Una recensione negativa, un indirizzo di casa e il GDPR che piange

Il caso del provv. n. 591 del 9 ottobre 2025 dell’Autorità Garante per la protezione dei dati personali è emblematico nel rappresentare quanto un’eccessiva leggerezza nel comunicare o, come in questo caso, diffondere dati personali possa comportare una violazione del GDPR.

Tutta colpa di una recensione, verrebbe da dire. O meglio: della risposta data ad una recensione negativa, in cui è stata riportata, come intestazione, nome e cognome nonché l’indirizzo di residenza dell’autore della sopradetta recensione. Autore che si è piuttosto risentito e ha presentato per questo motivo un reclamo al Garante Privacy il quale ha avviato un procedimento sulla possibile illiceità del trattamento dal momento che è stato diffuso un indirizzo di residenza senza una base giuridica valida e per finalità assolutamente divergenti rispetto a quelle per cui era stato legittimamente raccolto.

La difesa della società quale soggetto titolare del trattamento ha però voluto insistere sul fatto che:

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“il reclamato utilizzo del solo indirizzo […] risulta certamente strumentale e necessario da parte di questo titolare del Camping Don Diego a dare doveroso riscontro alla “recensione negativa” sul portale di Google”.

cancellando in seguito all’audizione i dati di residenza in adesione alla richiesta formulata nel reclamo.

La decisione del Garante Privacy.

Non dovrebbe sorprendere più di tanto che il Garante non abbia accolto tale tesi difensiva, confermando così la violazione del principio di liceità e di limitazione della finalità,

in quanto il titolare del trattamento ha diffuso in rete illecitamente l’indirizzo di residenza della reclamante in assenza di idonea base giuridica e per finalità diverse da quelle che ne avevano determinato la relativa raccolta.

I dati personali del reclamante, tra cui rientra anche l’indirizzo di residenza, sono stati infatti raccolti per dare esecuzione a misure precontrattuali e contrattuali per il periodo di soggiorno. Inoltre, come è intuitivo, un riscontro ad una recensione non richiede certo l’intestazione del destinatario se viene fornito come reply.

Facendo riferimento proprio al contesto del trattamento, il Garante ricorda come criterio orientativo, quello fornito dal considerando n. 39 del GDPR che può essere convertito in una domanda che è sempre bene porsi: è davvero necessario trattare quei dati personali per ciò che voglio fare?

Potremmo dire: first think, then process the personal data.

In questo pensare, sarà bene individuare ciò che si vuole fare con i dati e cogliere l’occasione per applicare il principio di minimizzazione in modo hardcore andando a ricercare alternative in cui si conseguono le stesse finalità senza scomodare alcun dato personale. Dopodiché si ricercano soluzioni alternative sempre riducendo al minimo la quantità di dati da impiegare.

Altrimenti, quel che accade è semplicemente l’accettazione del rischio che la modalità di trattamento sia illecita. Come in questo caso che è valso un ammonimento del titolare e la pubblicazione del provvedimento.

Non basta il buon senso.

Attenzione, però, a ritenere che sia sufficiente il buon senso. Perché può rivelarsi un alleato inaffidabile soprattutto quando non si hanno chiare le regole del gioco.

Infatti, la maggior parte di quelle che vengono catalogate come leggerezze si fondano proprio su una mancata consapevolezza di ciò che si può fare e ciò che non si può fare con un dato personale, qualunque esso sia e in qualunque modo sia stato raccolto.

Fun fact: per il titolare sarebbe stato sufficiente rileggere la propria informativa per comprendere i limiti d’impiego di quei dati personali. Dopotutto, nella stessa venivano riportate le attività che ci si proponeva di svolgere e nessuna di queste prevedeva la diffusione dei dati.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore