PA e GDPR: i rischi dell’ufficio stampa e il danno erariale

Nella complessa realtà della Pubblica Amministrazione italiana, la gestione della privacy e la conformità al GDPR viene spesso percepita come un adempimento formale, finché l’intervento delle Autorità non mette in luce quanto sia sottile il confine tra le prassi consolidate (il “si è sempre fatto così”) e le responsabilità previste dalle norme. 

La sentenza n. 10 del 14 gennaio 2026 della Corte dei conti (Sez. Veneto) ha fissato un punto fermo: l’assenza di una data governance strutturata rende l’errore non più una semplice “svista”, ma una scelta consapevole di esposizione al rischio. 

Senza un sistema certificato per il controllo dei consensi e l’aggiornamento dei dati, l’ente pubblico è esposto a responsabilità dirette, perdite economiche e potenziale danno erariale per sanzioni pagate con risorse pubbliche a causa di negligenze organizzative.

I rischi maggiori emergono quando gli uffici stampa utilizzano mailing list costruite in modo “artigianale”, con file Excel passati da un responsabile all’altro o addirittura registrando in contatti nelle rubriche di Outlook.

La gestione fai da te non va d’accordo con la compliance GDPR e porta dritto a quattro criticità che possono trasformarsi in sanzioni pecuniarie.

Nel caso dell’invio di comunicati stampa, la base giuridica per la raccolta e l’utilizzo dei dati è il legittimo interesse. Molto spesso gli enti ritengono che questo interesse sussista perché il giornalista gli ha lasciato il suo biglietto da visita. È in parte vero ma con alcune riserve.

La prima è che l’ente ha l’obbligo di documentare quando e perché detiene e utilizza un dato un dato, in questo caso quando e perché il giornalista ha lasciato il suo biglietto. La seconda è che il legittimo interesse va attualizzato: se inviamo un comunicato stampa a un giornalista per informarlo di un progetto di efficientamento energetico e quel giornalista è passato ad occuparsi di sport, viene meno il legittimo interesse e si diventa passibili di sanzioni. C’è poi un terzo aspetto che riguarda l’efficacia dei lanci stampa: utilizzando solo i nominativi dei giornalisti che si ha l’occasione di conoscere direttamente, si rinuncia a raggiungere un gran numero di media e giornalisti che invece potrebbero essere interessati. 

Il report “Giornalisti e uffici stampa 2026” rivela che 89 comunicati stampa su 100 risultano non pertinenti agli argomenti trattati dai giornalisti. 

Il richiamo alla pertinenza e la necessità di utilizzare liste di contatti che garantiscano la compliance, è trasversale a tutti gli addetti stampa, compresi quelli che operano per la PA.

Il report evidenzia anche che i giornalisti non subiscono passivamente la non pertinenza dei comunicati che ricevono:

• il 52% dei giornalisti chiede di essere rimosso dalle mailing list non pertinenti 
• e circa il 24% blocca direttamente il mittente. 

Per una PA, finire in una blacklist significa interrompere un pubblico servizio di informazione.

Quando un giornalista chiede la cancellazione dalla lista sta esercitando un diritto previsto dal GDPR.

Se non si procede tempestivamente alla cancellazione, magari perché non si sta utilizzando un sistema che provveda alla cancellazione in automatico, il rischio di contestazioni e sanzioni è concreto e le multe possono raggiungere importi significativi per il bilancio di un ente locale.

Se l’ente non fornisce gli strumenti corretti al proprio ufficio stampa, la Corte dei Conti può ravvisare la colpa grave nella mancanza di un sistema di governance da parte dei vertici e il danno economico derivante da una sanzione del Garante della privacy ricade sulla struttura organizzativa che non ha adottato misure preventive adeguate (come l’acquisto di software certificati).

Se l’ente non fornisce gli strumenti corretti al proprio ufficio stampa, la Corte dei Conti può ravvisare la colpa grave nella mancanza di un sistema di governance da parte dei vertici. In sostanza, il danno economico derivante da una sanzione del Garante ricade sulla struttura organizzativa se questa non ha adottato misure preventive adeguate (come l’acquisto di software certificati).

In questo scenario, il 52% dei giornalisti chiede di essere rimosso dalle mailing list non pertinenti e circa il 24% arriva a bloccare direttamente il mittente. Per una PA, finire in una blacklist significa interrompere un pubblico servizio di informazione, aggravando la posizione dell’ente.

Per garantire la sicurezza legale dell’ente, senza gravare sulle risorse interne, la soluzione più efficiente è adottare un servizio esterno che offra adeguate garanzie.

Mediaddress è l’applicazione all-in-one che semplifica e ottimizza l’intero flusso di lavoro degli addetti stampa e che, con riferimento al GDPR, si fa carico di garantire la compliance, sollevando gli enti da rischi e gravami burocratici.

Mediaddress è Titolare della raccolta e del Trattamento dei 40.000 contatti presenti nel suo database. In questo modo il Comune si mette al riparo da multe, contestazioni e rischio di danno erariale.

Mediaddress effettua ogni anno oltre 170.000 verifiche, 80.000 aggiornamenti e analizza 3,7 milioni di articoli per attualizzare il legittimo interesse. In questo modo l’addetto stampa non deve preoccuparsi della correttezza dei dati e può concentrarsi sulla qualità dell’informazione.

Mediaddress è la prima e unica azienda del settore certificata sia per la qualità del dato (ISO 9001) che per la sicurezza delle informazioni (ISO 27001). Questo permette agli enti abbonati di dimostrare la massima diligenza nella scelta dei fornitori, evitando la culpa in vigilando.