Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la lezione

L’irrilevanza delle formule di stile: l’autorizzazione dell’interessato non solleva dall’accountability

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il Garante Privacy chiarisce che una formula di autorizzazione al trattamento non esime il titolare dall’applicare i principi del GDPR e, nel procedimento di accesso civico generalizzato, la pubblica amministrazione non può trasmettere ai controinteressati l’istanza inversione integrale se contiene dati personali non necessari

Pubblicato il 25 giu 2026
Aggiungi tra i preferiti su Google
Stefano Gazzella

Data Protection Officer, Giornalista

Editori europei Garante privacy consent or pay; L’irrilevanza delle formule di stile: l’autorizzazione dell’interessato non solleva dall’accountability
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Nel provvedimento 28 maggio 2026, n. 381, l’Autorità Garante per la protezione dei dati personali interviene valutando come violazione dei principi di liceità, correttezza, trasparenza e minimizzazione la condotta di un Ateneo di comunicare al controinteressato l’istanza di accesso civico generalizzato del reclamante in versione integrale, senza oscurare dati personali quali l’indirizzo di residenza e il numero di telefono.

La violazione contesta, e successivamente confermata, riguarda pertanto la
comunicazione di dati non necessari a realizzare le finalità di dare notizia al controinteressato circa l’identità del soggetto istante.

Il GDPR 10 anni dopo: sì alla semplificazione, ma non con questo Digital Omnibus

La comunicazione dell’istanza integrale di accesso civico generalizzato

Nelle proprie difese, l’amministrazione ha invocato un argomento tanto frequente quanto fragile: la presenza, in calce all’istanza, di una dichiarazione dell’interessato per autorizzare le attività di trattamento per le finalità connesse alla richiesta con l’effetto, di conseguenza, di aver sollevato il funzionario dall’operare un bilanciamento di interessi, consentendo così l’ostensione integrale della richiesta.
Sebbene sia indubitabile e pacifico che notiziare i controinteressati sia un subprocedimento nell’ambito della gestione della richiesta di accesso civico generalizzato, peraltro previsto come obbligo specifico dall’art. 5, comma 5, del d.lgs. 33/2013, non è altrettanto condivisibile ritenere che una formula – peraltro generica e preventiva – possa in qualsivoglia modo costituire una
«esplicita ed incondizionata autorizzazione» né esimere dall’applicazione dei principi del GDPR.

La posizione del Garante

All’esito dell’attività istruttoria, il Garante ha infatti espressamente definito come irrilevante «ai fini della valutazione della complessiva condotta del titolare del trattamento, quanto dichiarato in merito al fatto che, in calce all’istanza di accesso, il reclamante “in grassetto e sottolineato, ha riportato la dicitura “autorizzo il trattamento dei miei dati personali per le finalità connesse alla richiesta” senza indicare alcuna limitazione” in quanto spetta alla Pubblica Amministrazione, in linea generale, nella gestione delle istanze di accesso, un’adeguata ponderazione della stretta necessità di comunicare ai richiedenti l’accesso e ai controinteressati dati eccedenti dei soggetti coinvolti».

La lezione per PA, uffici trasparenza e DPO

L’autorizzazione dell’interessato non sana un trattamento illecito, non attenua il dovere di minimizzare i dati e non sposta sull’interessato la responsabilità del titolare.

In materia di accesso civico generalizzato, l’accountability si declina nella capacità dell’ente di decidere, prima della comunicazione ai controinteressati, quali dati devono essere inseriti nella stessa e quali invece devono essere oscurati.

Accesso civico generalizzato e protezione dei dati personali

Nella normativa in materia di accesso civico generalizzato, di cui al d.lgs. 33/2013, sono previste una serie di attività di trattamento, fra cui la comunicazione dell’istanza al controinteressato che ha la funzione di informarlo circa l’identità del soggetto che ha presentato la richiesta e il contenuto della stessa, in modo tale da fornire una motivata opposizione a riguardo:

«Fatti salvi i casi di pubblicazione obbligatoria, l’amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell’articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso. A decorrere dalla comunicazione ai
controinteressati, il termine di cui al comma 6 è sospeso fino all’eventuale opposizione dei controinteressati. Decorso tale termine, la pubblica amministrazione provvede sulla richiesta, accertata la ricezione della comunicazione».

La liceità della norma

Come precisa il Garante Privacy, la norma fonda la liceità del trattamento di comunicazione per effetto del combinato disposto dell’art. 6 parr. 1 lett. c) e 3 GDPR e dell’art. 2-ter Cod. Privacy, ma per i soli dati adeguati, pertinenti e limitati a perseguire le finalità di trattamento.

Per questo motivo, eventuali comunicazioni di dati personali in eccesso sono suscettibili di violare il principio di liceità, correttezza e trasparenza, nonché di “minimizzazione” dei dati, di cui all’art. 5, par. 1, lett. a) e c) GDPR.

La valutazione degli interventi correttivi adottati

Nonostante l’istruttoria abbia confermato le violazioni contestate, il Garante Privacy ha valutato positivamente gli interventi correttivi adottati da parte del titolare, che uniti ad altri elementi di contesto, fra cui la violazione riguardante un unico interessato, l’erronea convinzione circa la liceità della condotta posta in essere, ha comportato la qualificazione del caso come violazione minore comportando un ammonimento.
All’interno delle note difensive, infatti, il titolare esponeva di aver dato avvio ad una revisione del Regolamento di Ateneo per la disciplina dei procedimenti di accesso, con lo scopo di integrare il principio di minimizzazione nelle comunicazioni ai controinteressati.

Gli interventi operativi

Nel fornire dettagli sull’attività programmata, si indicava così una serie di interventi operativi, quali:

  • l’introduzione di criteri chiari per l’individuazione dei dati personali strettamente necessari alla tutela del contraddittorio procedimentale;
  • la previsione di modalità standardizzate di oscuramento o separazione dei dati non necessari;
  • la definizione di strumenti operativi di supporto (modelli di comunicazione, check-list di verifica preventiva, indicazioni procedurali);
  • l’attuazione di una politica di sensibilizzazione interna per tramite dei dirigenti rivolta al «personale coinvolto nella gestione dei procedimenti di accesso nel prestare particolare attenzione al rispetto del principio di minimizzazione dei dati personali nelle comunicazioni ai controinteressati, prevedendo, nei casi più complessi, il coinvolgimento preventivo del Responsabile della Protezione dei Dati».

La lezione su autorizzazione e accountability: l’irrilevanza delle formule di stile

L’irrilevanza delle formule di stile, o diciture generiche, è stata nel tempo oggetto di valutazione da parte del Garante Privacy, sia nell’ambito degli accordi che regolamentano i rapporti fra titolare e responsabile del trattamento ai sensi dell’art. 28 GDPR , sia nelle informativa soprattutto per le finalità eccessivamente generiche e indefinite, o per i tempi di conservazione in cui sono presenti tautologie quali “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” senza fornire un’indicazione temporale precisa o dei criteri chiari per determinare tale periodo.
Nel caso dell’autorizzazione preventiva, se generica e incondizionata, questa non può ragionevolmente contribuire a formare la base giuridica del consenso, dal momento che uno degli elementi costitutivi per la validità del consenso è che lo stesso sia informato.

Di conseguenza, occorre che l’interessato sia consapevole dei trattamenti che il titolare andrà a realizzare, con il dettaglio richiesto dal principio di trasparenza e dagli artt. 12, 13 e 14 GDPR che contemplano l’eventualità come eccezione (per esempio: l’intenzione di trasferire dati extra-UE) e per cui la regola è l’attualità.

Il diritto di revoca

Inoltre, è pacifico che l’aspettativa dell’interessato su un trattamento fondato su un consenso invoca una più elevata capacità di controllo, attraverso il diritto a revocare lo stesso, e quindi una formula confondente a riguardo – così come un consenso inutile – ben si pone in violazione del principio di correttezza.

L’autorizzazione dell’interessato non solleva dall’accountability

Ritenere che una formula di stile possa esonerare il titolare da una parte della propria responsabilità di garantire la conformità delle attività di trattamento alla normativa in materia di protezione dei dati personali, o peggio, sanare un trattamento illecito è un errore che comporta dei gap significativi fra compliance percepita e reale.

Un gap di tipo cognitivo che parte dalla Direzione per propagarsi poi sul piano operativo, aumentando così, sistematicamente, il livello di rischio di
violare la normativa in materia di protezione dei dati personali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Stefano Gazzella
Data Protection Officer, Giornalista

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Contestualizzazione del FNCDP 2.1, un metodo per essere conformi alla NIS2: occorre partire dal NIST CSF 2.0

  • direttive

    NIS 2 e multicompliance: strategie integrate per la cyber security aziendale

    04 Ago 2025

    di Margherita Masseroni

    Condividi
  • Pixel tracking impatti privacy

  • l'analisi

    Tracking pixel nelle e-mail, le linee guida del Garante: cosa devono fare (davvero) i titolari

    22 Apr 2026

    di Rosario Palumbo

    Condividi
  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi; Il GDPR come sistema di governo del potere informativo; Per il GDPR, quella del giornalista non è una professione ma una funzione: la responsabilità che nessuno vede

  • provvedimenti

    Sette anni di GDPR e privacy ancora all'abc: la lezione dalla sanzione a Verisure e Aimag

    18 Dic 2025

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x