Il Garante Privacy ha stabilito che la pubblicazione online dell’indirizzo di residenza di un professionista è una pratica illecita

Al momento stai visualizzando Il Garante Privacy ha stabilito che la pubblicazione online dell’indirizzo di residenza di un professionista è una pratica illecita

Pubblicazione indirizzo residenza: il Garante sanziona un Ordine professionale per diffusione illecita dei dati personali di un iscritto all’albo. 

Pubblicare l’indirizzo di residenza online: il caso

Il Garante Privacy ha sanzionato l’Albo dell’Ordine delle Professioni Infermieristiche di Pisa per aver pubblicato online l’indirizzo di residenza di un iscritto all’albo.
L’indirizzo non era richiesto da alcuna norma per la consultazione pubblica dell’albo e non era necessario rispetto alle finalità istituzionali.

Il provvedimento chiarisce un principio essenziale: quando un dato personale non è indispensabile alla finalità perseguita, non può essere diffuso, nemmeno se proviene da un registro pubblico o da informazioni fornite spontaneamente dall’interessato.

Il Garante ha richiamato:

  • il principio di minimizzazione (art. 5.1.c GDPR): devono essere trattati solo i dati adeguati, pertinenti e limitati;
  • il principio di liceità (art. 6 GDPR): la diffusione richiede una base giuridica specifica;
  • la responsabilità del titolare (art. 24 GDPR): l’Ordine doveva valutare la necessità dell’informazione prima della pubblicazione.

La pubblicazione dell’indirizzo su Internet è stata considerata una diffusione non giustificata, con un impatto significativo sui diritti e le libertà dell’interessato.

Cosa dicono le norme: quando un dato può essere reso pubblico

Molti Ordini professionali pubblicano albi e elenchi online. Tuttavia, il GDPR stabilisce che:

  • solo i dati realmente necessari allo scopo istituzionale possono essere resi visibili;
  • la trasparenza non deve trasformarsi in esposizione ingiustificata di informazioni personali;
  • i dati eccedenti (come la residenza privata) devono essere esclusi o resi consultabili solo con accesso ristretto.

Secondo il Garante per la Protezione dei Dati Personali, l’indirizzo di residenza non rientra tra i dati obbligatori per la funzione di certificazione dell’albo: la reperibilità del professionista può essere garantita tramite PEC, domicilio professionale o altre informazioni idonee, senza esporre l’abitazione privata.

I rischi concreti della pubblicazione dell’indirizzo

La diffusione online dell’indirizzo di residenza espone il professionista a rischi elevati:

  • uso improprio dei dati per scopi commerciali o aggressivi;
  • profilazioni indesiderate o incroci con altri database;
  • rischio fisico o patrimoniale, poiché il dato identifica il luogo di vita dell’interessato;
  • assenza di controllo sulla replicazione del dato su siti terzi e archivi non ufficiali.

Il Garante, nel provvedimento, ha sottolineato come la diffusione su Internet amplifichi in modo irreversibile l’impatto della violazione.

La decisione del Garante: una violazione con sanzione da 16.000 euro

Il Garante per la protezione dei dati personali ha accertato che la pubblicazione online dell’indirizzo di residenza di un professionista iscritto all’albo dell’Ordine delle Professioni Infermieristiche di Pisa costituiva una diffusione illecita di dati personali, in violazione dei principi di liceità e minimizzazione (art. 5.1.a e 5.1.c GDPR), della base giuridica (art. 6 GDPR) e dell’art. 2-ter del Codice Privacy.

Per questa condotta, il Garante ha ordinato una sanzione amministrativa pecuniaria di 16.000 euro, imponendo inoltre la rimozione immediata dell’indirizzo e la pubblicazione del provvedimento sul sito dell’Autorità.

Il caso conferma un principio essenziale: l’indirizzo di residenza è un dato personale che non può essere diffuso online senza una base normativa specifica e una chiara necessità rispetto alle finalità istituzionali dell’albo.

Buone pratiche per le aziende

Il caso evidenzia la necessità di un approccio più rigoroso al trattamento dei dati pubblicati online. Alcune misure essenziali:

  • pubblicare solo i dati strettamente necessari alla funzione professionale;
  • distinguere tra domicilio professionale (pubblicabile) e residenza privata (da tutelare);
  • verificare la presenza di una base normativa che renda obbligatoria la diffusione;
  • applicare controlli periodici sulle informazioni già pubblicati per rimuovere dati eccedenti;
  • prevedere sistemi di accesso graduale o ristretto quando necessario.

La responsabilità del titolare è centrale: ogni informazione resa pubblica deve essere supportata da una motivazione chiara, documentata e proporzionata.

E’ possibile leggere il provvedimento completo del Garante per la Protezione dei Dati Personali cliccando qui.

Vuoi un supporto professionale nella gestione della privacy? Il team GDPRLab ti assiste nella gestione dei dati personali e nella conformità al GDPR. 

Contattaci per una consulenza