06.5921743
consulenza@legislazionetecnica.it
Garante Privacy

Gestione illecita dei dati personali ed e-mail di un ex docente: la posizione del Garante Privacy

Con provvedimento del 10 luglio u.s., il Garante Privacy ha sanzionato un Ateneo dopo aver accertato una pluralità di violazioni del Regolamento UE 2016/679 (GDPR) e del Codice Privacy ai danni di un docente.

Violazioni contestate dal reclamante

Nel caso in esame, il reclamante lamentava diverse violazioni compiute dall’ Università quali:

  1. Mancato riscontro ad un’istanza di esercizio dei diritti – Il reclamante aveva richiesto conferma circa l’esistenza o meno di un’attività di trattamento dei propri dati personali tramite il sito web dell’Ateneo, nonché la cancellazione dei dati a seguito della cessazione del rapporto di lavoro e a tale richiesta non era stato dato seguito;
  2. Diffusione online di dati personali – L’Ateneo aveva pubblicato sul proprio sito documenti contenenti dati personali del reclamante, tra cui una nota di trasmissione e un parere del Consiglio di Dipartimento;
  3. Mancata disattivazione della casella e-mail istituzionale – Sebbene il rapporto di lavoro fosse cessato, l’Ateneo si era limitato a bloccare l’account di posta elettronica assegnato al reclamante, lasciando attiva la casella e conservando i messaggi in entrata e in uscita;
  4. Parziale inadempimento alle richieste di cancellazione – Il reclamante aveva chiesto la cancellazione e l’oscuramento dai motori di ricerca e dal sito dei propri dati personali; l’Ateneo aveva eseguito solo parzialmente la cancellazione e in ritardo rispetto ai termini previsti dal GDPR.

Rilievi del Garante

A seguito dell’istruttoria, il Garante ha riscontrato le seguenti violazioni:

  • Violazione dell’art. 12, parr. 3 e 4, GDPR: mancata risposta tempestiva all’istanza di esercizio dei propri diritti

L’Autorità sottolinea che l’università non ha fornito riscontro all’istanza entro il termine di un mese previsto dal GDPR, né ha informato l’interessato della proroga o dei motivi del ritardo. La circostanza che la mail di richiesta di esercizio fosse finita nella cartella di spam non esonera il titolare del trattamento dal dovere di una gestione corretta delle comunicazioni e dalla conseguente responsabilità.

Inoltre, l’Ateneo non ha fornito un riscontro completo alle specifiche richieste del reclamante, in particolare non ha confermato la sussistenza o meno del trattamento dei dati personali, confermando esclusivamente la presenza di numero elevato di istanze di accesso del reclamante e di un contenzioso in essere con quest’ultimo che, di fatto, avrebbero gravato sull’attività dell’Ateneo;

  • Violazione degli artt. 5, par. 1, lett. a) e b) e 6 GDPR e art. 2-ter del Codice Privacy: diffusione illecita di dati personali online

L’Autorità sottolinea che l’Ateneo ha pubblicato sul sito istituzionale documenti contenenti dati personali del reclamante in assenza di una base giuridica adeguata e in difformità ai principi di liceità, correttezza e trasparenza.

In particolare, sono stati pubblicati documenti endoprocedimentali (nota di trasmissione del Dipartimento di Economia e Giurisprudenza ed annesso parere del Consiglio per l’attribuzione dell’incarico di insegnamento) non rientrati nei documenti di cui è richiesta la pubblicazione ai sensi dell’ art. 19 D.lgs. 33/2013 – che consente la pubblicità dei provvedimenti e delle graduatorie finali, nonché degli altri atti riguardanti i concorsi, le prove selettive e le progressioni di carriera ma che non richiede la pubblicazione degli atti interni della procedura selettiva contenenti i dati personali dei candidati.

  • Violazione degli artt. 5, par. 1, lett. a) e b) e 6 GDPR: illegittima gestione delle caselle di posta elettronica

L’Autorità evidenzia che l’Ateneo ha mantenuto attiva la casella di posta elettronica del reclamante per un determinato intervallo di tempo successivo alla cessazione del rapporto di lavoro; solo in un secondo momento, l’Università ha configurato un sistema automatico di risposta per informare i terzi e fornire recapiti alternativi a cui inviare eventuali comunicazioni afferenti all’attività di docenza.

Rispetto al coretto utilizzo della posta elettronica nel contesto lavorativo, il Garante richiama le Linee guida del Garante per posta elettronica e internet (Delibera n. 13/2007), evidenziando che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un ulteriore protezione deriva dalle norme penali a tutela dell’inviolabilità dei segreti”.

Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussiste una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza ed un livello di tutela tale da impedire interferenze ingiustificate sui diritti fondamentali dei lavoratori, dei terzi mittenti e/o dei destinatari delle medesime comunicazioni.

  • Violazione dell’art. 17 GDPR: parziale inadempimento alla richiesta di cancellazione

L’Autorità evidenzia che l’Università ha dato attuazione parziale e tardiva alla richiesta di cancellazione dei dati personali pubblicati online, lasciando i dati esposti o indicizzati oltre il tempo consentito.

L’Ateneo, di fatto, si è limitato a rimuovere i documenti dal sito, senza accertarsi concretamente che i dati non fossero più consultabili online anche nella versione in dismissione del proprio sito. Soltanto in un secondo momento l’Università ha fornito un completo riscontro al reclamante dell’effettiva rimozione dal sito dei documenti e dati riferiti allo stesso.

Non rileva che l’Ateneo avesse rivolto all’Autorità una richiesta di parere in merito all’istanza di esercizio dei diritti dell’interessato poiché tra i compiti attribuiti dalla legge all’Autorità non è previsto quello di fornire riscontro a quesiti o a richieste di parere di soggetti privati o pubblici.

Valutazione della sanzione

Il Garante ha ritenuto illecito il trattamento dei dati personali effettuato dall’Ateneo, in violazione degli artt. 5, par. 1, lett. a) ed e), 6, 12, parr. 3 e 4, 17 e 21 GDPR, nonché 2-ter, del Codice Privacy.

In particolare, ha considerato colposa la condotta dell’Ateneo, ma di basso livello di gravità,   e per l’effetto ha irrogato una sanzione pecuniaria nella misura di euro 4.000 sulla base delle seguenti considerazioni::

  • le violazioni derivano da due condotte distinte: la gestione dei dati contenuti nella casella di posta elettronica assegnata al reclamante e la diffusione online dei dati personali dello stesso;
  • non vi è stato accesso, da parte dell’Ateneo, ai messaggi di posta elettronica presenti nell’account e non sono stati trattati dati particolari;
  • le violazioni hanno riguardato un solo interessato e si sono verificate nel quadro di complessi e problematici rapporti tra l’Ateneo e il reclamante;
  • il ritardo nel riscontro all’istanza scaturisce dall’errata ricezione del messaggio di posta elettronica nella cartella spam;
  • i pareri oggetto di pubblicazione erano positivi e pertanto inidonei ad arrecare un danno reputazionale al reclamante;
  • l’Ateneo ha offerto una buona cooperazione durante l’istruttoria e non risultano precedenti violazioni pertinenti commesse.

Da ultimo, il Garante evidenziando che ciascuna condotta ha esaurito i suoi effetti, in quanto l’Ateneo ha provveduto alla cancellazione della casella e-mail e alla rimozione dei documenti dal sito web, ha escluso l’adozione di ulteriori misure correttive ex art. 58, par. 2, GDPR in assenza dei presupposti.

Allegati

Provvedimento Garante Privacy n. 10162267 del 10 luglio 2025

Back To Top