La autoridad italiana de protección de datos, el Garante per la protezione dei dati personali, ha sancionado el funcionamiento de la aplicación Aldilapp por un uso indebido de datos personales derivado de la combinación de servicios institucionales, funcionalidades sociales y actividades comerciales en una misma plataforma.
Según la información publicada en la newsletter oficial del Garante el 9 de marzo de 2026, la autoridad ha dictado varios provvedimenti de 12 de febrero de 2026 —entre ellos el docweb 10225195— en los que se analiza el modelo de negocio de la aplicación, distribuida en Italia por la empresa Stup y utilizada por distintos municipios y gestores de servicios cimiteriales.
La aplicación permitía localizar sepulturas en cementerios municipales, pero incorporaba adicionalmente funcionalidades sociales y comerciales, como la creación automática de “perfiles digitales” de personas fallecidas a partir de bases de datos públicas, así como la posibilidad de interactuar con dichos perfiles mediante mensajes, dedicatorias o servicios asociados. El Garante considera que este diseño genera un tratamiento excesivo y confuso, al no separar adecuadamente las distintas finalidades del tratamiento.
En particular, la autoridad subraya que la utilización de una única plataforma para fines institucionales, sociales y comerciales puede inducir a los usuarios a pensar que todos los tratamientos son responsabilidad de la administración pública, lo que distorsiona la transparencia y dificulta la correcta identificación de roles y responsabilidades. Asimismo, aprecia deficiencias en la base jurídica de los tratamientos y en las medidas de seguridad aplicadas.
Como consecuencia, el Garante ha impuesto sanciones económicas a los distintos actores implicados, fijando multas de 6.000 euros a Stup, 3.000 euros al Comune di Ancona, 2.000 euros al Comune di Velletri y 2.500 euros a los gestores de servicios cimiteriales.
Desde una perspectiva de compliance, este caso resulta especialmente relevante para proyectos de digitalización pública, plataformas híbridas y soluciones que combinan servicios institucionales con capas sociales o comerciales, ya que pone de relieve la necesidad de separar claramente las finalidades del tratamiento, definir con precisión los roles de responsable y encargado, y garantizar la transparencia hacia los usuarios.
En definitiva, la resolución del Garante confirma que la reutilización de datos procedentes de fuentes públicas —incluso en contextos sensibles como el ámbito funerario— no legitima por sí misma su explotación en modelos híbridos, y que la mezcla de finalidades sin una arquitectura jurídica clara puede derivar en infracciones del RGPD.
Newsletter oficial del Garante (9 marzo 2026):
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10228173
Provvedimento principal (docweb 10225195):
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10225195
