Non siamo messi bene se il Garante Privacy sanziona AgID per violazione del GDPR

• Il punto di vista
• Giovedì, 18 Giugno 2026 22:12

Che un’autorità amministrativa sanzioni un’agenzia governativa è un fatto assai insolito, specialmente se il destinatario si chiama AgID (Agenzia per l’Italia Digitale), ente pubblico a cui il Governo italiano ha affidato un ruolo centrale nella regolamentazione, promozione e adozione dell’Intelligenza Artificiale nel nostro Paese, e tanto più se l’infrazione riguarda la protezione dei dati personali, materia che impatta in modo particolarmente delicato sull’AI.

Ma questo è proprio quello che emerge dal provvedimento n. 419 del 28 maggio 2026 con cui il Garante per la privacy ha accertato la violazione del GDPR da parte dell’ AgID per l’illiceità dei trattamenti di dati personali da essa effettuati, infliggendole una multa di 55.000 euro.

A finire nel mirino dell’Authority di Piazza Venezia, è stato il trasferimento automatico degli indirizzi PEC dei professionistiitaliani nell’Indice nazionale dei domicili digitali (INAD) effettuato in blocco dall’ AgID, senza però curarsi di fornire adeguata informazione ai diretti interessati, che si sono trovati a loro insaputa inseriti nel registro pubblico dei domicili digitali a cui la PA invia le proprie comunicazioni con valore legale direttamente nella PEC (Posta Elettronica Certificata), alla stregua di una tradizionale raccomandata con ricevuta di ritorno.

Così facendo, molti professionisti italiani non sarebbero stati messi nelle condizioni di conoscere tempestivamente il trasferimento della propria PEC professionale nel nuovo indice e di esercitare, prima della pubblicazione, la facoltà di scegliere un domicilio digitale diverso.

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Il Garante ha ritenuto che tale condotta abbia violato diversi principi cardine del GDPR, tra cui quelli di trasparenza, correttezza, limitazione della finalità, accountability e privacy by design. Secondo il suddetto provvedimento, la PEC originariamente utilizzata per finalità professionali è diventata, di fatto, anche recapito per comunicazioni riguardanti la sfera privata dell’interessato, con il rischio che tali comunicazioni possano essere visualizzate da collaboratori di studio o da soggetti autorizzati ad accedere alla casella professionale.

Particolarmente significativo è il rilievo mosso dal Garante in merito al paradossale mancato rispetto delle stesse Linee guida INAD adottate proprio da AgID. Tali regole prevedevano infatti che i professionisti fossero adeguatamente informati e che fosse loro concesso un periodo di tempo per modificare il domicilio digitale prima della sua pubblicazione. Proprio l’omessa attuazione di queste garanzie è stata considerata una delle principali criticità della vicenda.

La decisione assume un valore che va oltre l’importo economico della sanzione. Da un lato vi è l’Autorità Garante a cui spetta il compito di vigilare sul rispetto delle regole in materia di protezione dei dati personali, mentre dall’altro AgID, l’ente pubblico che ha il compito di guidare e coordinare la trasformazione digitale della pubblica amministrazione. In altre parole, un’autorità pubblica ha accertato violazioni commesse da un’altra amministrazione pubblica che opera proprio nel settore dell’innovazione digitale.

Non siamo messi bene.

di Nicola Bernardi, Presidente di Federprivacy (Fonte: Economy)

Sei già socio Federprivacy? effettua il login e leggi online il numero integrale del mensile Economy di Giugno 2026