Il Garante privacy colpisce Aldilapp e cimiteri digitali: profili dei defunti creati senza consenso

Il Garante privacy interviene sul caso Aldilapp, applicazione utilizzata nei cimiteri digitali italiani, imponendo sanzioni a società e amministrazioni coinvolte per violazioni nella gestione dei dati personali dei defunti. L’indagine ha coinvolto la società Stup, distributrice dell’app in Italia, e i Comuni di Ancona e Velletri, evidenziando trattamenti di dati eccedenti rispetto alle finalità istituzionali dei servizi cimiteriali. Al centro della vicenda vi è la creazione automatica di profili digitali dei defunti a partire dai database comunali, pratica ritenuta non conforme ai principi di trasparenza, liceità e minimizzazione dei dati previsti dal GDPR. Le sanzioni, pur contenute, stabiliscono un precedente importante nel rapporto tra innovazione digitale e tutela dei dati personali, soprattutto quando servizi pubblici e piattaforme commerciali si intrecciano nello stesso ecosistema tecnologico.

Aldilapp e cimiteri digitali: come funziona l’app contestata dal Garante

La piattaforma Aldilapp nasce come servizio digitale dedicato alla gestione dei cimiteri e alla localizzazione delle sepolture. Gli utenti registrati possono cercare una tomba all’interno dei cimiteri aderenti e visualizzare informazioni sull’ubicazione del defunto. L’applicazione, tuttavia, integra anche una serie di funzionalità social e commerciali. Gli utenti possono pubblicare dediche visibili pubblicamente, accendere ceri virtuali e acquistare servizi aggiuntivi come invio di fiori reali o pulizia delle tombe. Secondo il Garante privacy, il problema principale nasce dal modo in cui la piattaforma utilizza i dati provenienti dai database comunali. L’app infatti genera automaticamente profili digitali dei defunti, associando informazioni pubbliche a pagine personali accessibili online. Questo meccanismo ha sollevato dubbi sulla legittimità del trattamento dei dati e sulla chiarezza delle informazioni fornite agli utenti. Il provvedimento sottolinea che molti cittadini si aspettano che i dati relativi ai defunti siano utilizzati esclusivamente per finalità amministrative legate ai servizi cimiteriali e non per alimentare piattaforme digitali con funzioni social.

Violazioni del GDPR e mancanza di trasparenza nei trattamenti

L’istruttoria dell’autorità ha evidenziato diverse criticità rispetto ai principi stabiliti dal Regolamento generale sulla protezione dei dati (GDPR). Il primo problema riguarda il principio di limitazione delle finalità. I dati contenuti nei registri cimiteriali comunali sono raccolti per finalità amministrative specifiche, come la gestione delle sepolture e la consultazione da parte dei cittadini. Utilizzarli per creare automaticamente profili online con funzionalità social e commerciali è stato considerato un trattamento eccedente rispetto allo scopo originario. Un secondo punto riguarda la trasparenza nei confronti degli utenti. Secondo il Garante, le informazioni disponibili sull’app non chiarivano in modo sufficiente come venissero utilizzati i dati e quale fosse il rapporto tra amministrazioni comunali, gestori cimiteriali e società privata. Infine, l’autorità ha rilevato misure tecniche e organizzative insufficienti nella gestione dei dati. Anche i rapporti tra i soggetti coinvolti – società tecnologica, enti pubblici e gestori dei cimiteri – risultavano poco chiari dal punto di vista giuridico e contrattuale.

Le sanzioni: multe a Stup, comuni e gestori cimiteriali

Il provvedimento del Garante privacy prevede sanzioni amministrative per tutti i soggetti coinvolti nel sistema Aldilapp. La società Stup, che distribuisce l’applicazione in Italia, ha ricevuto una multa di 6.000 euro. Il Comune di Ancona è stato sanzionato con 3.000 euro, mentre il Comune di Velletri dovrà pagare 2.000 euro. Ai gestori dei servizi cimiteriali coinvolti è stata inoltre applicata una sanzione complessiva di 2.500 euro. L’autorità ha sottolineato che l’importo relativamente contenuto delle sanzioni deriva da diversi fattori attenuanti, tra cui la natura innovativa del servizio, l’assenza di reclami da parte degli utenti e la collaborazione fornita durante l’istruttoria. Nonostante ciò, il provvedimento stabilisce nuove regole per il funzionamento della piattaforma e per servizi simili.

Separazione tra servizi pubblici e piattaforme commerciali

Uno degli elementi centrali della decisione riguarda la separazione obbligatoria tra servizi istituzionali e servizi commerciali. Il Garante ha imposto che i database comunali utilizzati dalle piattaforme digitali contengano esclusivamente informazioni essenziali sull’ubicazione delle sepolture. Tutte le funzionalità social e commerciali devono invece essere attivate solo su richiesta esplicita degli utenti.Inoltre, i profili digitali dei defunti creati automaticamente dovranno essere cancellati. Questo comporta anche la rimozione delle interazioni associate, come dediche o ceri virtuali pubblicati senza un consenso esplicito. Queste misure mirano a evitare che dati pubblici vengano riutilizzati in contesti diversi da quelli per cui sono stati originariamente raccolti.

Telecamere non conformi: multa al Comune di Mazara del Vallo

Nella stessa attività di vigilanza il Garante privacy ha sanzionato anche il Comune di Mazara del Vallo per l’utilizzo di un sistema di videosorveglianza non conforme alle norme sulla protezione dei dati. Il caso nasce dal reclamo di un automobilista che aveva ricevuto un verbale per mancata revisione del veicolo. L’infrazione era stata rilevata tramite un sistema video installato su strada. Secondo l’autorità, il trattamento dei dati effettuato tramite questo sistema non aveva una base giuridica adeguata. Inoltre, il comune non aveva fornito un’informativa sufficiente ai cittadini né effettuato la necessaria valutazione d’impatto sulla protezione dei dati (DPIA). Il GDPR richiede infatti una DPIA nei casi in cui la tecnologia comporti monitoraggio sistematico di aree pubbliche, situazione considerata ad alto rischio per i diritti e le libertà degli interessati. Per queste violazioni è stata applicata una sanzione di 4.000 euro, accompagnata dall’obbligo di adeguare il sistema di videosorveglianza alle norme vigenti.

Via libera alla piattaforma per deleghe digitali della pubblica amministrazione

Accanto alle attività sanzionatorie, il Garante privacy ha espresso parere favorevole allo schema di decreto che introduce una piattaforma nazionale per la gestione delle deleghe digitali. Il progetto rientra nelle iniziative del PNRR e consentirà ai cittadini iscritti all’Anagrafe nazionale di delegare fino a due persone di fiducia per l’accesso ai servizi online della pubblica amministrazione. L’autenticazione avverrà tramite sistemi di identità digitale come SPID e Carta d’identità elettronica (CIE). Il decreto stabilisce inoltre specifiche tecniche per garantire sicurezza e tracciabilità delle operazioni. Non tutti i servizi saranno delegabili. Alcuni ambiti sensibili, come quelli sanitari, continueranno a seguire regole dedicate. Il Fascicolo Sanitario Elettronico 2.0, l’Ecosistema Digitale Sanitario e la Piattaforma Nazionale di Telemedicina adotteranno infatti regimi specifici di protezione dei dati. L’autorità ha valutato positivamente le misure previste, sottolineando che la piattaforma potrà facilitare l’accesso ai servizi pubblici soprattutto per anziani e cittadini vulnerabili.

Allarme globale sui contenuti intimi generati dall’intelligenza artificiale

Il Garante italiano ha inoltre aderito a una dichiarazione congiunta firmata da oltre 60 autorità per la protezione dei dati a livello mondiale. Il documento, coordinato dalla Global Privacy Assembly, esprime forte preoccupazione per la diffusione di contenuti intimi generati tramite intelligenza artificiale, come immagini o video deepfake creati senza il consenso delle persone coinvolte. Le autorità sottolineano che queste tecnologie possono colpire in modo particolare minori e soggetti vulnerabili, causando danni reputazionali e psicologici. La dichiarazione invita le aziende tecnologiche a implementare strumenti efficaci per prevenire la creazione e la diffusione di contenuti non consensuali, rafforzando al tempo stesso i meccanismi di segnalazione e rimozione.

Controlli su minori online e sorveglianza dei lavoratori

Le recenti attività del Garante privacy includono anche interventi in altri ambiti sensibili. Il 7 marzo 2026 l’autorità ha avviato verifiche sul caso mediatico noto come “Famiglia nel bosco”, con l’obiettivo di tutelare i minori esposti online. Pochi giorni prima, il 24 febbraio 2026, il Garante aveva inoltre imposto uno stop ad alcune pratiche di schedatura dei lavoratori da parte di Amazon, ritenute eccessive rispetto alle finalità organizzative dell’azienda. Questi interventi mostrano come l’autorità continui a monitorare l’uso delle tecnologie digitali in contesti che coinvolgono minori, lavoratori e cittadini.

Innovazione digitale e privacy: il quadro normativo in evoluzione

Le decisioni del Garante privacy dimostrano come la diffusione di nuove tecnologie richieda un costante bilanciamento tra innovazione e tutela dei diritti fondamentali. Il caso Aldilapp evidenzia i rischi che emergono quando dati pubblici vengono integrati in piattaforme digitali con funzioni social o commerciali. Allo stesso tempo, iniziative come la piattaforma per deleghe digitali mostrano come sia possibile sviluppare servizi innovativi mantenendo elevati standard di sicurezza. Il GDPR continua a rappresentare il riferimento principale per la regolamentazione dei trattamenti di dati personali in Europa, ma le sfide tecnologiche emergenti – dall’intelligenza artificiale alla videosorveglianza intelligente – richiedono un aggiornamento costante delle pratiche di compliance. Per cittadini, imprese e pubbliche amministrazioni il messaggio è chiaro: l’innovazione digitale può progredire solo se accompagnata da trasparenza, responsabilità e protezione effettiva dei dati personali.