Una recensione negativa, un indirizzo di casa e il GDPR che piange

Il caso del provv. n. 591 del 9 ottobre 2025 dell’Autorità Garante per la protezione dei dati personali è emblematico nel rappresentare quanto un’eccessiva leggerezza nel comunicare o, come in questo caso, diffondere dati personali possa comportare una violazione del GDPR.

Tutta colpa di una recensione, verrebbe da dire. O meglio: della risposta data ad una recensione negativa, in cui è stata riportata, come intestazione, nome e cognome nonché l’indirizzo di residenza dell’autore della sopradetta recensione. Autore che si è piuttosto risentito e ha presentato per questo motivo un reclamo al Garante Privacy il quale ha avviato un procedimento sulla possibile illiceità del trattamento dal momento che è stato diffuso un indirizzo di residenza senza una base giuridica valida e per finalità assolutamente divergenti rispetto a quelle per cui era stato legittimamente raccolto.

La difesa della società quale soggetto titolare del trattamento ha però voluto insistere sul fatto che:

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“il reclamato utilizzo del solo indirizzo […] risulta certamente strumentale e necessario da parte di questo titolare del Camping Don Diego a dare doveroso riscontro alla “recensione negativa” sul portale di Google”.

cancellando in seguito all’audizione i dati di residenza in adesione alla richiesta formulata nel reclamo.

La decisione del Garante Privacy.

Non dovrebbe sorprendere più di tanto che il Garante non abbia accolto tale tesi difensiva, confermando così la violazione del principio di liceità e di limitazione della finalità,

in quanto il titolare del trattamento ha diffuso in rete illecitamente l’indirizzo di residenza della reclamante in assenza di idonea base giuridica e per finalità diverse da quelle che ne avevano determinato la relativa raccolta.

I dati personali del reclamante, tra cui rientra anche l’indirizzo di residenza, sono stati infatti raccolti per dare esecuzione a misure precontrattuali e contrattuali per il periodo di soggiorno. Inoltre, come è intuitivo, un riscontro ad una recensione non richiede certo l’intestazione del destinatario se viene fornito come reply.

Facendo riferimento proprio al contesto del trattamento, il Garante ricorda come criterio orientativo, quello fornito dal considerando n. 39 del GDPR che può essere convertito in una domanda che è sempre bene porsi: è davvero necessario trattare quei dati personali per ciò che voglio fare?

Potremmo dire: first think, then process the personal data.

In questo pensare, sarà bene individuare ciò che si vuole fare con i dati e cogliere l’occasione per applicare il principio di minimizzazione in modo hardcore andando a ricercare alternative in cui si conseguono le stesse finalità senza scomodare alcun dato personale. Dopodiché si ricercano soluzioni alternative sempre riducendo al minimo la quantità di dati da impiegare.

Altrimenti, quel che accade è semplicemente l’accettazione del rischio che la modalità di trattamento sia illecita. Come in questo caso che è valso un ammonimento del titolare e la pubblicazione del provvedimento.

Non basta il buon senso.

Attenzione, però, a ritenere che sia sufficiente il buon senso. Perché può rivelarsi un alleato inaffidabile soprattutto quando non si hanno chiare le regole del gioco.

Infatti, la maggior parte di quelle che vengono catalogate come leggerezze si fondano proprio su una mancata consapevolezza di ciò che si può fare e ciò che non si può fare con un dato personale, qualunque esso sia e in qualunque modo sia stato raccolto.

Fun fact: per il titolare sarebbe stato sufficiente rileggere la propria informativa per comprendere i limiti d’impiego di quei dati personali. Dopotutto, nella stessa venivano riportate le attività che ci si proponeva di svolgere e nessuna di queste prevedeva la diffusione dei dati.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore