Tutela dei dati dei defunti: Il Caso Aldilapp e i Limiti del Social Media Funerario

L'innovazione tecnologica nella Pubblica Amministrazione (PA) non può prescindere dal rispetto della dignità umana e della protezione dei dati. Il recente provvedimento del Garante per la Protezione dei Dati Personali contro la piattaforma Aldilapp ha sollevato un velo su una pratica rischiosa: la trasformazione delle banche dati cimiteriali in un "Facebook dei defunti".

Ecco un'analisi tecnica e normativa su come i servizi pubblici debbano bilanciare digitalizzazione e diritto alla riservatezza.

Il Quadro Normativo: Tra GDPR e Codice della Privacy

Il nodo del contendere non riguarda solo l'etica, ma la violazione di precisi pilastri legislativi. In Italia, la tutela dei dati dei defunti è regolata dall'Articolo 2-terdecies del D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), il quale stabilisce che i diritti riferiti alle persone decedute possono essere esercitati da chi ha un interesse proprio o agisce a tutela del defunto.

I Principi Violati secondo il Regolamento UE 2016/679 (GDPR)

Secondo il Garante, il modello di business adottato ha ignorato i cardini del Regolamento UE 2016/679 (GDPR):

1. Liceità, correttezza e trasparenza dei dati (Art. 5, par. 1, lett. a)

   I dati raccolti dai Comuni per finalità istituzionali sono stati usati per scopi commerciali senza un'idonea base giuridica.

2. Limitazione della finalità di trattamento (Art. 5, par. 1, lett. b)

   Un database nato per la gestione dei servizi cimiteriali non può "mutare" in un social network.

3. Minimizzazione dei dati (Art. 5, par. 1, lett. c)

   Richiedere registrazione obbligatoria (email e telefono) per consultare la posizione di un loculo è considerato un eccesso di raccolta dati.

Le Criticità del Modello "Ibrido": Perché il Garante ha sanzionato

Il Garante ha evidenziato come la piattaforma abbia creato un cortocircuito tra servizio pubblico e profitto privato.

1. Profili Automatizzati e Algoritmi Social

L'app attingeva ai database anagrafici dei Comuni per generare profili digitali. Questi venivano poi inseriti in logiche di engagement tipiche dei social:

• Suggerimenti di "defunti correlati".
• Notifiche di anniversari.
• Funzioni di "like" o "dediche virtuali". Il Garante ha chiarito che la visibilità fisica di una lapide non giustifica la sua indicizzazione globale governata da algoritmi pubblicitari.

2. L'illusione dei dati pubblici (D.Lgs. 101/2018.)

L'azienda ha tentato di difendersi sostenendo che i dati fossero già pubblici. Tuttavia, la giurisprudenza distingue tra fruizione locale (chi cammina in un cimitero) e diffusione globale online. Il passaggio dal marmo al bit trasforma il dato in un asset commerciale, richiedendo tutele specifiche ai sensi del D.Lgs. 101/2018.

3. Responsabilità dei Comuni come Titolare del Trattamento

Un punto cruciale del provvedimento riguarda i Comuni. Molti enti hanno esternalizzato il servizio pensando di delegare anche la responsabilità legale. Il Garante ha ribadito che:

• Il Comune rimane Titolare del Trattamento.
• L'ente deve vigilare sul rispetto del principio di Privacy by Design (Art. 25 GDPR).
• Non è lecito "cedere" i dati dei cittadini a terzi per finalità di marketing senza consensi espliciti e separati.

Lezioni per la Pubblica Amministrazione Digitale

Il caso Aldilapp funge da precedente per tutti i progetti di Smart City. Ecco le linee guida per una corretta digitalizzazione:

Separazione Netta dei Servizi

La ricerca del loculo (funzione istituzionale) deve essere libera, anonima e distinta dall'acquisto di servizi accessori come fiori o pulizia (funzione commerciale).

Consenso Granulare

L'utente deve poter scegliere se apparire in una directory digitale "social", senza che ciò sia una condizione necessaria per accedere ai servizi pubblici.

DPIA Valutazione di Impatto (Art. 35 del GDPR)

Prima di lanciare app che trattano dati sensibili o riferiti a defunti, il Comune deve eseguire una Data Protection Impact Assessment ai sensi dell'Art. 35 del GDPR.