Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Prescrizioni per il trattamento di dati personali da parte di Unitelma Sapienza Università Telematica - 7 settembre 2011 [1844176]

[doc. web n. 1844176]

Prescrizioni per il trattamento di dati personali da parte di Unitelma Sapienza Università Telematica - 7 settembre 2011

Registro dei provvedimenti
n. 328 del 7 settembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE  le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento  del Garante n. 1/2000;

VISTO il verbale redatto dalla Guardia di finanza – Nucleo Speciale Privacy il 13 dicembre 2010, ad esito dell'accertamento ispettivo condotto nei confronti della Unitelma Sapienza Università Telematica (di seguito indicata come "Università"), dal quale risulta che quest'ultima è titolare del trattamento dei dati personali acquisiti mediante il sito www.unitelma.it e mediante i moduli cartacei previsti per l'immatricolazione e iscrizione ai propri corsi;

CONSIDERATO che, come emerge dal suindicato verbale, il detto sito è risultato sprovvisto dell'informativa ex art. 13 del Codice necessaria per l'acquisizione dei dati personali e che l'Università – come si specificherà meglio di seguito - ha trattato i dati personali degli utenti del proprio sito per varie finalità, fra le quali quella di comunicazione dei detti dati a soggetti terzi, senza acquisire il consenso prescritto dall'art. 23 del Codice;

VISTI i verbali con cui in data 13 gennaio 2011 la Guardia di finanza – Nucleo Speciale Privacy ha contestato le violazioni amministrative di competenza di questa Autorità (in particolare, quelle di cui all'art. 161 del Codice in relazione all'omesso rilascio dell'informativa ex art. 13 del Codice, e all'art. 162, comma 2-bis del Codice, riguardo alla mancata acquisizione del necessario consenso ex art. 23, comma 3, del Codice);

VISTA la memoria difensiva dell'Università del 3 febbraio 2011, con la quale la medesima ha chiesto l'annullamento e/o l'archiviazione dei suindicati verbali di contestazione, evidenziando che l'assenza dal sito web dell'informativa per il trattamento dei dati personali, al momento dell'accertamento ispettivo, si era verificata accidentalmente, a causa del contestuale trasferimento della piattaforma telematica dell'Università dal precedente gestore al nuovo gestore della medesima;

RILEVATO che - restando impregiudicato il procedimento sanzionatorio in corso - per verificare se e come attualmente viene resa l'informativa e acquisito il consenso per il trattamento dati da parte dell'Università, sono stati effettuati successivamente dall'Ufficio, in data 15 giugno 2011, in data 8 luglio 2011 e in data 31 agosto 2011, tre ulteriori accertamenti attraverso l'accesso diretto al sito www.unitelma.it;

RILEVATO che all'esito di tali accertamenti è risultato che attualmente l'Università rilascia un'informativa ex art. 13 del Codice e provvede ad acquisire il consenso ex art. 23 del Codice, precisamente in relazione a tre form di raccolta dati (quello per la registrazione al sito; quello per la valutazione del curriculum vitae dell'utente; quello per l'iscrizione e immatricolazione ai propri corsi);

RILEVATO tuttavia che la medesima Università nel testo dell'informativa ex art. 13 del Codice dichiara di svolgere attività didattiche e amministrative (come l'immatricolazione o l'iscrizione, nonché quelle per l'accesso alla piattaforma digitale per la didattica, etc…) e anche di effettuare l'ulteriore e diverso trattamento di dati consistente nella comunicazione dei dati personali ad altri soggetti, sia pubblici sia privati, per l'espletamento di "procedure amministrative, didattiche e di ricerca in ambito nazionale e internazionale";

CONSIDERATO che la suindicata informativa, indicando genericamente i soggetti ai quali i dati personali vengono comunicati e le procedure alle quali tale comunicazione è finalizzata, è da considerarsi inidonea, poiché non indica specificamente, come previsto dall'art. 13, comma 1, lett. d) del Codice, tutte le notizie ivi richieste ("le finalita' del trattamento cui sono destinati i dati" e "i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati": v. anche provv. 26 giugno 2008 [doc. web n. 1544326);

RILEVATO peraltro che il form di registrazione al sito www.unitelma.it, come avvisa l'Università a conclusione della relativa procedura, ha diverse finalità, precisamente: "mantenere un contatto con utenti interessati al mondo dell'Ateneo" e reperire "tutte le novità, gli appuntamenti e rimanere informato sull'evoluzione del mondo dell'Ateneo" e consentire di procedere con l'immatricolazione o iscrizione a corsi di laurea, master e altri corsi;

RILEVATO inoltre che l'Università, nel detto form, acquisisce come dati personali "obbligatori"- contrassegnati con apposito asterisco oppure sprovvisti dello stesso ma tali da impedire di proseguire nella procedura se non indicati precisamente - i seguenti dati degli utenti del proprio sito: cognome e nome, luogo e data di nascita, codice fiscale, cittadinanza, indirizzi di residenza e domicilio, indirizzo di posta elettronica, recapito di telefonia mobile;

CONSIDERATO tuttavia che alcuni dei detti dati personali (luogo e data di nascita, codice fiscale, cittadinanza) risultano eccedenti rispetto a una delle due suindicate finalità del servizio di registrazione al sito, ossia quella di "mantenere un contatto con utenti interessati al mondo dell'Ateneo" e reperire "tutte le novità, gli appuntamenti e rimanere informato sull'evoluzione del mondo dell'Ateneo";

CONSIDERATO pertanto che la raccolta dei dati in questione mediante il form di registrazione al sito - rispetto alla finalità come sopra individuata - risulta in contrasto con i principi di pertinenza e non eccedenza di cui all'art. 11 comma 1, lettera d) e quindi dà luogo a un trattamento illecito di dati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha  il  compito di  vietare  anche d'ufficio  il  trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA la necessità di adottare nei confronti dell'Università - ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice - un provvedimento di divieto del trattamento dei dati personali (luogo e data di nascita, codice fiscale, cittadinanza) acquisiti mediante il form di registrazione al sito www.unitelma.it, eccedenti rispetto alla sopra individuata finalità del servizio di registrazione al sito, in violazione dei principi di pertinenza e non eccedenza;

RILEVATA, altresì, la necessità di adottare nei confronti dell'Università un provvedimento prescrittivo ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni, e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATO, inoltre, che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

CONSIDERATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE:

1) dichiara illecito il trattamento dei dati personali (luogo e data di nascita, codice fiscale, cittadinanza) acquisiti mediante il form di registrazione al sito www.unitelma.it, in quanto eccedenti rispetto alla dichiarata finalità del servizio di registrazione - di mantenimento dei contatti con gli utenti interessati al mondo dell'Ateneo e di informazione dei medesimi riguardo alle novità e gli appuntamenti dell'Ateneo - in violazione dei principi di pertinenza e non eccedenza di cui all'art. 11 comma 1, lettera d);

2) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Unitelma Sapienza Università Telematica ogni ulteriore trattamento dei dati personali eccedenti di cui al punto 1);

3) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Unitelma Sapienza Università Telematica di modificare le proprie modalità di raccolta on line dei dati personali, in particolare:

a) eliminando dal form di registrazione al sito la richiesta dei dati personali (luogo e data di nascita, codice fiscale, cittadinanza) eccedenti rispetto alla mera finalità di mantenimento dei contatti con gli utenti interessati all'Ateneo e di informazione dei medesimi riguardo alle novità e agli appuntamenti dell'Ateneo;

b) qualora  intenda comunicare a terzi i dati personali raccolti, specificando nell'informativa ex art. 13 del Codice i soggetti o le categorie di soggetti ai quali i dati personali vengono comunicati e le procedure alle quali tale comunicazione è finalizzata, acquisendo, ove del caso, il relativo specifico consenso;

c) fornendo adeguata documentazione al Garante di aver provveduto ad adempiere alle prescrizioni indicate nel presente provvedimento entro sessanta giorni dalla comunicazione dello stesso.

Avverso il presente provvedimento, ai sensi dell'art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo dove ha sede il titolare del trattamento, entro il termine di trenta giorni dalla comunicazione del  provvedimento stesso.

Roma, 7 settembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli