazione contrattuale complessivamente sottoscritta (“Condizioni generali contrattuali - Concessione della licenza d’uso ALDILAPP®”, proposta economica, preventivo e listino prezzi, atti di affidamento etc.), l’oggetto della licenza concessa mediante il contratto è costituito sia dall’”app denominata “Aldilapp”, presente sugli store di terze parti Play Store e AppStore” sia dalla “relativa Piattaforma software”. Tale documentazione precisa, altresì, che “in nessun caso sarà consentito il recesso disgiunto dall’erogazione dei Servizi Accessori Complementari disgiuntamente dai Servizi Principali”.

In aggiunta, nell’atto giuridico stipulato ai sensi dell’art. 28 del Regolamento, il titolare – o, comunque, il soggetto istituzionale che sottoscrive gli atti di nomina con la STUP e con la ISSAM, potendo essere direttamente il Comune (effettivo titolare del trattamento) o il gestore dei servizi cimiteriali, che agisce per suo conto in qualità di responsabile del trattamento -  “dichiara di ben conoscere le caratteristiche e le misure di sicurezza [dell’Applicazione e della Piattaforma software] dettagliate nel contratto fra le parti e relativi allegati tecnici e di averle ritenute congrue alla normativa di riferimento”.

Al riguardo, si rende opportuno evidenziare la necessità per i soggetti istituzionali di porre sempre la dovuta attenzione nella sottoscrizione di contratti per l’acquisto di prodotti e servizi digitali, anche sotto il profilo delle caratteristiche, della natura e della tipologia dei servizi offerti, che devono rientrare nel perimetro delle competenze istituzionali dell’ente. Ciò non solo al fine di garantire che i trattamenti ad essi correlati siano sorretti da un’idonea base giuridica, ma anche al fine di rispettare la legittima aspettativa degli interessati circa la loro riconducibilità all’ente, anche in ragione delle modalità e ambiente di erogazione.

Le numerose utilità fornite in Applicazione, incluse quelle di natura social e commerciali, sono state, come detto, anche pubblicizzate all’atto dell’avvio dei progetti di digitalizzazione dei cimiteri (cfr. come accertato dall’Autorità in data XX, sul sito web istituzionale del Comune di Ancona è stato inizialmente pubblicizzato che “Il processo di digitalizzazione […] ha realizzato il nuovo censimento delle tombe geolocalizzandone la posizione esatta. Sono oltre 90.000 i defunti censiti e geolocalizzati, di questi oltre 65.000 solamente nel cimitero di Tavernelle, più di 2.500 sono, invece, le nuove insegne di segnaletica installate”. Inoltre, “L’App consente di fare da collettore per alcuni servizi fondamentali volti [a]l mantenimento del decoro dei cimiteri comunali”; tale “nuova applicazione […] permetterà molteplici interazioni digitali che trasformeranno il rapporto fra utenti e cimiteri comunali.  Nello specifico, attraverso questa nuova App si potranno gestire i servizi di pulizia delle lapidi, gli ornamenti come ceri, fiori e lampade votive. I fiorai di Ancona e tutte le società che gravitano all’interno del cimitero potranno legarsi all’App così da fornire servizi in maniera efficace e tempestiva”, URL https://www.comuneancona.it/unapp-digitalizza-i-cimiteri-di-ancona/).

Si ricorda, inoltre, che, nella determinazione dei ruoli di titolare e responsabile del trattamento “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. […] Può anche accadere che il contratto preveda un’indicazione esplicita sull’identità del titolare del trattamento. Se non sussiste motivo di dubitare che ciò rispecchi fedelmente la realtà, niente vieta di attenersi alle previsioni del contratto. Tuttavia, queste ultime non sono determinanti in modo assoluto, poiché altrimenti le parti potrebbero attribuire le responsabilità a proprio piacimento. Non è possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto” (cfr. punto 28, Linee guida 7/2020). Per quanto attiene, invece all’individuazione di ulteriori soggetti coinvolti (i.e. altri responsabili del trattamento designati da parte del primo responsabile del trattamento), le Linee guida citate prevedono che “L’analisi volta a stabilire se il prestatore di servizi agisca in qualità di sub-responsabile dovrebbe essere effettuata in linea con quanto sopra detto sul concetto di responsabile del trattamento (cfr. paragrafo 83)” (cfr. punto 151 delle Linee guida 7/2020 citate).

Alla luce degli elementi che precedono, evidenziati nel precedente paragrafo 4.2.1, non può condividersi l’inquadramento dei ruoli dei soggetti coinvolti nel trattamento, per come indicati negli accordi sottoscritti con la STUP e con la ISSAM ai sensi dell’art. 28 del Regolamento e per come prospettati nell’informativa agli utenti in fase di registrazione e di utilizzo dell’Applicazione, ove è dichiarata la titolarità del trattamento in capo ai Comuni unicamente con riguardo ai dati dei defunti (Informativa A2).

Infatti, come sopra evidenziato, oltre al servizio di mera ricerca dell’ubicazione del defunto, l’Applicazione consente lo svolgimento di ulteriori attività nell’interesse dei Comuni titolari del trattamento, non indicate negli accordi ai sensi dell’art. 28 del Regolamento e nell’informativa A2 sopra citata.

Come accertato in sede d’ispezione, anche le richieste di esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice, presentate dall’amministratore di un profilo, comportano un trattamento di dati personali da parte del Comune. Infatti, le istanze ricevute dalla STUP sono “inoltra[te] automaticamente […] al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale)”.

Analogamente, un trattamento dei dati personali dell’utente si rileva nella fase di “rivendicazione” del profilo digitale di un defunto poiché l’utente, ai fini di divenire amministratore del profilo, deve comunicare dati personali aggiuntivi (rispetto a quelli forniti in sede di registrazione dell’account), relativi alla propria residenza, al rapporto con il defunto, caricando un’autocertificazione e una copia del documento d’identità. In tale contesto “l’APP notifica al Titolare del trattamento (n.d.r. Comune e/o Gestore Cimiteriale) l’avvenuto riscatto trasmettendo copia dell’autocertificazione rilasciata da parte dell’utente”.

Il fatto che i predetti trattamenti avvengano per conto del Comune si evince anche dagli accordi sottoscritti dalla STUP, ai sensi dell’art. 28 del Regolamento, con i clienti istituzionali, in cui è espressamente indicato che “Il Responsabile del Trattamento è incaricato […della] Gestione in prima istanza di tutte le richieste di esercizio dei diritti degli interessati effettuate attraverso la app”. Tuttavia, tali accordi menzionano unicamente il trattamento dei dati dei defunti, senza considerare che l’esercizio dei diritti ai sensi dell’art. 2-terdecies del Codice può essere effettuato solo da un interessato necessariamente diverso dal defunto, e che anche i dati personali dei soggetti legittimati all’esercizio dei predetti diritti, devono essere trattati dalla STUP – così come dalla ISSAM - nell’interesse del Comune. Giova precisare, al riguardo, che nel caso in cui il contratto di concessione di licenza d’uso e i relativi accordi ai sensi dell’art. 28 del Regolamento siano stipulati direttamente con i Comuni, la STUP e ISSAM agiscono in qualità di responsabili del trattamento mentre, come nel caso di specie, qualora la sottoscrizione dei predetti accordi avvenga con i gestori dei servizi cimiteriali locali (da inquadrare, alla luce delle considerazioni che precedono, come responsabili del trattamento dei Comuni, effettivi titolari), le stesse agiscono in qualità di sub-responsabili del trattamento.  

In relazione ai trattamenti sopra menzionati, si ritiene che sia la STUP che la ISSAM trattino per conto del Comune di riferimento, dati personali ulteriori rispetto a quelli dei defunti e diversi rispetto a quelli oggetto di regolamentazione ai sensi dell’art. 28 del Regolamento.

In aggiunta, la STUP tratta anche i dati relativi ai titolari delle concessioni cimiteriali: nella Dashboard in uso al Comune - direttamente o tramite il proprio gestore cimiteriale - oltre al contratto di concessione, che riporta i dati del concessionario, possono essere annotati altresì ulteriori dati relativi ai dati di contatto degli eredi o ai familiari (che possono o meno coincidere con quelli del concessionario), quali nome e cognome, indirizzo, numero di telefono ed email (cfr. il documento “XX”, allegato alla nota della STUP del XX). Al riguardo, la STUP ha dichiarato che è stato “prodotto un nuovo modello di atto di nomina a Responsabile del trattamento, il cui oggetto è stato esteso per includere in modo analitico e dettagliato tutte le categorie di dati e tutti i trattamenti effettuati per conto degli Enti, inclusi esplicitamente i dati afferenti alle concessioni cimiteriali […ed è]  in corso di presentazione ai Comuni clienti il set di nuovi atti emendati, avviando la sostituzione di tutti gli accordi precedentemente in essere” (cfr. memoria difensiva della STUP del XX).

Da ultimo, nell’ambito dell’incertezza derivante da tale regolamentazione parziale e dal non corretto inquadramento dei ruoli di titolare e responsabile, l’istruttoria ha evidenziato altresì che la STUP ha implementato autonomamente aggiornamenti e sviluppi dell’Applicazione comportanti la raccolta di ulteriori dati personali; ciò, in particolare, per quanto riguarda il rafforzamento della procedura di rivendicazione del profilo, nell’ambito della quale, a decorrere dal mese di XX, è stata prevista l’acquisizione di ulteriori categorie di dati (autocertificazione e copia documento di identità), messi a disposizione dei Comuni nella Dashboard, ai fini della verifica.

Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto,  qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’”articolo 28, paragrafo 3, del [Regolamento]” e, considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo competente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (par. 103 delle citate Linee guida 07/2020). Deve evidenziarsi inoltre che nel citato paragrafo 3 dell’articolo 28 del Regolamento sono indicati gli elementi obbligatori da inserire nel “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”, tra cui “l’oggetto del trattamento”, “la natura del trattamento […] e la finalità”, “la tipologia di dati personali” “le categorie di interessati” e “gli obblighi e diritti del titolare del trattamento” (cfr.  punto 114 citate Linee guida 7/2020).

Si ricorda inoltre che nelle medesime Linee guida è previsto che se il responsabile del trattamento vuole avvalersi di un altro responsabile del trattamento (c.d. sub-responsabile), deve “concludere con quest’ultimo un contratto che preveda i medesimi obblighi imposti dal titolare al primo responsabile del trattamento; in alternativa, gli obblighi devono essere previsti da un altro atto giuridico, ai sensi del diritto dell’UE o dello Stato membro. L’intera catena delle attività di trattamento deve essere disciplinata da accordi scritti. L’imposizione dei «medesimi» obblighi dovrebbe essere interpretata in senso funzionale piuttosto che formale: non è necessario che il contratto contenga esattamente la stessa formulazione impiegata nel contratto tra il titolare e il responsabile del trattamento; tuttavia dovrebbe garantire che, nella sostanza, gli obblighi siano identici. […]” (cfr. punto 160 citate Linee guida 7/2020).

Pertanto, nel caso di assenza totale del predetto contratto, o di mancanza parziale di uno o più degli elementi essenziali di cui al citato paragrafo 3 dell’art. 28 del Regolamento, tale da determinare una definizione non chiara del rapporto titolare-responsabile tra le parti – o meglio, come nel caso di specie, tra titolare (Comune di Ancona), responsabile del trattamento (Anconambiente) e i sub-responsabili del trattamento (STUP e ISSAM) – si avrebbe una violazione, per quanto attiene ad Anconambiente, dell’ art. 28, par. 4 del Regolamento, avendo stipulato un accordo con i sub-responsabili privo di alcuni degli elementi essenziali di cui all’art. 28, par. 3 del Regolamento.

Ciò in quanto, sebbene sia stato  stipulato con la STUP e la ISSAM un atto giuridico ai sensi dell’art. 28 del Regolamento, indicante la titolarità in capo ai soggetti istituzionali, in relazione ai trattamenti connessi ai compiti istituzionali effettuati in Applicazione, tale regolamentazione si è rivelata incompleta rispetto all’oggetto e alla natura del trattamento, alle finalità, alla tipologia di dati personali e alle categorie di interessati (es. soggetti che esercitano i diritti ai sensi dell’art. 2-terdecies del Codice, concessionari, familiari ed eredi, etc.), nonché agli obblighi e diritti del titolare e del responsabile del trattamento (sub-responsabile).

In aggiunta, risulta che Anconambiente ha omesso di vigilare adeguatamente rispetto all’attività svolta dagli ulteriori responsabili del trattamento con riferimento ai trattamenti dagli stessi effettuati in Applicazione, nonché ad adottare le opportune misure affinché il trattamento fosse effettuato nel rispetto della normativa in materia di protezione dei dati personali.

Si ricorda infatti che anche il responsabile del trattamento, nel caso in cui scelga di avvalersi di ulteriori responsabili del trattamento per effettuare trattamenti di dati personali per conto del titolare del trattamento, è tenuto non solo a disciplinare adeguatamente il rapporto con gli stessi, per gli aspetti relativi al trattamento dei dati personali, ai sensi dell’art. 28, par. 4, del Regolamento, ma deve altresì esercitare quelle attività di selezione e vigilanza, che costituiscono per esso un obbligo (come previsto dall’art. 28, par. 4 del Regolamento) ma allo stesso tempo anche una importante occasione di verificare la corretta esecuzione del servizio e dei relativi trattamenti da parte degli ulteriori responsabili del trattamento da esso coinvolti. Si ricorda infatti che “Indipendentemente dai criteri proposti dal titolare del trattamento nella scelta dei fornitori, il responsabile del trattamento conserva nei confronti del titolare l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile (articolo 28, paragrafo 4, del GDPR). Pertanto, il responsabile del trattamento si assicura di proporre sub-responsabili in grado di offrire garanzie sufficienti” (cfr. punto 159 citate Linee guida 7/2020).

Nel caso concreto, Anconambiente ha omesso di vigilare adeguatamente rispetto alle attività svolte, in particolare, dalla STUP, e di adottare misure idonee a garantire il permanente rispetto della protezione dei dati personali, pur avendo contezza della tipologia dei servizi attivati in Applicazione per il perimetro di Ancona. Tale conoscenza si desume non solo dalle attività di divulgazione effettuate da Anconambiente nel mese di XX in vista dell’avvio dei servizi in Applicazione anche per i cimiteri di Ancona, ma anche dalle richieste di informazioni dell’Autorità del XX e successive, con le quali sono state sempre rappresentate ad Anconambiente potenziali criticità e necessità di approfondimenti dei servizi erogati in Applicazione, e dell’inquadramento del proprio ruolo nel trattamento.  La vigilanza sull’attività del proprio sub-responsabile – non essendo stato previsto, come dichiarato da Anconambiente, il subentro del nuovo gestore cimiteriale nel contratto con la STUP - si rendeva particolarmente necessaria anche alla luce delle comunicazioni intercorse con la STUP in merito alla durata del contratto di concessione e licenza dell’Applicazione. Ciò anche in considerazione del fatto che, come anche accertato dall’Autorità in data XX, i cimiteri di Ancona risultano tuttora presenti in Applicazione con tutti i servizi – istituzionali e non – liberamente fruibili da parte degli utenti.

I successivi trattamenti effettuati in Applicazione sono stati pertanto avallati proprio dall’assenza di idonea vigilanza da parte di Anconambiente, in merito al rispetto della disciplina in materia di protezione dei dati personali da parte degli ulteriori responsabili del trattamento, e dalla stipula con questi ultimi di accordi non adeguati in merito al trattamento dei dati personali per conto del titolare.

Alla luce delle considerazioni che precedono e degli elementi acquisiti in atti, si ritiene che Anconambiente abbia agito in violazione dell’art. 28, par. 4, del Regolamento.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese da Anconambiente nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato da Anconambiente, per aver effettuato il trattamento di dati personali in violazione dell’art. 28, parr. 3 e 4, del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento)

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenuto conto della prescrizione adottata nei confronti della STUP con il provvedimento n. 72 adottato in data odierna, con il quale, è stato richiesto alla predetta società di completare il processo di separazione dei servizi istituzionali offerti in Applicazione e in Dashboard, da quelli di natura diversa (servizi di tipo social o commerciale), al fine di consentire ai soggetti istituzionali di effettuare unicamente trattamenti di dati personali sorretti da idonea base giuridica, previsti dalla specifica normativa di settore (rilevazione delle sepolture, gestione delle concessioni cimiteriali e dell’illuminazione votiva, servizio informativo agli utenti di ricerca delle sepolture in Applicazione, senza richiedere agli stessi la registrazione di un account), si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere ad Anconambiente, limitatamente al perimetro di competenza territoriale, posto che, come accertato dall’Autorità in data XX i profili dei defunti relativi ai cimiteri cittadini risultano tuttora visibili in Applicazione, di verificare, in collaborazione con il Comune di Ancona titolare del trattamento, l’avvenuta cancellazione dei profili digitali dei defunti, aperti di default sulla base del database comunale, nonché delle relative interazioni e rivendicazioni effettuate dagli utenti in Applicazione.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, Anconambiente dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d).

7.    Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni citate nei precedenti paragrafi 4.2.1. (inidonea regolamentazione, del rapporto con il Comune di Ancona in merito ai servizi cimiteriali, in violazione dell’art. 28, par. 3) del Regolamento) e 4.2.2 (inidonea regolamentazione dei rapporti con i sub-responsabili del trattamento e vigilanza non adeguata in merito agli stessi, in violazione dell’art. 28, par. 4 del Regolamento) del presente provvedimento ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie le violazioni accertate attengono a paragrafi distinti del medesimo articolo – art. 28 del Regolamento –, soggetto alla sanzione amministrativa prevista dall’83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000 o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che, come ricavato dall’ultimo bilancio d’esercizio disponibile (XX) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo di Anconambiente nel XX è pari a euro 30.642.147, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che sebbene Anconambiente abbia sottoscritto un atto giuridico ai sensi dell’art. 28 del Regolamento con il Comune di Ancona, la regolamentazione del predetto rapporto si è rivelata incompleta rispetto, in particolare, all’oggetto e alla natura del trattamento – contenendo un mero rinvio alla totalità dei servizi cimiteriali oggetto del Contratto di servizio - agli obblighi e diritti del titolare e del responsabile, nonché alla definizione di dettagliate istruzioni sul trattamento. Da tale regolamentazione parziale è derivata, altresì, l’incertezza in ordine all’inquadramento dei ruoli di titolare e responsabile nei diversi trattamenti attinenti ai servizi cimiteriali. Occorre inoltre considerare che gli accordi sottoscritti da Anconambiente con i sub-responsabili del trattamento recavano elementi non completi rispetto all’oggetto e alla natura del trattamento, alle finalità, alla tipologia di dati personali e alle categorie di interessati (es. concessionari, familiari ed eredi, etc.), nonché agli obblighi e diritti del titolare e del responsabile del trattamento (sub-responsabile). Da tale regolamentazione parziale, nonché dall’inidonea vigilanza da parte di Anconambiente è derivata, altresì, l’incertezza in ordine all’inquadramento dei ruoli di titolare (Comune di Ancona), responsabile del trattamento (Anconambiente) e i sub-responsabili del trattamento.

Deve, inoltre, considerarsi che:

- non risultano, allo stato, pervenuti reclami da parte di interessati (art. 83 par. 2, lett. a) del Regolamento);

- la violazione ha carattere colposo, derivando da una valutazione non corretta da parte di Anconambiente in merito alla complessa tipologia dei trattamenti svolti in Applicazione nonché, per quanto concerne il rapporto con il Comune di Ancona, da una non corretta interpretazione in merito al complesso dei trattamenti da effettuare da parte di Anconambiente per conto del predetto Comune, oggetto del Contratto di servizio e richiamati per relationem nell’accordo sottoscritto ai sensi dell’art. 28, par. 3, del Regolamento, (art. 83, par. 2, lett. b), del Regolamento);

- i trattamenti in questione non sono relativi a categorie particolari di dati né a dati giudiziari (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole ad Anconambiente, che non risultano precedenti violazioni pertinenti commesse da (art. 83, par. 2, lett. e), del Regolamento). In merito al contesto di riferimento occorre rilevare altresì, in senso favorevole ad Anconambiente, il fatto che, secondo quanto dichiarato dalla STUP con la citata nota del XX non è pervenuta “nessuna richiesta pervenuta ai sensi dell’art. 2 terdecies del codice […né] richiest[e] di oscuramento” in relazione ai cimiteri di Ancona e che risultano dagli utenti già rivendicati numerosi profili nel limitato arco temporale di operatività dell’Applicazione (art. 83, par. 2, lett. k), del Regolamento). Ai sensi del medesimo articolo occorre considerare, altresì, le circostanze in cui si è verificata ed è stata gestita la violazione, tenuto conto che nel periodo considerato, rispetto ad Anconambiente, firmataria del contratto con la STUP, è avvenuto un avvicendamento nella gestione dei servizi cimiteriali, con conseguenti difficoltà nella gestione del contratto con la STUP.  

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.500,00 (duemilacinquecento/00) per la violazione dell’art. 28, parr. 3 e 4, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, con particolare riferimento alla peculiarità del trattamento e alla sua connessione con lo svolgimento di servizi istituzionali.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Anconambiente S.P.A. nei termini di cui in motivazione, per la violazione dell’art. 28, parr. 3 e 4, del Regolamento;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Anconambiente S.P.A., con sede legale in Via del Commercio n. 27, 60127, Ancona (AN) C.F. 01422820421, di pagare la somma di euro 2.500,00 (duemilacinquecento/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Ad Anconambiente S.P.A.:

- di pagare la somma di euro 2.500,00 (duemilacinquecento/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a verificare, limitatamente al perimetro di competenza territoriale, in collaborazione con il Comune di Ancona titolare del trattamento, l’avvenuta cancellazione dei profili digitali dei defunti, aperti di default sulla base del database comunale, nonché delle relative interazioni e rivendicazioni effettuate dagli utenti in Applicazione:

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori