Privacy e gestione dati: il Garante vieta la consultazione "per curiosità" e ribadisce il principio di necessità
Il Garante per la protezione dei dati personali ha recentemente rafforzato il rigore normativo riguardo al trattamento delle informazioni sensibili, chiarisce che il semplice possesso di credenziali di accesso non costituisce una licenza generale per la consultazione dei dati. L'Autorità ha ribadito con forza il principio di necessità, stabilendo che ogni accesso deve essere strettamente giustificato da finalità di servizio specifiche, documentabili e coerenti con le mansioni assegnate al personale coinvolto.
Questa posizione nasce da un'istruttoria condotta contro una società di gestione delle identità digitali SPID, dove sono state rilevate violazioni sistematiche. In particolare, l'Autorità ha constatato che migliaia di operatori potevano visualizzare dati anagrafici, documenti d'identità e tessere sanitarie senza alcuna reale esigenza lavorativa. In alcuni casi estremi, sono state rilevate consultazioni effettuate per "mera curiosità", un comportamento che il Garante non può più tollerare né giustificare sotto il profilo della trasparenza o del diritto di accesso.
Il provvedimento, reso definitivo il 29 aprile 2026, evidenzia una carenza strutturale di privacy by design e di minimizzazione dei dati nelle piattaforme gestite. Il sistema in questione permetteva una visibilità eccessiva a una platea di soggetti troppo ampia, priva di limitazioni basate sul ruolo specifico dell'utente. Tale scenario viola i pilastri del Regolamento (UE) 2016/679 (GDPR), che impone ai titolari del trattamento di essere in grado di dimostrare la conformità di ogni singola operazione.
Il principio di responsabilità e la fine del "browsing" esplorativo
Secondo quanto sancito dall'Articolo 5 del GDPR, il trattamento dei dati deve rispettare i criteri di liceità, correttezza, trasparenza e, soprattutto, la limitazione della finalità. Il Garante sottolinea che il principio di responsabilizzazione (o accountability) obbliga le organizzazioni a mettere in atto misure tecniche e organizzative adeguate per garantire che i dati siano trattati solo per gli scopi per cui sono stati raccolti.
In questo senso, la giurisprudenza — richiamando anche orientamenti della Corte Costituzionale (sentenza 20/2019) — distingue nettamente tra la trasparenza pubblica e la consultazione indiscriminata. Non esiste un diritto di accesso che possa essere giustificato da un interesse non concreto; ogni operazione deve quindi essere collegata a una pratica attiva. Il Garante ha infatti precisato che il possesso delle chiavi di accesso non autorizza a esplorare i database senza un nesso causale con le funzioni attribuite dal datore di lavoro.
Durante l'istruttoria, sono emersi dati preoccupanti sulla gestione dei flussi informativi:
- Un singolo operatore ha consultato la documentazione di 258 utenti senza alcun collegamento con attività di assistenza o identificazione.
- Sono stati rilevati numerosi download di documenti effettuati da operatori di sportelli differenti rispetto a quelli che avevano effettivamente seguito la procedura di identificazione.
- Migliaia di consultazioni sono state effettuate in assenza di una reale necessità lavorativa, configurando una violazione del principio di minimizzazione.
Conseguenze normative e quadro di riferimento
Il provvedimento del Garante si inserisce in un quadro normativo che mira a proteggere l'integrità e la riservatezza dei dati personali. Oltre al GDPR, il D.Lgs. 33/2013 disciplina l'accesso civico, ma non autorizza affatto la consultazione di dati sensibili per fini non istituzionali. La società coinvolta ha già comunicato di aver revisionato i propri sistemi, introducendo nuovi criteri di presa in carico e limitando la visibilità delle informazioni, ma il Garante ha chiarito che tali correzioni non annullano le violazioni pregresse già accertate.
Per le organizzazioni pubbliche e private, la sfida consiste nel garantire che ogni accesso sia tracciabile e giustificabile in caso di audit. La "curiosità" non è una difesa valida contro sanzioni disciplinari o amministrative. È necessario che i titolari del trattamento possano dimostrare, in ogni momento, che ogni operatore accede solo a quanto strettamente necessario per lo svolgimento del proprio compito specifico, applicando rigorosamente il principio del need to know.
| Aspetto | Dettaglio |
|---|---|
| Provvedimento Garante | 29 aprile 2026 (con parere preliminare del 26 marzo 2026) |
| Violazione rilevata | Accesso indiscriminato a dati SPID per "mera curiosità" |
| Principi violati | Minimizzazione, limitazione della finalità, accountability |
| Riferimenti Normativi | Art. 5 e 24 GDPR; D.Lgs. 33/2013 |
| Azione Correttiva | Revisione permessi e tracciabilità obbligatoria |
Cosa cambia concretamente per il personale scolastico e della PA
Per i docenti, il personale ATA e i dirigenti scolastici, le implicazioni sono immediate e riguardano la gestione quotidiana dei database (anagrafiche, fascicoli personali, dati degli studenti). Non è più ammesso il cosiddetto "browsing" esplorativo: anche se un dipendente dispone delle credenziali per accedere a un sistema, ogni singola consultazione deve essere legata a una pratica attiva e necessaria. In caso di controlli, l'utente deve essere in grado di indicare il motivo specifico della consultazione.
Le organizzazioni devono procedere con urgenza alla revisione dei sistemi di autorizzazione. Questo significa che i diritti di accesso devono essere limitati al minimo indispensabile per lo svolgimento del compito specifico. Se un operatore non ha bisogno di visualizzare i documenti d'identità per svolgere la propria mansione, il sistema deve impedire tale visualizzazione. La mancata adozione di queste misure tecniche e organizzative espone l'ente a gravi responsabilità amministrative e a possibili sanzioni pecuniarie da parte dell'Autorità.
In sintesi, la nuova linea guida del Garante chiarisce che la trasparenza non può mai trasformarsi in una consultazione indiscriminata. La protezione dei dati personali richiede un approccio rigoroso dove ogni "click" sia una scelta consapevole, motivata da un obbligo di servizio e protetta da protocolli di sicurezza che impediscano l'accesso non autorizzato, anche da parte di chi possiede le chiavi del sistema.
Per approfondire i principi fondamentali del trattamento, è possibile consultare le linee guida ufficiali sul sito del Garante per la protezione dei dati personali.
Il provvedimento del Garante è già efficace e vincolante per tutte le organizzazioni che gestiscono dati sensibili, rendendo necessaria una verifica immediata dei flussi di accesso interni.
FAQs
Privacy e gestione dati: il Garante vieta la consultazione "per curiosità" e ribadisce il principio di necessità
Il possesso di chiavi di accesso non costituisce una licenza generale, ma deve essere accompagnato da una finalità specifica e documentabile. Ogni consultazione deve essere strettamente necessaria per lo svolgimento delle mansioni lavorative, vietando qualsiasi accesso basato su semplice curiosità o senza un collegamento con una pratica attiva.
Gli operatori che effettuano consultazioni non giustificate possono essere soggetti a sanzioni disciplinari e amministrative. Il Garante sottolinea che la "mera curiosità" non è una difesa valida e ogni accesso deve essere tracciabile e giustificabile in caso di audit.
Le organizzazioni devono adottare criteri di "privacy by design" e limitare i permessi di accesso al minimo indispensabile per ogni ruolo (principio del "need to know"). È necessario revisionare i sistemi di autorizzazione per garantire che solo il personale direttamente coinvolto in una specifica pratica possa visualizzare i dati sensibili.
Il provvedimento si fonda sull'articolo 5 del GDPR, che impone i principi di liceità, minimizzazione dei dati e limitazione della finalità. Questi principi richiedono che il trattamento sia adeguato, pertinente e limitato a quanto strettamente necessario rispetto agli scopi dichiarati.