Con il provvedimento n. 585/2025, il Garante per la protezione dei dati personali ha sanzionato l’Ordine delle Professioni Infermieristiche di Pisa per l’illecita diffusione online degli indirizzi di residenza dei propri iscritti.
La decisione assume una certa rilevanza per due ordini di fattori. In ballo non c'è solo il rispetto della normativa sul corretto trattamento dei dati personali, ma anche la concreta esigenza di tutelare la riservatezza di una categoria sempre più spesso sottoposta a frequenti episodi di aggressione e minaccia.
Il provvedimento ribadisce, altresì, la necessità di adottare rimedi tempestivi che vadano oltre la mera rimozione della fonte da cui proviene l’illecita diffusione dei dati. Risulta indispensabile attivare procedure, quali la deindicizzazione dai motori di ricerca e la rimozione delle copie cache, al fine di neutralizzare la persistenza dell'informazione e limitare il pregiudizio per gli interessati.
L’ istruttoria - L’istruttoria del provvedimento prende il via dal reclamo di una professionista, la quale ha segnalato la presenza del proprio indirizzo di residenza all’interno dell’albo professionale liberamente scaricabile dal sito istituzionale dell’ente. In una prima fase interlocutoria, l’ Ordine aveva giustificato tale pubblicazione richiamando esigenze di trasparenza e completezza informativa nei confronti di datori di lavoro e Pubbliche Amministrazioni che normalmente contraddistinguono la pubblicità degli albi professionali. Dalle verifiche preliminari dell’ Autorità, emergeva, però, l’ che l’Ordine aveva reso accessibile un elenco contenente dati eccedenti rispetto al pubblico interesse sotteso alla tenuta degli albi.
Solo a seguito dell’intervento del Garante, l’Ordine aveva avuto modo di modificare la propria condotta, rimuovendo il file e pubblicando una versione "minimizzata" contenente i soli dati essenziali (nominativo, dati di nascita, data iscrizione e numero posizione), dichiarando che il riferimento al "domicilio", presente nella versione contestata, coincideva con la residenza anagrafica.
La cancellazione, e il successivo upload del file minimizzato, non si è rivelata sufficiente per evitare la contestazione del Garante, che ha notificato l’avvio del procedimento sanzionatorio per violazione dei principi di liceità, correttezza, trasparenza e minimizzazione (artt. 5, 6 GDPR e 2-ter del Codice Privacy).
Duplice errore materiale - Nelle memorie difensive presentate ex art. 58 GDPR, l’Ordine ha modificato la linea argomentativa iniziale, riconducendo l'accaduto non più a una scelta di trasparenza, bensì a un mero errore materiale. Secondo la ricostruzione difensiva, un addetto avrebbe erroneamente effettuato l'upload del file ad uso amministrativo interno, a causa di una denominazione simile con il documento contenente dati minimizzati per la pubblicità dell’ albo sul web. L’Ordine ha sostenuto poi di aver rimosso il file non conforme poco dopo la pubblicazione e ha attribuito la persistente reperibilità del dato online a fattori tecnici esterni, specificamente all'indicizzazione automatica e alla creazione di copie cache da parte dei motori di ricerca, concludendo che la visibilità residua non dipendeva dalla propria volontà.
Le conclusioni del Garante: minimizzazione e diritto all’ oblio - L’Autorità ha ritenuto le difese dell'Ordine non idonee a superare le contestazioni, confermando l’illiceità del trattamento.
Nel provvedimento il Garante ricorda che , sebbene il regolamento recante la disciplina dell’ ordine ( D.P.R. n. 221/1950) menzioni il "domicilio" tra i dati dell'albo, le norme nazionali antecedenti al GDPR devono essere rilette alla luce del principio di minimizzazione dei dati e della giurisprudenza della Corte di Giustizia UE. La finalità di pubblicità dell’albo, ossia permettere ai cittadini di verificare l'abilitazione del professionista, è pienamente soddisfatta mediante i soli dati identificativi anagrafici. La diffusione della residenza non è "necessaria" ai sensi dell'art. 6, par. 1, lett. e) del GDPR e rappresenta un'ingerenza sproporzionata nella vita privata, tanto più se si considerano i rischi concreti e attuali a cui vengono esposti i professionisti sanitari per il crescente fenomeno delle aggressioni e delle minacce nei confronti della categoria.
Il Garante ha censurato la condotta dell'Ordine anche sotto il profilo della tempestività. Nonostante l'errore di pubblicazione fosse stato corretto sul sito, l'ente non ha agito con immediatezza per rimuovere la copia cache dai motori di ricerca. Tale inerzia ha prolungato la diffusione illecita dei dati di circa 3.600 iscritti, rendendo l'informazione accessibile nonostante la rimozione del file sorgente.
Tenuto conto dell'elevato numero di interessati e della natura delicata del dato, il procedimento si è concluso con l’irrogazione di una sanzione amministrativa pecuniaria di 16.000 euro e la pubblicazione del provvedimento come sanzione accessoria.
Rilievi conclusivi - Il provvedimento n. 585/2025 evidenzia la necessità di adeguare anche processi semplici come la pubblicazione di contenuti on line in ottica di accountability.
La natura di "errore materiale" dell'evento non esclude, infatti, la responsabilità del Titolare e conferma l'importanza di adottare misure di Data Protection by Design , per mitigare i rischi legati al fattore umano e prevenire il caricamento di dataset non minimizzati.
La gestione operativa del data breach non coincide con la sola rimozione del file dal server ma è necessario un ulteriore step di verifica dell'indicizzazione sui motori di ricerca, considerando la permanenza dei dati nelle cache come parte integrante della violazione del diritto dell’ interessato ad ottenere la cancellazione dei dati personali ex art. 17 GDPR .
È necessario, pertanto , intervenire tempestivamente mediante gli strumenti di deindicizzazione e rimozione dei contenuti obsoleti (URL removal tools e Google Search Console ), assicurando l'effettività del diritto all’oblio e limitando il periodo di esposizione dei dati.