Il Garante per la protezione dei dati personali ha inflitto una sanzione a Lepida S.c.p.A., uno dei principali gestori dell’identità digitale SPID in Italia. Il provvedimento, che va oltre il semplice aspetto economico, accende i riflettori su alcuni pilastri del GDPR spesso trascurati: privacy by design, minimizzazione dei dati e sicurezza. Una lezione per tutte le organizzazioni, anche per quelle che il GDPR pensano di conoscerlo bene.
Il contesto: Lepida e il ruolo nei servizi digitali italiani
Lepida è una società in-house della Regione Emilia-Romagna che fornisce servizi digitali a pubbliche amministrazioni e cittadini. Gestisce un’ampia fetta delle identità SPID, il sistema pubblico di identità digitale usato da milioni di italiani per accedere a servizi online. In questo ruolo, tratta quotidianamente dati personali su larga scala, rendendo cruciale il rispetto rigoroso del GDPR.
Le violazioni contestate: dalla minimizzazione alla sicurezza
Secondo il Garante, Lepida ha violato diversi principi cardine del Regolamento europeo. In particolare, non ha rispettato gli obblighi di privacy by design e by default, ossia non ha integrato la protezione dei dati sin dalla fase di progettazione dei servizi. Sono emerse criticità nella minimizzazione dei dati, raccogliendo informazioni non necessarie, e nella limitazione della conservazione, trattenendo i dati oltre il tempo previsto. A questo si aggiungono lacune nelle misure di sicurezza, che hanno esposto i dati degli utenti a rischi evitabili.
L’ironia di chi insegna il GDPR
Il caso assume contorni quasi paradossali: Lepida, oltre a erogare servizi, è anche un ente formatore accreditato che tiene corsi sul GDPR. Un elemento che rende la sanzione ancora più significativa e che il Garante non ha mancato di sottolineare. Dimostra come la conformità normativa non possa ridursi a un esercizio teorico: i principi vanno applicati nella pratica quotidiana, a tutti i livelli dell’organizzazione.
Oltre la sanzione: cosa insegna il provvedimento
Il provvedimento non si limita a comminare una multa, ma impone a Lepida di adottare misure correttive specifiche e di rivedere i processi interni. Sottolinea il valore della privacy by design come approccio obbligatorio, non opzionale, per chiunque tratti dati personali. In un’epoca di digitalizzazione accelerata, il messaggio è chiaro: la protezione dei dati va costruita dentro l’architettura dei servizi, non aggiunta in seguito come semplice formalità burocratica.
Cosa significa per chi legge
Per le aziende e le PA che trattano dati, questo caso offre tre spunti concreti. Primo, verificare che i propri sistemi siano progettati applicando i criteri di minimizzazione e di limitazione della conservazione. Secondo, investire in sicurezza reale e non solo documentale, con audit periodici e test di vulnerabilità. Terzo, formare il personale non solo sulla teoria, ma sulla pratica quotidiana della protezione dati. Il GDPR si rispetta con i fatti, non solo con le slide.