[doc. web n. 10201426]

Provvedimento del 27 novembre 2025

Registro dei provvedimenti
n. 704 del 27 novembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale;VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Premessa

Nel mese di XX, è pervenuto a questa Autorità un reclamo in ordine al trattamento di dati personali svolto dall’Università di Torino e dagli Atenei di Cagliari e Sassari, per la realizzazione di un progetto di ricerca riguardante i residenti della società Cooperativa Poggio dei Pini.

In particolare, in base a quanto rappresentato, “il XX è pervenuta ai residenti della Società Cooperativa “Poggio dei Pini” una lettera proveniente dalla casella di posta ufficiale della Cooperativa, […], con l'invito a compilare un questionario sulla vita nella lottizzazione "per scopi accademici", "finanziata dalle Università di Torino, di Cagliari e di Sassari" [...]” e che “Cliccando sul link fornito, a seguito dell'inserimento del proprio indirizzo di posta elettronica, quindi univocamente riconducibile al compilatore, veniva proposta la compilazione di un modulo Google con n. 74 quesiti, in minima parte finalizzati ad una valutazione dei servizi, e in maniera preponderante alla raccolta di dati quali l'anagrafica completa, la fascia reddituale [...], la partecipazione alle elezioni per gli "organi dirigenti della Cooperativa" [...], il voto espresso dall'elettore alle elezioni comunali di Capoterra [...], alle elezioni regionali [...] e alle elezioni nazionali [...]. Si chiede anche se si è donato il sangue negli ultimi 5 anni [...]”.

Dalla documentazione allegata al reclamo è emerso che:

- l’Ateneo di Cagliari non ha finanziato “[...] alcuna ricerca né è parte, con il proprio corpo docente, di alcun progetto di ricerca che abbia quale oggetto le relazioni che intercorrono tra la comunità di Poggio dei Pini e il Comune di Capoterra con riferimento ai servizi offerti e alla partecipazione politica e associativa della stessa comunità” (nota a firma del dott. XX);

- l’Ateneo di Torino ha rappresentato che il “Progetto di ricerca si inserisce nel quadro delle attività di ricerca di alcuni dei docenti afferenti all’università di Torino e all’Università degli studi di Sassari circa le comunità residenziali e i meccanismi di governance urbana. Nello specifico, il progetto si focalizza sul caso studio di Poggio dei Pini, con l’obiettivo di indagarne le caratteristiche [...]” e precisato che “il progetto di ricerca è stato interrotto e che i dati raccolti in possesso dell’Università sono stati cancellati” (nota del XX);

- l’Ateneo di Sassari, ha rappresentato altresì “che nessun “dato personale” è stato raccolto o trattato nell’ambito del sistema informatico utilizzato per la raccolta dei dati (anonimi) rilevati dall’unità di ricerca afferente al Dipartimento di Giurisprudenza dell’Università degli Studi di Sassari” (nota del XX).

Ai fini della presente decisione rilevano, in particolare: (i) le modalità di somministrazione del questionario relativo al progetto di ricerca, mediante strumento creato su account personale della borsista (Google Form);(ii) l’assenza di un’informativa preventiva ex art. 13 GDPR e di una base giuridica idonea ai sensi degli artt. 6 e 9 GDPR per la finalità di ricerca scientifica e (iii) la natura del questionario, che contemplava numerosi quesiti anche rientranti nella “categoria particolare” di dati personali di cui all’art. 9 del Regolamento (es. opinioni politiche, aspetti attitudinali).

2. L’attività istruttoria

Con nota del XX, la Società Cooperativa Poggio dei Pini, in riscontro alla richiesta di informazione di questa Autorità, del XX (prot. n. XX), ha rappresentato che il reclamante parrebbe essere individuato nel “dott. XX”, il quale “non risulta inserito nella mailing list della scrivente Società, ergo il XX non è stato tra i destinatari della “lettera proveniente dalla casella di posta ufficiale della Cooperativa””. Nel merito della questione segnalata, ha evidenziato che:

"la Cooperativa ebbe a costituire una mailing list, inviando ad ogni socio la missiva del XX (prot. n. XX), nella quale venivano spiegati i motivi e i vantaggi per la Cooperativa, con allegato il modello “Autorizzazione invio comunicazione per via telematica/telefonica”, ove veniva specificato che l’interessato “Autorizza la Soc. Cooperativa Poggio dei Pini ad inviare per via telematica (email) e telefonica (SMS) informazioni e comunicazioni che si riferiscono esclusivamente alle attività della Cooperativa e ad eventi che riguardano il territorio e la comunità di Poggio dei Pini”,

“Solo i soci che hanno compilato, sottoscritto il modello in discorso e allegato il documento di identità personale, sono stati inseriti nella mailing list della Cooperativa”;

“l’utilizzo degli indirizzi di posta elettronica dei soci che hanno ricevuto la comunicazione del XX è avvenuta sulla base del consenso validamente prestato degli interessati”;

“La Società non ha compiuto alcuna attività di raccolta di dati personali dei soci che hanno compilato il questionario, posto che la compilazione del medesimo richiedeva l’apertura di un link completamente esterno e non riconducibile in alcun modo alla piattaforma tecnologica della scrivente”;

“La Società non era tenuta a fornire alcuna informativa in quanto non ha svolto alcuna attività di trattamento di dati personali”;

“La Cooperativa Poggio dei Pini è completamente estranea al progetto di ricerca, sicché non ha avuto alcun ruolo, né formale né sostanziale, di titolare o responsabile, essendosi limitata a inoltrare, su richiesta dell’Arch. XX, a tutti i soci iscritti nella mailing list, una missiva nella quale venivano invitati, su base volontaria (“Se vi fa piacere e volete aiutare chi sta conducendo la ricerca, questo è il link per la compilazione […]” a redigere il questionario”.

Con nota del XX, l’Università di Cagliari, in riscontro alla richiesta di informazione di questa Autorità, del XX (prot. n. XX), ha dichiarato che:

“l’Università non ha finanziato alcuna ricerca né è parte, con il proprio corpo docente, di alcun progetto di ricerca che abbia quale oggetto le relazioni che intercorrono tra la comunità di Poggio dei Pini e il Comune di Capoterra con riferimento ai servizi offerti e alla partecipazione politica e associativa della stessa comunità”;

“L’unico legame con l’Ateneo di Cagliari – indiretto e ininfluente rispetto al caso di specie – è rappresentato dal fatto che [un] ricercatore […] del Dipartimento di Giurisprudenza dello scrivente Ateneo è stato Presidente della Società cooperativa Poggio dei Pini fino al XX. Da quel momento in poi, […] ha cessato qualsiasi rapporto con la Società” e “[…] non ha mai preso parte alle attività del progetto, né quando rivestiva l’incarico istituzionale presso la Società, né a seguito dell’immissione nei ruoli dell’Ateneo avvenuta il XX”;

Pertanto, “l’Università degli Studi di Cagliari, non riveste il ruolo di Titolare del trattamento in questione, né altro tipo di ruolo collegato al trattamento dei dati”.

Con nota del XX, l’Università di Sassari, in riscontro alla richiamata richiesta di informazioni dell’Ufficio ha dichiarato che:

nonostante il riferimento all’Università di Sassari, il progetto di ricerca in esame non è riconducibile a quello in precedenza svolto, avente ad oggetto la raccolta di ”dati anonimi mediante l’uso della piattaforma Question Pro”;

“nessun indirizzo di posta elettronica dei residenti della Cooperativa Poggio dei Pini è stato trattato nell’ambito della ricerca alla quale ha partecipato [un] Professore” di codesto Ateneo, che non riguarda quella in oggetto;

“non essendo stato raccolto alcun dato personale riguardante i residenti nella Cooperativa Poggio dei Pini, non è stato posto in essere alcun trattamento”;

“nessun dato personale è pervenuto […] all’Università di Sassari dall’Università di Torino”;

“La piattaforma Google Form non ha mai costituito un mezzo della ricerca” da quest’ultimo svolta.

Alla luce delle dichiarazioni rese dalle Università di Cagliari e di Sassari, ai sensi dell’art. 168 del d. lgs. n. 196 del 2003 (Codice in materia di protezione dei dati personali, di seguito “Codice”), l’Ufficio con note del XX ha concluso l’istruttoria preliminare nei confronti dei predetti soggetti ai sensi dell’art. 11 del Regolamento interno 1 del 2019, note prot. n. XX, XX e XX). -    

Con specifico riferimento alla Società Cooperativa, l’inoltro della newsletter da parte di quest’ultima è stato oggetto di specifica e separata valutazione istruttoria, che sulla base delle dichiarazioni rese, ai sensi dell’art. 168 del Codice, è stata definita ai sensi dell’art. 11 del Regolamento interno n. 1/2019, e non forma parte del presente decisum, in quanto il presente provvedimento è rivolto unicamente all’Università degli Studi di Torino, titolare del trattamento dei dati personali effettuato per scopi di ricerca scientifica.

Con nota del XX, l’Università degli Studi di Torino, in riscontro alla richiesta di informazioni di questa Autorità, del XX (ut supra cit.), ha dichiarato che:

“Il progetto di ricerca in oggetto è stato avviato nel mese di XX; si inserisce nelle attività scientifiche del professor XX dell’Università di Torino ed è stato finanziato sui fondi di ricerca locale a disposizione del docente stesso”;

“L’indagine si inserisce nel filone internazionale di ricerca scientifica relativo alle comunità residenziali private e ai meccanismi di governance urbana”;

“Nello specifico, il progetto si focalizza sul caso studio di “Poggio dei Pini”, con l’obiettivo di indagare le caratteristiche, in termini tanto di fornitura di servizi e spazi collettivi, quanto di relazione complessa tra la cooperativa di gestione “Società Cooperativa Poggio dei Pini” con la municipalità di riferimento (Capoterra)”;

“il professor XX, in accordo con il Dipartimento Interateneo (Università di Torino e Politecnico di Torino) di Scienze, Progetto e Politiche del territorio, ha attivato una borsa di ricerca assegnata alla dott.ssa XX, al fine di supportare la realizzazione delle attività presso la comunità Poggio dei Pini, utilizzando strumenti messi a disposizione dall’Università di Sassari”;

“la borsista era stata debitamente istruita per essere messa in condizione di operare correttamente, sia sul piano metodologico e deontologico, con particolare attenzione alla tutela dei dati personali al fine di garantire l’anonimato dei rispondenti”;

“L’Ateneo ha rilevato che la borsista, di propria iniziativa e senza informare il professor XX, aveva inserito il questionario all’interno di un Google Form, creato con proprio account personale, e aveva modificato il questionario stesso aggiungendo la possibilità di inserire il nominativo del rispondente. Nell’ambito di tali indagini, la borsista, inoltre, ha segnalato che soltanto una decina di interessati avevano risposto a tale questionario e che nessuno di essi aveva rilasciato il proprio nominativo”;

“l’Università di Torino, in accordo con il Responsabile Protezione Dati Personali - informato dei fatti a seguito della segnalazione dell’interessato – e con lo stesso professor XX, ha richiesto alla borsista:

di disattivare immediatamente il link al Google Form creato dalla stessa;

di cancellare i dati raccolti tramite il Google Form e conservati esclusivamente sul drive personale della stessa

di informare gli interessati in merito all’avvenuta cancellazione e in merito all’interruzione del progetto di ricerca; informativa avvenuta tramite comunicazione inviata dalla Società Cooperativa tramite newsletter;

“La borsista in data XX ha inviato […] comunicazione scritta con la quale dichiarava di aver provveduto a cancellare le risposte al questionario fino a quel momento raccolte”;

l’Università di Torino non ha trattato gli indirizzi e-mail dei residenti della Società Cooperativa al fine di inviare il link al Google Form;

non essendo a conoscenza dell’iniziativa autonoma della borsista, non ha valutato i presupposti giuridici in base ai quali sono stati trattati, esclusivamente dalla borsista […] né ha predisposto e fornito agli interessati adeguata informativa relativa ai predetti trattamenti”;

“i dati raccolti riguardano una decina di rispondenti, i quali non hanno rilasciato alcun dato direttamente identificativo”;

“tali dati non sono stati in alcun modo elaborati, comunicati né oggetto di ulteriori trattamenti: sono stati esclusivamente conservati per un periodo di tempo limitato -al massimo un paio di mesi- sul drive personale della borsista finché la stessa non ha provveduto alla relativa cancellazione, su espressa richiesta dell’Ateneo”

Il predetto Ateneo ha inoltre elencato una serie di misure e iniziative di formazione rivolte a tutto il personale strutturato, tecnico amministrativo, docente e ricercatore nonché al personale non strutturato sulla base di specifiche esigenze.

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio, con nota del XX (prot. n. XX) ha notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, all’Università degli Studi di Torino l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito in audizione dall’Autorità (art. 166, commi 5, 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rilevato che, sulla base degli elementi acquisiti, dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Università, in qualità di titolare, ha effettuato un trattamento di dati personali:

in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, in assenza di un idoneo presupposto normativo e non adempiendo all’obbligo di fornire preventivamente le informazioni all’interessato, in violazione degli artt. 5, par. 1, lett. a), 9, 12 e 13 del Regolamento e dell’art. 7 del Regole deontologiche per trattamenti a fini statistici e di ricerca scientifica);

in violazione dei principi di responsabilizzazione e di protezione dei dati fin dalla progettazione della ricerca scientifica in esame, non avendo garantito attraverso indicatori misurabili, l’implementazione di idonee misure volte, da una parte, ad istruire i propri addetti, dall’altra a garantire l’effettiva applicazione dei richiamati principi di liceità e trasparenza (art. 5, par. 2, 24, 25 e 32 del Regolamento);

in violazione dell’art. 29 del Regolamento e 2-quaterdecies del Codice per aver consentito ai propri incaricati di trattare dati personali, in assenza di specifiche designazioni e istruzioni e per non aver vigilato sul loro operato.

Con nota del XX (prot. n. XX), l’Università di Torino ha fatto pervenire le proprie memorie difensive, nelle quali ha rappresentato, in particolare, che:

“Per i progetti di ricerca finanziati con fondi di ricerca locale, come nel caso di specie, in ragione del minore impatto finanziario dell’erogazione e dell’assegnazione dei fondi e del carattere locale e personale della ricerca, i docenti e ricercatori sono direttamente responsabilizzati riguardo agli adempimenti correlati all’avvio dei singoli progetti”;

“Proprio nel rispetto del principio di responsabilizzazione (c.d. accountability) l’Università ha, quindi, predisposto una serie di misure e di iniziative di formazione e informazione obbligatorie per i docenti e per i ricercatori affinché essi siano in grado di eseguire gli adempimenti necessari, con indicazioni di rivolgersi, qualora abbiano necessità di un supporto, alle strutture sopra indicate, specificamente dedicate alle attività di compliance GDPR nell'ambito dei progetti di ricerca”;

“Tali informazioni sono rese disponibili nel corso di formazione obbligatorio "Principi fondamentali Privacy", accessibile sui sistemi di Ateneo, e sono riportate in un’apposita pagina della sezione Intranet dedicata agli adempimenti previsti dalla normativa vigente in materia di protezione dei dati personali nell’ambito dei progetti di ricerca”;

“Il titolare del trattamento ha quindi posto in essere tutte le misure di formazione e informazione rivolte al personale docente e ricercatore, utili ad avviare e gestire i propri progetti di ricerca, ferma restando il doppio canale di supporto (referenti privacy e Staff di supporto a RPD), attivabile anche per i progetti di ricerca locale, come sopra indicato”;

“il docente Prof. XX, nell’ambito del proprio progetto di ricerca locale, ha avviato l’attività di ricerca con il convincimento di trattare esclusivamente dati anonimi, secondo l’impostazione originaria del progetto, condivisa e concordata con le Università di Sassari e di Cagliari”;

“lo stesso docente ha fornito specifiche istruzioni alla borsista affinché Ella procedesse esclusivamente alla somministrazione del questionario tramite la piattaforma QuestionPro”;

“il Prof. XX, pertanto, non ha ritenuto necessario procedere con ulteriori approfondimenti rispetto alla protezione dei dati personali, tra cui l’individuazione del presupposto giuridico del trattamento e la necessità di ottenere l’autorizzazione al trattamento dei dati personali sia nei propri confronti, sia nei confronti della borsista stessa”;

“Il presupposto del progetto, concordato con gli altri Atenei, era infatti riferito a dati anonimi, per i quali non si applica la disciplina di protezione dei dati personali;

“Non appena ha ricevuto informazioni successivamente alla segnalazione trasmessa dall’interessato in data XX, l’Ateneo, su iniziativa del RPD, ha tempestivamente attivato un confronto tra le diverse strutture amministrative coinvolte al fine di effettuare le necessarie verifiche di conformità degli adempimenti in materia di protezione dei dati personali”;

“l’Ateneo sta valutando, per rafforzare ulteriormente le misure di sicurezza già poste in essere, una verifica preliminare degli adempimenti rispetto al parere del Comitato di Bioetica”;

“Occorre precisare, a tale proposito, che la borsista coinvolta nel progetto ha creato il Google Form su un proprio account personale, senza informare preliminarmente il responsabile del progetto”;

“La scelta autonoma della borsista di procedere con propri mezzi alla raccolta dei dati non è in alcun modo riferibile né imputabile al titolare del trattamento, il quale ha adottato tutte le misure preventive, idonee ad evitare il danno.

Non era esigibile in capo al Titolare la vigilanza sull’utilizzo di strumenti personali da parte della borsista, che ha agito in piena autonomia in violazione delle regole e delle policy disponibili sulla Intranet di Ateneo”;

“La violazione non può essere, pertanto, attribuita ad una negligenza del Titolare, in attuazione del principio di accountability, trattandosi di un evento imprevedibile determinato da un errore umano isolato che ha comportato un’autonoma condotta su base soggettiva, contraria alle misure di sicurezza adottate e alle istruzioni impartite”;

“L’evento oggetto di contestazione è infatti collegato a circostanze che non possono essere riconducibili nell’ambito degli obblighi di vigilanza in capo al Titolare, in quanto non suscettibili di identificazione contestuale. Il presupposto che ha mosso il docente ad avviare la ricerca prevedeva, sin dalla fase di progettazione (per valutazione condivisa), l’estraneità dell’attività di ricerca dall’ambito di applicazione del GDPR, in considerazione del fatto che il questionario era stato dichiarato come anonimo dai Responsabili Scientifici dei tre Atenei partecipanti.”

Con specifico riferimento agli elementi di cui all’art. 83 del Regolamento, l’Università di Torino ha dichiarato che:

- “dati personali sono stati esclusivamente raccolti dalla borsista tramite Google Form, creato sul proprio account personale, senza utilizzare strumenti dell’Università di Torino; non sono stati ulteriormente trattati, elaborati né comunicati ad ulteriori soggetti, compresi ai docenti coinvolti. I dati personali sono rimasti nella esclusiva disponibilità della borsista che ha provveduto a cancellarli su richiesta del Prof. XX, a seguito della segnalazione dell’interessato al Titolare”;

- “l’invio del link al Google form tramite la newsletter della Cooperativa Poggio dei Pini di Capoterra (CA) è avvenuto in data XX e la dichiarazione in merito alla cancellazione dei dati personali raccolti e conservati dalla borsista è pervenuta in data XX. Pertanto, la conservazione dei dati sul drive della borsista, senza alcuna diffusione, è durata per un periodo massimo di circa due mesi.”;

- “Numero interessati coinvolti: dieci, come dichiarato dal Prof. XX”;

- “il docente ha avviato e gestito l’attività di ricerca con il convincimento che essa non avrebbe comportato il trattamento di dati personali, come concordato con gli altri Atenei coinvolti.

- La borsista ha proceduto autonomamente alla raccolta dei dati tramite Google form, creato sul proprio account personale, senza utilizzare strumenti dell’Ateneo. Il docente non è stato edotto di tale iniziativa da parte della borsista”;

- “A seguito degli approfondimenti condotti, anche con il supporto del Responsabile protezione dati personali di Ateneo, il Prof. XX ha provveduto a richiedere alla borsista:

- di cancellare immediatamente i dati personali raccolti;

- di interrompere il progetto di ricerca;

- di comunicare agli interessati, sempre per il tramite della newsletter della Cooperativa, l’avvenuta cancellazione dei dati personali raccolti e l’interruzione del progetto di ricerca;

- tutte le azioni di cui ai punti precedenti sono state tempestivamente realizzate come da precedente comunicazione già inoltrata a Codesta Autorità”;

- di aver “adottato un regolamento il materia di protezione dei dati personali; si è dotata di un organigramma privacy; ha reso disponibile diversi corsi di formazione attraverso una piattaforma centralizzata; organizza frequenti iniziative formative di aggiornamento; ha predisposto una sezione “Privacy” nella rete Intranet di Ateneo; all’interno della predetta sezione è dedicato un focus specifico alla “Privacy nella ricerca”, recante una guida operativa dedicata in particolare a docenti e ricercatori, per la gestione degli adempimenti connessi;

- È contestata la violazione di dati personali anche di categoria particolare.”;

- “Richiamata la ricostruzione dei fatti sopra esposta, dalla quale emerge la non imputabilità al Titolare del trattamento delle condotte contestate, l’intenzione iniziale del docente di attivare un progetto concordando con gli altri partner universitari i contenuti anonimi della ricerca, ha indotto lo stesso docente a non seguire la procedura di Ateneo prevista a protezione dei dati personali”;

- “La segnalante si è rivolta direttamente all’Autorità Garante, senza preventivamente esporre la criticità agli operatori sanitari che hanno rilasciato il modulo. Il titolare ha, pertanto, avuto conoscenza della criticità direttamente dall’Autorità Garante”;

L’Ateneo non si è avvalso del diritto di essere audito dall’Autorità ai sensi dell’art. 166, comma 6, del Codice.

3. Esito dell’attività istruttoria

3.1. La normativa applicabile

Preso atto di quanto rappresentato dall’Università nella documentazione in atti, nelle memorie difensive e nell’audizione, si osserva quanto segue.

1. Il via preliminare, il reclamo essendo stato presentato dal Presidente pro-tempore dell'Associazione Culturale “Poggini per Poggio” è stato trattato come segnalazione avendo ad oggetto il trattamento di dati riferiti anche a interessati diversi dal proponente, di ciò il reclamante è stato informato (art. 77 del Regolamento e artt. 8 e 19 Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali del 4 aprile 2019, doc. web n. 9107633; cfr. nota del XX, prot. n. XX).

2. Il trattamento dei dati personali deve avvenire nel rispetto della normativa in materia di protezione dei dati personali di cui al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e al Codice.

3. Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, paragrafo 1, n. 1 del Regolamento).

4. In base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principi di «liceità, correttezza e trasparenza» (art. 5, par. 1, lett. a).

5. Il principio di liceità, richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute e quelli idonei a rilevare le opinioni politiche e i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il consenso dell’interessato. Tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere anche, libero ed esplicito (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali, il 4 maggio 2020).

6. Per l’effettiva applicazione del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), devono essere preventivamente fornite agli interessati tutte le informazioni di cui all’art. 13 del Regolamento, qualora i dati sono raccolti direttamente presso l’interessato stessi, in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, (cons. 39, 58 e art. 12 del Regolamento).

7. Tra i principi applicabili al trattamento, stabiliti all’art. 5 del Regolamento, rileva quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento).

8. Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

9. In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Il requisito di cui all’articolo 25 del Regolamento obbliga i titolari a provvedere affinché la protezione dei dati sia integrata nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento. Il titolare adotta misure tecniche e organizzative adeguate che sono concepite per attuare in modo efficace i principi di protezione dei dati e integra nel trattamento le necessarie garanzie per conformare i trattamenti alla disciplina in materia di protezione dei dati e per tutelare i diritti e le libertà degli interessati.

10. Tali misure dovranno, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia. In tale ottica, il richiamato obbligo di documentazione delle scelte inerenti al trattamento dei dati personali si intende compiutamente adempiuto solo laddove il titolare sia in grado di dimostrare, attraverso indicatori di prestazione (qualitativi e ove possibile, quantitativi), l’efficacia delle misure (cfr. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019 by the EDPB).

11. Nell’ambito delle operazioni di trattamento dei dati personali occorre poi individuare correttamente i ruoli di protezione dei dati personali. Nella fattispecie in esame rileva in particolare il ruolo di titolare (artt. 4, n. 7 e 24) e di persona autorizzata al trattamento (artt. 29 del Regolamento e 2-quaterdecies del Codice).

12. Il Regolamento definisce quale «titolare del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7) (cfr. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, Versione 2.0, Adottate il 7 luglio 2021).

13. Con specifico riferimento alle persone autorizzate al trattamento, il Regolamento non reca una specifica definizione tuttavia, con tale formulazione ci si riferisce a persone appartenenti alla struttura giuridica del titolare o del responsabile nella misura trattano dati personali per finalità proprie del titolare stesso. Tali figure agiscono pertanto sotto l’autorità del titolare del trattamento e devono essere adeguatamente istruite in tal senso dal titolare stesso (cfr. punto 88 delle Linee guida 07/2020, cit.)

14. A tale riguardo, l’articolo 32, paragrafo 4, del RGPD, relativo alla sicurezza del trattamento dei dati personali, prevede che il titolare del trattamento adotti misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità e abbia accesso a tali dati, non li tratti, se non su istruzione del titolare del trattamento, a meno che non vi sia obbligata dal diritto dell’Unione o degli Stati membri.

15. L’art. 2‑quaterdecies del Codice sancisce lo stesso principio ossia che il titolare può assegnare compiti specifici all’interno della propria organizzazione, ma resta responsabile del loro operato. Spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti ovvero da altri soggetti che operano all’interno della propria organizzazione. Di conseguenza, il titolare del trattamento non può sottrarsi ai propri obblighi in materia di protezione dei dati personali semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità, rilevando al riguardo una propria culpa in vigilando (v., in tal senso, sentenza del 22 giugno 2023, Pankki S, C‑579/21, punti 73 e 74 e sentenza dell’11 aprile 2024, nella causa n. C‑741/21 punti 47, 48 e 49).

16. In tale quadro, il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento (artt. 5, 9, par. 2 lett. j) e 89), del Codice (art. 104 e ss.), nonché delle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato 5 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. del 10 agosto 2018, n. 10 (doc. web n. 9124510) e delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637) che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

17. Considerata la numerosità potenziale dei rispondenti e la natura delle informazioni (categorie particolari; aspetti attitudinali e politici), ricorrevano anche i presupposti per una valutazione di impatto ex art. 35 GDPR, quantomeno da valutare ex ante (art. 35, par. 1 e 7), con specifico focus su: rischi di reidentificazione, uso di piattaforme terze, misure di separazione logica/organizzativa delle chiavi di collegamento e criteri di minimizzazione delle domande (art. 5, par. 1, lett. c).

3.2 Le valutazioni dell’Autorità

Preso atto di quanto rappresentato dall’Università nella documentazione in atti e nelle memorie difensive, si osserva quanto segue:

1. il progetto di ricerca è finanziato dall’Università di Torino e si inserisce nel filone internazionale di ricerca scientifica relativo alle comunità residenziali private e ai meccanismi di governance urbana, seppure poi operativamente assegnato ad un ricercatore e ad una borsista del predetto Ateneo.

2. Di conseguenza, l’Ateneo assume il ruolo di titolare, ai sensi dell’art. 24 del Regolamento, mentre il professore e la borsista quello di persone autorizzate al trattamento ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del Codice.

3. Il progetto di ricerca ha comportato un trattamento di dati personali, ivi incluse le particolari categorie di dati, seppure raccolti dalla borsista. Al riguardo, infatti non rileva la circostanza rappresentata dall’Ateneo in ordine alla convinzione che la predetta ricerca si sarebbe svolta su dati anonimi, sul punto inoltre l’Università non ha documentato le misure tecniche che avrebbe implementato per garantire l’anonimizzazione dei dati.

4. I trattamenti effettuati per scopi di ricerca scientifica, devono fondarsi su una specifica  condizione di liceità  ex art. 6 del Regolamento, che di regola, si rinviene nel consenso dell’interessato (art. 6, par. 1, lett. a) oppure nell’adempimento di un compito di interesse pubblico (art. 6, par. 1, lett. e), ove l’ente pubblico agisca in tale veste e a condizione che la disposizione attributiva delle funzioni istituzionali volte al perseguimento dell’interesse pubblica abbia tutti i requisiti di cui all’art. 6, par. 3 del Regolamento. Per le categorie particolari di dati, opera l’ulteriore deroga al divieto di trattare tali categorie di dati, di cui all’art. 9, par. 2, lett. j), subordinata alle garanzie dell’art. 89 del Regolamento e sulla base di una norma unionale o nazionale, la quale deve avere le caratteristiche di cui all’art. 2-sexies,). In alternativa, è possibile fondare il trattamento sul consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento) ovvero ricorrere alle altre condizioni di liceità di cui agli artt. 110 e 110-bis, comma 4 del Codice, nel rispetto delle richiamate Regole deontologiche e Prescrizioni. Nel caso di specie nessuna di tali condizioni di liceità è  stata previamente individuata dal titolare del trattamento e resa nota agli interessati. Pertanto, l’Ateneo, in qualità di titolare, nella fattispecie in esame la quale prevedeva la raccolta dei dati direttamente presso gli interessati ha effettuato un trattamento di dati personali per il tramite dei propri incaricati, per scopi di ricerca scientifica in assenza di un valido presupposto giuridico e in violazione del principio di trasparenza (artt. 5, par. 1, lett. a) e 9, par. 2, lett. a) del Regolamento).

5. In primo luogo, infatti, è documentato in atti che i destinatari della comunicazione, inviata in data XX, dalla Cooperativa Poggio dei Pini, ai soli soci della Cooperativa che avevano in precedenza manifestato in consenso a ricevere tramite email e SMS “informazioni e comunicazioni che si riferiscono esclusivamente alle attività della Cooperativa e ad eventi che riguardano il territorio e la comunità di Poggio del Pini”, hanno ricevuto un link attraverso il quale si accedeva ad un “Google form” contenente il questionario della ricerca scientifica, in assenza della preventiva informativa come prevista dall’art. 13 del Regolamento, applicabile alla fattispecie in esame che ha previsto una raccolta dei dati personali direttamente presso di interessati.

6. Ai medesimi destinatari della predetta comunicazione è stato sottoposto un questionario recante un numero molto rilevante di quesiti (oltre 74), taluni anche di natura particolarmente sensibile, senza garantire agli stessi l’espressione di un esplicito ed informato consenso, tenuto conto che il questionario prevedeva altresì la raccolta di particolari categorie di dati quali ad esempio quelli relativi alle opinioni politiche.

7. Né tali rilievi possono considerarsi superati alla luce delle argomentazioni difensive rappresentate dall’Ateneo, con particolare riferimento alla circostanza che la borsista avrebbe agito sulla base di una autonoma condotta e con propri mezzi contrari alle misure di sicurezza e alle istruzioni impartite. Infatti, seppure l’Università ha dichiarato di aver adottato un regolamento in materia di protezione dei dati personali, un organigramma privacy e di aver reso disponibile diversi corsi di formazione in materia di protezione dei dati, recanti anche una specifica sezione dedicata ai trattamenti effettuati per scopi di ricerca scientifica, senza tuttavia documentarlo, tali misure, seppure formalmente predisposte devono ritenersi da un punto di vista sostanziale non adeguatamente applicate all’interno dell’organizzazione del titolare che è in ogni caso chiamato a vigilare costantemente, anche attraverso indicatori misurabili, sull’operato dei propri dipendenti/collaboratori, che effettuano un trattamento di dati personali per il perseguimento di proprie finalità istituzionali.

Inoltre, benché è stato dichiarato che “lo stesso docente ha fornito specifiche istruzioni alla borsista affinché Ella procedesse esclusivamente alla somministrazione del questionario tramite la piattaforma QuestionPro”, l’Ateneo non ha documentato le istruzioni che sarebbero state in tal senso fornite alla borsista.

Risulta pertanto accertato che il predetto trattamento è stato effettuato dall’Ateneo in violazione del principio di responsabilizzazione e di protezione dei dati fin dalla progettazione, omettendo di mettere in atto misure tecniche e organizzative idonee a garantire l’effettiva applicazione dei richiamati principi di liceità, trasparenza e integrità e riservatezza (artt. 5, par. 2, 24, 25 e 32 del Regolamento). In particolare, la tutela della sicurezza, di cui all’art. 32 del Regolamento, imponeva, l’uso di strumenti dell’Ateneo o, comunque, sotto il controllo del titolare, evitando l’impiego di account personali per la raccolta e la conservazione di dati personali dei rispondenti il questionario del progetto di ricerca;

8. L’Ateneo ha infine consentito ai propri incaricati (il Professore e la borsista) di trattare dati personali di cui è titolare, sotto la propria responsabilità in assenza di specifiche istruzioni scritte e designazioni le quali infatti non sono state acquisite agli atti del procedimento e senza aver vigilato sul loro operato, in violazione degli artt. 29 del Regolamento e 2-quaterdecies del Codice.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Università nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Università, nei termini di cui in motivazione, in particolare, per aver trattato dati personali:

- in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, in assenza di un idoneo presupposto normativo e non adempiendo all’obbligo di fornire preventivamente le informazioni all’interessato, in violazione degli artt. 5, par. 1, lett. a), 9, 12 e 13 del Regolamento e dell’art. 7 del Regole deontologiche per trattamenti a fini statistici e di ricerca scientifica);

- in violazione dei principi di responsabilizzazione e di protezione dei dati fin dalla progettazione della ricerca scientifica in esame, non avendo garantito attraverso indicatori misurabili, l’implementazione di idonee misure volte, da una parte, ad istruire i propri addetti, dall’altra a garantire l’effettiva applicazione dei richiamati principi di liceità e trasparenza (art. 5, par. 2, 24, 25 e 32 del Regolamento);

- in violazione dell’art. 29 del Regolamento e 2-quaterdecies del Codice per aver consentito ai propri incaricati di trattare dati personali sotto la propria responsabilità, in assenza di specifiche designazioni e istruzioni e per non aver vigilato sul loro operato.

In tale quadro, avendo l’Università dichiarato, ai sensi dell’art. 168 del Codice, l’avvenuta la cancellazione dei dati raccolti dalla borsista attraverso il citato google form, entro un periodo di due mesi dallo loro raccolta, che i predetti dati non sono stati oggetto di diffusione, che l’avvenuta cancellazione dei dati personali raccolti e l’interruzione del progetto di ricerca è stata comunicata gli interessati coinvolti e che pertanto la condotta contestata ha cessato di produrre i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Ciò premesso, tenuto conto che:

il numero di interessati convolti è pari a 10;

i dati raccolti sono stati tempestivamente cancellati;

l’Ateneo, aveva implementato talune misure organizzative volte a diffondere la conoscenza della normativa in materia di protezione dei dati personali, anche con specifico riferimento ai trattamenti svolti per scopi di ricerca scientifica, sia in data antecedente alla segnalazione, successivamente rafforzate al fine di evitare il ripetersi di fattispecie analoghe;

sono pertanto state implementate adeguate misure idonee a prevenire il ripetersi di eventi analoghi;

il fatto è imputabile ad un comportamento non intenzionale da parte dell’Ateneo ma riconducibile ad una culpa in vigilando dello stesso nei confronti delle persone autorizzate al trattamento;

non risultano pervenuti ulteriori reclami o segnalazioni al riguardo e l’Università ha fattivamente collaborato con l’Autorità coinvolgendo fin da subito il proprio responsabile della protezione dei dati;

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene pertanto, relativamente al caso in esame, che sia sufficiente ammonire l’Università di Torino, titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b) del Regolamento, per l’accertata violazione delle disposizioni contenute negli artt. 5, par. 1, lett. a), 9, 12 e 13 del Regolamento e dell’art. 7 del Regole deontologiche per trattamenti a fini statistici e di ricerca scientifica, art. 5, par. 2, 24, 25 e 32 del Regolamento e dell’art. 29 del Regolamento e 2-quaterdecies del Codice .

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dall’Università di Torino, Via Verdi, 8 - 10124 Torino, P.IVA. 02099550010/C.F. 80088230018, per la violazione degli artt. 5, par. 1, lett. a) e, 9, 12-13, 24,25, 29 e 32 del Regolamento e dell’art. 2-quaterdecies del Codice, nonché dell’art. 7 delle Regole deontologiche A.5 nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce il predetto Ateneo quale titolare del trattamento in questione, per le violazioni di cui sopra;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante;

d) ai sensi dell’art. 154 bis, comma 3 del Codice dispone la pubblicazione del presente provvedimento sul sito del Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Montuori