Pubblicazione dell’indirizzo di residenza nell’albo professionale: il garante ne stabilisce l’illeggitimità

A cura di Rosalisa Lancia, Direttore Area Formazione e Consulenza di Legislazione Tecnica

Con un recente provvedimento del 9 ottobre 2025, il Garante per la protezione dei dati personali ha sanzionato un Ordine delle Professioni Infermieristiche per aver pubblicato online l’indirizzo di residenza dei propri iscritti. Il caso offre l’occasione per riflettere sul rapporto tra disciplina ordinistica (in questo caso DPR 221/1950 regolante le professioni sanitarie) e principi del GDPR, nonché sulle reali esigenze informative degli albi professionali.

Fattispecie

Un professionista iscritto ad un OPI ha presentato reclamo al Garante dopo aver riscontrato che, nell’albo pubblicato sul sito istituzionale dell’Ordine, compariva anche il proprio indirizzo di residenza.
In una prima fase l’Ordine ha giustificato la pubblicazione richiamando l’art. 3 del DPR 221/1950, che prevede l’indicazione del “domicilio” dell’iscritto. Successivamente ha modificato la propria versione dei fatti, sostenendo che la pubblicazione dell’albo “completo” — contenente anche il dato sulla residenza — fosse avvenuta per un errore materiale di una dipendente, il quale avrebbe portato all’esposizione del file sul sito per alcune ore. Sebbene rimosso, il documento era stato indicizzato dai motori di ricerca, restando accessibile per un periodo significativo.
La Federazione nazionale, coinvolta dal Garante, ha confermato di non pubblicare la residenza negli elenchi nazionali e di non aver mai ricevuto indicazioni ministeriali che imponessero tale diffusione.

La posizione del Garante

Il Garante ha ricostruito in modo sistematico il quadro normativo, secondo i seguenti passaggi:

1. Base giuridica e limiti del GDPR

Gli Ordini professionali, quali enti pubblici, possono trattare e diffondere dati solo se ciò è:

• previsto da una norma di legge (art. 6, par.1, lett. c, GDPR), oppure
• necessario per un compito di interesse pubblico (art. 6, par.1, lett. e, GDPR).

In considerazione dei principi di cui all’art. 5 del GDPR, anche quando la legge prevede l’inserimento di determinati dati in un albo, la loro diffusione online deve rispettare i principi di minimizzazione, proporzionalità e necessità.

2. “Domicilio” non equivale a “residenza privata”

Il riferimento al “domicilio” nel DPR 221/1950, utilizzato in via prioritaria dall’Ordine a supporto della correttezza del proprio operato, non può essere interpretato come autorizzazione alla pubblicazione della residenza. Ed infatti:

• la residenza è un dato non necessario all’identificazione professionale;
• scopo della pubblicazione nell’albo è quello di consentire a terzi la verifica dell’iscrizione;
• la Federazione di livello nazionale, benchè vincolata alla stessa normativa, non pubblica il dato relativo alla residenza, così come altri dati pur previsti nella norma del 1950 ma ora considerabili superati (come la “paternità”).

3. Rischi connessi alla diffusione

Rispetto al dato in pubblicazione, il Garante ne contesta la necessità e la pertinenza argomentando che la diffusione dell’indirizzo comporterebbe un’ingerenza molto intensa nella vita privata, esporrebbe gli iscritti a rischi di sicurezza (furto d’identità, aggressioni, stalking), potrebbe diventare potenzialmente illimitata a causa dell’indicizzazione da parte dei motori di ricerca.

Il Garante, nella trattazione del caso, ha inoltre evidenziato tre elementi poi determinanti nella quantificazione della sanzione, ovvero:

• scarsa collaborazione istruttoria per aver mutato condotta difensiva in corso di procedimento
• ricostruzioni dei fatti variabili;
• ritardo nell’attivarsi per la rimozione dalle cache dei motori di ricerca.

Il provvedimento sanzionatorio

Il Garante ha dichiarato illecita la diffusione dei dati di residenza e ha accertato la violazione:

• dell’art. 5, par.1, lett. a) del GDPR (liceità, correttezza, trasparenza);
• dell’art. 5, par.1, lett. c) del GDPR (minimizzazione);
• dell’art. 6, par.1, lett. e e par. 2–3 del GDPR (assenza di base giuridica adeguata);
• dell’art. 2-ter del Codice Privacy.

irrogando una sanzione pecuniaria di 16.000 euro, con obbligo di pubblicazione del provvedimento sul sito del Garante.

Istruzioni per gli Ordini professionali

Dalla decisione emergono indicazioni operative di carattere generale, sicuramente idonee ad essere integrate in una policy sul trattamento dei dati personali da parte degli enti esponenziali di categoria. In particolare, gli Ordini sono tenuti a:

• Pubblicare solo i dati strettamente necessari quali nome e cognome, data e luogo di nascita, numero e anno di iscrizione.
• Non pubblicare la residenza privata posto che non è un dato necessario e la sua diffusione online viola il GDPR.
• Preferire, se necessario, il domicilio professionale: nei soli casi in cui la disciplina settoriale lo richieda, esso deve essere inteso come luogo di esercizio dell’attività, non come abitazione privata.
• Applicare una lettura “aggiornata” del DPR 221/1950, reinterpretando norme risalenti alla luce dei principi europei.
• Gestire correttamente cache, versioni e indicizzazione, ovvero rimuovere tempestivamente file errati; richiedere la deindicizzazione a Google e ad altri motori; impedire l’indicizzazione dei file interni tramite robots.txt, header noindex o repository riservati.

Rilevanza del provvedimento

Il caso, specificamente derivato dalle professioni sanitarie, ha impatto su tutti gli Ordini professionali, perché:

• rafforza l’orientamento secondo cui l’albo online è soggetto a minimizzazione e necessità;
• chiarisce definitivamente che la residenza privata non è pubblicabile;
• impone agli Ordini di riesaminare i propri regolamenti e le proprie prassi di pubblicazione;
• si pone come precedente rilevante per altri reclami simili già emergenti in vari settori ordinistici.