PA e GDPR: i rischi dell'ufficio stampa e il danno erariale

Nella complessa realtà della Pubblica Amministrazione italiana, la gestione della privacy è spesso vissuta come una sfida burocratica che si aggiunge ai numerosi compiti quotidiani. Spesso, la conformità al GDPR viene percepita come un adempimento formale, finché l’intervento delle Autorità non mette in luce quanto sia sottile il confine tra le prassi consolidate (il «si è sempre fatto così») e le responsabilità previste dalla norma.

Oggi il quadro normativo e giurisprudenziale è cambiato drasticamente. La sentenza n. 10 del 14 gennaio 2026 della Corte dei conti (Sez. Veneto) ha fissato un punto fermo: l’assenza di una data governance strutturata rende l’errore non più una semplice “svista”, ma una scelta consapevole di esposizione al rischio. Per un Comune, questo può significare configurare un potenziale danno erariale per sanzioni pagate con risorse pubbliche a causa di negligenze organizzative.

Il rischio maggiore emerge quando gli uffici stampa utilizzano mailing list costruite in modo “artigianale” (file Excel o rubriche Outlook locali) senza una verifica strutturata del consenso. Il GDPR non ammette l’autogestione; emergono infatti tre criticità che possono trasformarsi in sanzioni pecuniarie:

• La tracciabilità del consenso: L’ente ha l’obbligo di documentare quando e perché un dato è in suo possesso. Nel 2026, la “pertinenza” è la prima difesa: la ricerca “Giornalisti e uffici stampa 2026” rivela che l’81% dei giornalisti non legge i comunicati ricevuti proprio per mancanza di pertinenza. Per la PA, inviare una notizia irrilevante non è solo un errore di comunicazione, ma una potenziale violazione del principio di finalità del trattamento dati.
• La gestione dei diritti degli interessati: Se un giornalista cambia testata o chiede la cancellazione e il sistema non è aggiornato in tempo reale, il rischio di sanzioni è concreto. Le multe possono raggiungere cifre significative per il bilancio di un ente locale.
• La frammentazione delle responsabilità: Senza procedure formalizzate, il Comune rischia di pagare la sanzione senza potersi rivalere sui responsabili, a causa della mancanza di formazione e strumenti idonei forniti ai dipendenti.

Se l’ente non fornisce gli strumenti corretti al proprio ufficio stampa, la Corte dei Conti può ravvisare la colpa grave nella mancanza di un sistema di governance da parte dei vertici. In sostanza, il danno economico derivante da una sanzione del Garante ricade sulla struttura organizzativa se questa non ha adottato misure preventive adeguate (come l’acquisto di software certificati).

In questo scenario, il 52% dei giornalisti chiede di essere rimosso dalle mailing list non pertinenti e circa il 24% arriva a bloccare direttamente il mittente. Per una PA, finire in una blacklist significa interrompere un pubblico servizio di informazione, aggravando la posizione dell’ente.

Per garantire la sicurezza legale, l’unica via è esternalizzare la gestione del dato a partner qualificati. Mediaddress è un ecosistema progettato per sollevare la PA dagli oneri più rischiosi:

1. Titolari della raccolta: Mediaddress si fa carico di raccogliere i dati e fornire l’informativa. Il Comune è sollevato dall’obbligo del consenso iniziale per i giornalisti censiti.
2. Aggiornamento in tempo reale: Solo nel 2025, Mediaddress ha effettuato oltre 49.000 verifiche e 26.000 aggiornamenti. Questo elimina il rischio di usare mailing list obsolete sui singoli PC.
3. Sicurezza ISO 27001: La certificazione per la sicurezza delle informazioni permette al Comune di dimostrare la massima diligenza (evitando la culpa in vigilando).
4. Limitazione di responsabilità: Utilizzando la piattaforma, la responsabilità sulla legittimità della detenzione del dato ricade su Mediaddress, permettendo all’addetto stampa di concentrarsi sulla qualità dell’informazione.

A cura dell’ Avvocato Gaia Morelli

• I tre principali obblighi del titolare del trattamento
• Un’agenzia di comunicazione può utilizzare una propria lista di contatti e che ruolo riveste?
• Il consenso deve essere informato ed esplicito?