NEWS

Il Garante Privacy sanziona Lepida per violazioni del Gdpr: “dati personali di 1,5 milioni di cittadini scaricabili anche per mera curiosità”

Il Garante per la protezione dei dati personali ha inflitto una sanzione amministrativa di 100 mila euro a Lepida, uno dei principali gestori di identità digitale SPID in Italia, al termine di un’istruttoria che ha evidenziato diverse criticità nel trattamento dei dati personali degli utenti.

Il provvedimento, adottato il 29 aprile 2026, richiama l’attenzione su un tema particolarmente delicato: la gestione sicura e conforme delle informazioni all’interno delle infrastrutture che consentono ai cittadini di accedere ai servizi digitali della pubblica amministrazione e dei soggetti privati.

Secondo quanto accertato dall’Autorità, Lepida avrebbe violato alcuni principi fondamentali del GDPR, in particolare quelli relativi alla minimizzazione dei dati, alla limitazione dei tempi di conservazione, all’integrità e alla riservatezza delle informazioni trattate, oltre agli obblighi di trasparenza previsti dall’articolo 13 del Regolamento.

Accesso non consentito ai dati di 1,5 milioni di cittadini, anche per “mera curiosità” - L’aspetto più significativo emerso dall’istruttoria riguarda le modalità di accesso ai dati personali degli utenti registrati al servizio LepidaID. Il Garante ha rilevato che “oltre 7.000 operatori degli sportelli abilitati all’identificazione potevano consultare informazioni personali e scaricare copie di documenti di identità e tessere sanitarie riferite a più di 1,5 milioni di cittadini”. Tale accesso risultava disponibile in maniera sostanzialmente indiscriminata, anche in assenza di una concreta necessità operativa collegata all’attività svolta dall’operatore.

Nel corso degli accertamenti sono stati inoltre riscontrati casi di “consultazione non autorizzata dei dati effettuata per mera curiosità”, nonché “download di documentazione privi di collegamento con attività di assistenza o verifica dell’identità”. Uno di questi episodi ha portato alla notifica di una violazione dei dati personali e alla presentazione di una denuncia alle autorità competenti.

Le criticità nella modalità di gestione dei documenti e nella verifica dell’identità degli utenti - Ulteriori criticità sono state individuate nelle modalità di gestione dei documenti acquisiti durante il processo di identificazione degli utenti. Le copie dei documenti caricati dai richiedenti rimanevano infatti “archiviate sulle postazioni di lavoro degli operatori anche dopo il completamento delle procedure di riconoscimento”, senza meccanismi automatici di cancellazione o altre misure adeguate a ridurre il rischio di accessi impropri. Una situazione che, secondo il Garante, aumentava significativamente l’esposizione dei dati personali a utilizzi non autorizzati.

L’Autorità ha inoltre evidenziato problemi nella verifica dell’identità degli utenti. Le procedure adottate si basavano in parte su controlli manuali e non sfruttavano pienamente i sistemi automatizzati disponibili attraverso le banche dati autoritative, limitando così il livello di affidabilità e sicurezza dei controlli previsti dal sistema di identità digitale.

Un altro elemento contestato riguarda la conservazione dei log relativi alle transazioni SPID. La normativa di settore stabilisce specifici limiti temporali per la conservazione di tali informazioni, fissando generalmente in 24 mesi il periodo massimo consentito. Nel caso esaminato, il Garante ha accertato che “alcuni dati venivano mantenuti per un periodo superiore a quello previsto”, in contrasto con il principio di limitazione della conservazione sancito dal GDPR.

Altri problemi in merito alla titolarità del trattamenti dei dati - Sul fronte della trasparenza, l’Autorità ha rilevato informazioni non corrette fornite agli interessati in merito alla titolarità del trattamento dei dati relativi alle identità digitali derivanti dal sistema FedERa. In particolare, Lepida si era qualificata come contitolare del trattamento insieme agli enti appartenenti alla Community Network dell’Emilia-Romagna, una rappresentazione che il Garante ha ritenuto non conforme al reale assetto delle responsabilità, con possibili ricadute sulla corretta comprensione da parte degli utenti delle modalità di gestione dei propri dati personali.

Pur riconoscendo che nel corso dell’istruttoria la società ha adottato una serie di misure correttive per sanare le criticità individuate, il Garante ha ritenuto che la natura e la gravità delle violazioni accertate giustificassero comunque l’applicazione della sanzione amministrativa.

Il ruolo chiave degli identity provider nell’ecosistema dell’identità digitale nazionale - La vicenda assume particolare rilevanza per il ruolo che Lepida ricopre nell’ecosistema dell’identità digitale italiana. Gli identity provider rappresentano infatti un elemento essenziale dell’infrastruttura SPID, gestendo processi che riguardano l’identificazione dei cittadini, l’autenticazione ai servizi online e la protezione delle credenziali di accesso. La fiducia degli utenti verso questi sistemi dipende non soltanto dalla robustezza tecnologica delle piattaforme, ma anche dalla capacità degli operatori di garantire una gestione rigorosa e conforme dell’intero ciclo di vita dei dati personali.

In un contesto in cui l’identità digitale è destinata ad assumere un ruolo sempre più centrale sia a livello nazionale sia nell’ambito dell’evoluzione del portafoglio europeo di identità digitale previsto dal regolamento eIDAS 2.0, il rispetto delle regole in materia di protezione dei dati rappresenta un requisito essenziale per assicurare affidabilità, sicurezza e fiducia nell’utilizzo dei servizi digitali. Il provvedimento nei confronti di Lepida costituisce quindi un richiamo importante per tutti gli operatori del settore, chiamati a coniugare innovazione, efficienza dei servizi e piena tutela dei diritti fondamentali degli utenti.

Fonte: Key4Biz

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Processo civile e GDPR: la Corte di Giustizia UE chiarisce quando il giudice può utilizzare prove raccolte in violazione della privacy

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy