I servizi comunali possono avere funzionalità “social”? Interviene il Garante Privacy

Le recenti decisioni del Garante privacy in materia di servizi cimiteriali (caso Aldilàpp) meritano attenzione non solo per il tema, indubbiamente peculiare, dei “profili digitali” dei defunti, ma soprattutto perché fissano un principio di sistema: il Comune non può mescolare il servizio pubblico istituzionale con funzionalità social o commerciali solo perché convivono nella stessa app e/o in ragione di ciò.

È questo, in fondo, il principio che emerge in occasione del provvedimento del 12 febbraio 2026 relativo a Velletri Servizi S.p.A.: l’utilizzo di un’unica piattaforma per offrire sia il servizio istituzionale (nel caso di specie, di ricerca dell’ubicazione dei defunti), sia funzioni ulteriori di tipo social e commerciale, è stato ritenuto critico perché genera trattamenti eccedenti rispetto alle finalità pubbliche e induce gli utenti a ritenere che tutto il trattamento sia riconducibile al Comune.

Il punto di partenza: cosa ha contestato davvero il Garante

Nel caso esaminato, l’app consentiva agli utenti, previa registrazione, di individuare il luogo di sepoltura dei defunti nei cimiteri aderenti, ma anche di accedere a funzionalità ulteriori: dediche, ceri virtuali, rivendicazione del profilo del defunto, condivisione del profilo e persino servizi commerciali come fiori e pulizia della tomba. Inoltre, i “profili digitali” dei defunti venivano creati di default utilizzando i database comunali.

Secondo il Garante, il problema non stava solo nella presenza di funzioni aggiuntive, ma nel fatto che tali funzioni risultavano inscindibilmente connesse al servizio pubblico cimiteriale. Il Garante lo dice in modo molto netto: è stata ordinata la “netta separazione” tra servizi istituzionali e servizi di natura social e commerciale, insieme alla cancellazione dei profili digitali creati automaticamente dai database comunali. Gli stessi servizi ulteriori, aggiunge il Garante, potranno essere erogati dal fornitore solo su richiesta degli utenti e senza utilizzare i database cimiteriali messi a disposizione dai Comuni esclusivamente per il servizio di informazione sull’ubicazione dei defunti.

La domanda decisiva: il Comune può avere servizi “social”?

La risposta, alla luce dei provvedimenti, è: non in quella forma.

Più precisamente: non sembra preclusa in assoluto l’esistenza di un servizio digitale con componenti commemorative o partecipative, ma il Comune non può farle discendere automaticamente dalla propria base giuridica istituzionale, né può alimentarle con dati estratti dagli archivi pubblici destinati alla gestione cimiteriale. Questo è il cuore del ragionamento del Garante.

L’Autorità osserva infatti che i dati relativi al defunto sono inizialmente trattati dai Comuni per finalità specifiche di natura istituzionale – polizia mortuaria, gestione cimiteriale, informazione sulla localizzazione delle sepolture – ma poi, nel modello esaminato, venivano “trasposti” in automatico in un profilo digitale visibile agli utenti, arricchibile con commenti e altre interazioni. Proprio questo passaggio è stato ritenuto incompatibile con i limiti delle finalità pubbliche originarie.

In altri termini, il Comune può organizzare un servizio informativo pubblico; non può però trasformare quel patrimonio informativo in un social network commemorativo per impostazione predefinita.

Perché il problema non è solo “privacy”, ma anche di base giuridica e funzione pubblica

La vicenda Aldilàpp è interessante perché mostra un punto spesso sottovalutato nella digitalizzazione dei servizi pubblici: non tutto ciò che è tecnicamente possibile rientra automaticamente nelle finalità istituzionali dell’ente.

Il Garante sottolinea che il servizio di consultazione dell’ubicazione delle sepolture non richiederebbe l’identificazione dell’utente, e quindi non imporrebbe neppure la registrazione. Nel caso concreto, invece, l’utente era costretto ad aprire un account e a conferire i propri dati anche per fruire del solo servizio comunale di ricerca dell’ubicazione del defunto, spesso offerto esclusivamente tramite app. Questo è stato ritenuto contrario ai principi di necessità e minimizzazione.

Ne deriva una conclusione pratica molto forte: il perimetro del servizio pubblico va progettato al minimo necessario. Se la finalità istituzionale è consentire ai cittadini di individuare una sepoltura, il sistema deve limitarsi a questo, salvo che esista una distinta base giuridica, una distinta architettura del trattamento e una distinta scelta dell’utente per eventuali servizi ulteriori.

Il tema dei defunti non rende il trattamento “libero”

Uno degli equivoci più frequenti è pensare che, trattandosi di persone decedute, la disciplina privacy sia marginale. Il Garante, invece, ribadisce che l’art. 2-terdecies del Codice privacy consente l’esercizio dei diritti riferiti ai dati delle persone decedute da parte di chi abbia un interesse proprio, agisca a tutela dell’interessato o per ragioni familiari meritevoli di protezione. Proprio da ciò l’Autorità fa discendere la permanenza di tutele giuridiche sui dati concernenti i defunti.

Questo passaggio è decisivo anche rispetto ai servizi social. Se il profilo digitale del defunto viene creato automaticamente, i soggetti legittimati a tutelarlo o a far valere un proprio interesse sono costretti, per reagire, a registrarsi, rivendicare il profilo e fornire ulteriori dati personali. Il Garante considera criticamente proprio questo effetto: non può essere la persona interessata a dover “correre dietro” a un profilo digitale che l’amministrazione o il suo fornitore hanno costruito automaticamente usando dati pubblici.

Il principio forse più importante: il cimitero fisico non equivale al profilo digitale

Molto efficace è anche il ragionamento del Garante sul rapporto tra esposizione fisica dei dati sulla sepoltura e diffusione digitale.

L’Autorità afferma che non è corretto giustificare il profilo digitale dicendo che nome, immagine o altri dati del defunto sono già visibili nel cimitero. L’esposizione fisica presso la sepoltura è collegata a finalità circoscritte di ricordo, memoria e pietà, ed è conoscibile solo dalle persone che visitano il luogo; il profilo digitale, invece, amplia enormemente accessibilità, circolazione e riutilizzabilità delle informazioni, anche grazie a funzioni come “Esporta” o “Condividi”. (Garante Privacy)

Questa distinzione ha portata generale: un dato visibile in uno spazio pubblico non per questo può essere automaticamente riversato in un ambiente digitale aperto, indicizzabile, condivisibile e arricchibile da terzi.

Dunque: in quali condizioni un servizio “social” potrebbe essere ammissibile?

Dai provvedimenti emerge una linea abbastanza chiara. Una componente social (commemorativa, nel caso di specie) non sembra esclusa in assoluto, ma solo se resta esterna e separata rispetto al servizio istituzionale del Comune.

Questa è un’inferenza molto solida, perché il Garante precisa che tali servizi potranno essere erogati dal fornitore su richiesta degli utenti e senza utilizzare i database cimiteriali comunali messi a disposizione per la sola informazione sull’ubicazione dei defunti.

Tradotto in termini operativi, un modello più difendibile dovrebbe prevedere almeno questi elementi:

1. Separazione funzionale e informativa. Il servizio pubblico comunale deve restare autonomo: ricerca della sepoltura, informazioni essenziali, eventuale geolocalizzazione del luogo, senza trascinamento verso funzioni social.

2. Nessuna creazione automatica di profili da banche dati pubbliche. Il database cimiteriale del Comune non può essere la sorgente per popolare di default profili commemorativi o social.

3. Attivazione solo su iniziativa dell’utente. L’eventuale spazio commemorativo deve nascere da una scelta positiva, ulteriore e consapevole dell’utente, non come effetto automatico del servizio pubblico.

4. Autonomia del titolare e chiarezza dei ruoli. Se il servizio “social” è del fornitore, non deve apparire come se fosse del Comune. La newsletter evidenzia proprio il rischio che gli utenti credano che tutti i trattamenti siano riconducibili all’ente pubblico.

5. Base giuridica, trasparenza e contratti coerenti. I provvedimenti segnalano criticità anche nella regolazione dei rapporti tra i soggetti coinvolti e nella trasparenza verso gli utenti. Non basta “appoggiarsi” a un fornitore: ruoli, finalità, categorie di dati e flussi devono essere disciplinati in modo analitico.

Il messaggio per i Comuni: attenzione ai servizi digitali “ibridi”

Il caso Aldilàpp dice qualcosa di molto più ampio dei soli cimiteri. Ogni volta che un Comune affida a una piattaforma privata un servizio digitale istituzionale, si apre una questione cruciale: il fornitore sta solo eseguendo un compito pubblico, oppure sta sfruttando quell’infrastruttura per sviluppare un ecosistema ulteriore di dati, interazioni e servizi?

Quando le due dimensioni si fondono, il rischio è duplice. Da un lato si trattano dati eccedenti rispetto alla funzione pubblica; dall’altro si altera la percezione dell’utente, che attribuisce al Comune anche trattamenti che, in realtà, rispondono a logiche diverse. È precisamente la criticità evidenziata dal Garante nella newsletter del 9 marzo 2026.

Ne deriva che, alla domanda “il Comune può dotarsi di servizi social?”, la risposta più corretta, dopo questi provvedimenti, appare la seguente:

• il Comune non può inglobare funzionalità social o commerciali dentro il servizio pubblico istituzionale quando esse sono alimentate dai database comunali, attivate di default o presentate come parte indistinta del servizio pubblico; può invece esistere, al più, un servizio ulteriore, distinto, facoltativo, richiesto dall’utente e non costruito sul riuso automatico dei dati pubblici. (Garante Privacy)

La lezione, per gli Enti locali, è netta: per il Garante Privacy "digitalizzare" non significa “socializzare” il dato pubblico. La digitalizzazione deve sostanziarsi in una progettazione di servizi coerenti con la finalità istituzionale cui è preposto, minimizzando i dati trattati e separando rigorosamente ciò che è pubblico-amministrativo da ciò che è memoriale, relazionale o commerciale.