Provvedimento del 10 luglio 2025 [10162267]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10162267]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 386 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con tre distinti ma connessi reclami, presentati ai sensi dell’art. 77 del Regolamento, in relazione ai quali è stata disposta la trattazione congiunta ex art. 10, comma 4, del Regolamento del Garante n. 1/2019 (v. nota del XX, prot. n. XX), il sig. XX ha lamentato talune violazioni della normativa in materia di protezione dei dati personali da parte dell’Università degli Studi di Cassino e del Lazio Meridionale (di seguito, l’“Ateneo”), come in prosieguo illustrate, nel contesto dell’attività lavorativa da egli prestata in favore dell’Ateneo come docente universitario a contratto presso il Dipartimento di Lettere e Filosofia negli aa.aa. X (v. contratto del X), XX (v. contratto del XX) e XX (v. contratto del X), per il corso di laurea magistrale in Linguaggi e forme della comunicazione, soppresso dall’a.a. XX, con la conseguente cessazione dell’attività di docenza in data XX.

2. I reclami proposti all’Autorità, l’attività istruttoria e l’esito della stessa

2.1 Il trattamento dei dati personali contenuti nella casella di posta elettronica assegnata al reclamante

Il reclamante ha lamentato che l’Ateneo, pur avendo disposto il blocco dell’account di posta elettronica che gli era stato assegnato in qualità di docente, avrebbe, in realtà, soltanto provveduto a resettare la password di accesso, mantenendo, tuttavia, attiva la relativa casella di posta elettronica (“[inziale del nome.cognome]@unicas.it”) e conservando per un ampio arco temporale i messaggi in entrata e in uscita, nonostante il rapporto di lavoro fosse cessato quantomeno dal XX.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), l’Ateneo, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“l’impegno di docenza del [reclamante], cosi come da contratto stipulato in data XX […], aveva come conclusione degli adempimenti legati all’attività didattica la data dal XX”;

“la data in cui l’Ateneo ha provveduto a resettare la password di accesso all’account di posta elettronica del reclamante è il XX […;] la data di disattivazione dello stesso account, è il XX, tanto che - a partire da questa data - viene restituito il messaggio "Delivery Status Notification (Failure)" o similare a chi invia messaggi di posta all'account in questione”;

“l'account in questione ed i messaggi di posta elettronica sono stati cancellati in data XX […; in tale arco temporale, i dati in essi contenuti] sono stati trattati ai fini di archiviazione del pubblico interesse […, nonché] per verifiche ed eventuali obblighi legali al quale il titolare del trattamento poteva essere soggetto date le istanze poste in essere dall’interessato nel corso degli ultimi anni […]”.

In riscontro a un’ulteriore richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), l’Ateneo, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“nel periodo XX l’Ateneo ha predisposto un sistema automatico di risposta volto a informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti all'attività istituzionale del titolare del trattamento […]”;

“nel periodo XX, l’Ateneo ha provveduto ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo […]. Nessuno [poteva] visualizzare [tali messaggi] […]”;

“l’Ateneo ha provveduto alla cancellazione dell'account di posta elettronica in questione e dei messaggi in esso contenuti soltanto in data XX. Considerato che vengono gestiti decine di migliaia di account, è presumibile l’errore materiale. Si sottolinea, inoltre, che il periodo in questione (XX) era corrispondente alla piena emergenza COVID, con tutte le conseguenti difficolta”;

“nel periodo XX, l’Ateneo non ha acceduto ai messaggi contenuti nel predetto account di posta elettronica”.

Sulla base di quanto emerso nel corso dell’istruttoria, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, tenuto conto che l’Ateneo, effettuando una prolungata conservazione dei dati personali contenuti nei messaggi di posta elettronica contenuti in detta casella e, quantomeno fino al XX, omettendo di adottare misure finalizzate a rendere edotti i terzi mittenti della circostanza che il docente non avesse più la possibilità di accedere ai messaggi ricevuti, ha agito in maniera non conforme ai principi di liceità, correttezza e trasparenza e limitazione della conservazione, ponendo in essere un trattamento di dati privo di base giuridica, in violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Ateneo ha presentato una memoria difensiva, dichiarando, in particolare, che:

- le credenziali di accesso all’account di posta elettronica del reclamante sono state revocate “a far tempo dal mese di XX” in ragione del ritenuto scorretto utilizzo della posta elettronica;

- “[la casella di posta elettronica] è stato disattivat[a] in data XX ed i messaggi definitivamente cancellati in data XX. Nonostante il ritardo dovuto alla chiusura degli uffici dell’Ateneo nella fase emergenziale COVID, si evidenzia il comportamento collaborativo dell’Ateneo, che ha comunque provveduto, non appena possibile, alla relativa regolarizzazione”;

- “[…] seppur con un intervallo temporale prolungato rispetto ai riferimenti delle Linee Guida del Garante per posta elettronica ed internet, dati estranei ad archiviazione e conservazione di documentazione amministrativa non sono stati trattati in alcun modo, e tale prolungamento è stato legato ad emergenze di Ateneo che hanno impegnato tecnici ed amministratori di sistema, nonché i Responsabili dei trattamenti dati e il DPO, alla tutela di dati sensibili massivi legati alla pandemia, che hanno rallentato di non poco tutte le attività infrastrutturali di Ateneo”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX della medesima data), l’Ateneo ha dichiarato, in particolare, che:

- “il reclamante aveva utilizzato impropriamente il proprio account di posta elettronica […] e l’Università aveva quindi ritenuto di dover inibire al reclamante la possibilità di continuare ad accedere a tale account e di utilizzare lo stesso;

- “il reclamante rivendicava la possibilità di accedere nuovamente al proprio account di posta elettronica e, pertanto, l’Ateneo non avrebbe potuto procedere alla disattivazione dello stesso prima di far fronte alla pretesa del reclamante”;

- “in ogni caso nessuno all’interno dell’Ateneo ha avuto accesso ai messaggi di posta elettronica contenuti nell’account di posta del reclamante”;

- “deve comunque considerarsi che nel momento in cui l’Ateneo ha dovuto gestire la chiusura dell’account di posta elettronica del reclamante, era in corso l’emergenza pandemica da SARS-CoV-2, per cui l’attività tecnica e amministrativa dell’Ateneo è stata indirizzata alla gestione di altre priorità”.
Ciò premesso, dalla documentazione in atti emerge che, ancorché il rapporto contrattuale con il reclamante avrebbe dovuto formalmente concludersi in data XX, l’Ateneo ha revocato le credenziali di accesso all’account di posta elettronica del reclamante, in ragione del ritenuto scorretto utilizzo dello stesso, in data XX (cfr. con nota del XX. prot. n. XX, in atti).

A fronte della revoca delle credenziali, l’Ateneo ha disattivato la casella di posta elettronica del reclamante in data XX, allorquando i mittenti hanno cominciato a ricevere il messaggio "Delivery Status Notification (Failure)".

Tra il XX (formale data di conclusione del contratto) e il XX (data di disattivazione della casella di posta), l’Ateneo ha predisposto un sistema automatico di risposta volto a informare i terzi e a fornire a questi ultimi indirizzi alternativi riferiti all'attività istituzionale del titolare del trattamento.

Emerge, pertanto, che, nell’intervallo temporale intercorrente tra il XX (data della revoca delle credenziali) e il XX (formale data di conclusione del contratto e di attivazione del messaggio automatico di risposta), l’Ateneo non ha adottato alcuna misura per informare i mittenti dell’avvenuta cessazione dell’attività lavorativa del reclamante presso l’Ateneo e della necessità di indirizzare ad altro indirizzo istituzionale eventuali comunicazioni afferenti all’attività di docenza già prestata.

Con riguardo al coretto utilizzo della posta elettronica e della rete Internet nel contesto lavorativo, il Garante, sin dal 2007, ha fornito specifiche indicazioni ai titolari del trattamento (v. provv. “Lavoro: le linee guida del Garante per posta elettronica e internet”, adottato con Del. n. 13 del 1° marzo 2007, doc. web n. 1387522), evidenziando, in particolare, che “il contenuto dei messaggi di posta elettronica - come pure i dati esteriori delle comunicazioni e i file allegati - riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un´ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale)”.

Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza (v, più di recente, il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del XX, doc. web n. 10026277, par. 2, e le richiamate "Linee guida del Garante per posta elettronica e Internet", punto 5.2, lett. b).

In dette Linee guida del Garante è stato, tra le altre cose, chiarito che ogni operazione relativa al servizio di posta elettronica deve essere effettuata nel rispetto dei principi di necessità, correttezza, pertinenza e non eccedenza nonché con un livello di tutela tale da impedire interferenze ingiustificate sui diritti fondamentali dei lavoratori, dei terzi mittenti e/o dei destinatari delle medesime comunicazioni. L’Autorità ha, altresì, evidenziato (v. punto 5.2, lett. b)) che può considerarsi conforme ai predetti principi la condotta del titolare che provveda, dopo la cessazione del rapporto di lavoro dell’interessato, alla disattivazione dell’account di posta elettrica e alla contestuale adozione di sistemi automatici atti a informarne i terzi e a fornire a questi ultimi indirizzi di posta elettronica alternativi riferiti all’attività del medesimo titolare, evitando in tal modo di prendere visione delle comunicazioni in entrata o in uscita presenti nella casella di posta elettronica assegnata su base individuale al lavoratore (cfr. provv.ti 27 marzo 2025, n. 188, in corso di pubblicazione; 21 dicembre 2023, n. 602, doc. web n. 9978536; 31 agosto 2023, n. 464, doc. web n. 9942133; 22 giugno 2023, n. 263, doc. web n. 9920814; 9 marzo 2023, n. 68, doc. web n. 9877754; 21 luglio 2022, n. 255, doc. web n. 9809466, punto 3.2.1; 7 aprile 2022, n. 127, doc. web n. 9771545; 29 settembre 2021, n. 353, doc. web n. 9719914; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4; nello stesso senso v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. par. 14.5).

Sebbene l’Ateneo abbia dichiarato di non aver acceduto ai messaggi di posta elettronica contenuti nella casella del reclamante, risulta in atti che lo stesso ha comunque conservato detti messaggi fino al XX, ovvero per circa due anni dopo la cessazione dell’attività lavorativa del reclamante. Al riguardo, nel corso dell’istruttoria non è stata fornita alcuna giustificazione in merito alle ragioni per quali tali messaggi sono stati conservati per un così esteso arco temporale, né risultano evidenze delle scelte organizzative effettuate sul piano generale dall’Ateneo in relazione alla gestione delle caselle di posta elettronica dei docenti, anche sotto il profilo della predeterminazione dei tempi di conservazione, essendosi, invece, l’Ateneo limitato ad imputare la tardiva cancellazione degli stessi a un “presumibile […] errore materiale”, tenuto conto che “vengono gestiti decine di migliaia di account” nonché considerata la “piena emergenza COVID, con tutte le conseguenti difficolta”.

Né può essere invocata la finalità di “archiviazione e conservazione della documentazione amministrativa” (v. nota del XX, prot. n. X), atteso che possono essere legittimamente trattati dati personali per la predetta finalità solo se gli stessi sono contenuti in specifici documenti formati dalle strutture dell’Università, compresi quelli relativi al rapporto di lavoro con il personale docente e non docente, le loro aggregazioni in fascicoli e archivi, o comunque regolarmente acquisite agli atti dell’Amministrazione attraverso procedure di protocollazione (cfr. l’art. 22 della l. n. 241/1990, in merito alla definizione di “documento amministrativo”, nonché l’art. 10, comma 2, lett. b), del d.lgs. n. 22/2004 - “Codice dei Beni culturali e del Paesaggio”, che parifica soltanto tali atti ai “beni culturali sottoposti alle tutele e alle garanzie previste dalla legge”). Caratteristiche queste che non hanno, invece, i messaggi di posta elettronica scambiati tramite le caselle di posta elettronica assegnate ai dipendenti, che, come noto, sono invece considerati, a tutti gli effetti, corrispondenza costituzionalmente tutelata (artt. 2 e 15 Cost.).

Alla luce delle considerazioni che precedono, deve concludersi che, ancorché senza effettuare alcun accesso alla casella di posta elettronica assegnata al reclamante in qualità di docente, l’Ateneo, effettuando una prolungata conservazione dei dati personali contenuti nei messaggi di posta elettronica contenuti in detta casella e, quantomeno fino al XX, omettendo di adottare misure finalizzate a rendere edotti i terzi mittenti della circostanza che il docente non avesse più la possibilità di accedere ai messaggi ricevuti, ha agito in maniera non conforme ai principi di liceità, correttezza e trasparenza e limitazione della conservazione, ponendo in essere un trattamento di dati privo di base giuridica, in violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento.

2.2. Le istanze di esercizio dei diritti rivolte dal reclamante all’Ateneo e la diffusione online dei dati personali del reclamante e di altri interessati

2.2.1 L’istanza del XX

Il reclamante ha lamentato il mancato riscontro a un’istanza di esercizio dei diritti, rivolta all’Ateneo in data XX, ai sensi degli artt. 15-22 del Regolamento, con cui lo stesso ha chiesto: “conferma che sia o meno in corso un trattamento per via telematica sul sito web di Ateneo di dati personali che lo riguardano nonché a mezzo sistemi di posta elettronica di Ateneo; conferma che l’Ateneo detenga dati personali - comuni e sensibili - che lo riguardano; la cancellazione dei dati personali sensibili di natura giudiziaria ovvero sanitaria quali detenuti dall’Ateneo per cessazione del rapporto di lavoro con l’amministrazione […]; l’oppo[sizione] al trattamento dei suoi dati personali sensibili di natura giudiziaria ovvero sanitaria quali detenuti dall’Ateneo ai sensi dell’art. 6, paragrafo 1, lettera e) o lettera f), [del Regolamento… alla luce della] cessazione del rapporto di lavoro […]”.

Dopo aver ricevuto copia del riscontro a seguito dell’istruttoria avviata dall’Autorità (v. nota dell’Ateneo prot. n. XX del X), il reclamante ha poi eccepito l’inidoneità dello stesso.

L’Ateneo, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“all’istanza [del reclamante] datata XX ma presentata con prot. XX il XX è stato fornito pronto riscontro con comunicazione prot. XX del XX […] inviata presso l’indirizzo fisico indicato nell’istanza stessa […] e via email”;

l’Ateneo “ha [, pertanto,] provveduto a tale adempimento ben entro i termini di cui all’art. 12 GDPR, e fornendo le informazioni richieste sia mediante comunicazione scritta sia in forma elettronica. L’eventuale mancato recapito della risposta è pertanto sicuramente non imputabile al titolare del trattamento […]”.

In riscontro a una successiva richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), l’Ateneo, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“la richiesta di cancellazione dei propri dati personali a pochi giorni dalla scadenza del contratto [, ovvero il XX,] avrebbe potuto compromettere l’esito delle procedure amministrative ancora in essere rispetto agli emolumenti dovuti nei confronti del docente a contratto, nonché altri aspetti legati alla valutazione delle attività di docenza che l’Ateneo conduce regolarmente”;

“inoltre, erano in essere anche altre procedure relative ad accessi agli atti che lo stesso [reclamante] aveva presentato nei confronti [dell’Ateneo] e, come già evidenziato nel riscontro del XX prot. 11385, l’Università ha ritenuto di far riferimento all’art. 17 del [Regolamento], c. 3 […] condizioni sussistenti nello specifico tanto che l’Ateneo ha valutato la prosecuzione del trattamento del dato”;

In riscontro a un’ulteriore richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), l’Ateneo, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“il trattamento dei dati personali del reclamante è avvenuto nell'ambito di procedimenti para giurisdizionali [, dinnanzi alla Commissione per l’accesso ai documenti amministrativi presso la Presidenza del Consiglio dei Ministri – di seguto “CADA”,] promossi dallo stesso reclamante e al fine di assicurare la tutela degli interessi dell'Amministrazione convenuta in dette sedi. Di qui l’impossibilità di dare seguito alla richiesta proveniente dal reclamante, in quanto ostativa alle finalità defensionali dell’Ente”;

“il trattamento dei dati personali del reclamante [è] stato giustificato dalle esigenze di archiviazione e conservazione della documentazione amministrativa, ai sensi del d.lgs. n. 42/2004 (Codice dei Beni culturali e del Paesaggio), in base al quale i singoli documenti formati dalle strutture dell’Università […], compresi quelli relativi al rapporto di lavoro intercorso con il reclamante, le loro aggregazioni in fascicoli e archivi, sono beni culturali sottoposti alle tutele e alle garanzie previste dalla legge.

L’Ateneo, con assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, ha, pertanto, dichiarato che, sebbene l’istanza del reclamante di esercizio dei diritti recasse la data del XX, la stessa è pervenuta all’Ateneo in data XX, essendo stata acquisita al protocollo n. XX della medesima data, e che esso ha fornito riscontro a tale istanza con nota “prot. XX del XX”, inviata al reclamante sia a mezzo posta sia a mezzo posta elettronica. Pertanto, essendo stato tale riscontro fornito entro il termine massimo di trenta giorni previsto dalla normativa europea in materia di protezione dei dati, non risulta comprovata la lamentata violazione dell’art. 12, par. 3, del Regolamento, dovendosi, pertanto, disporre l’archiviazione del reclamo, limitatamente a tale profilo (v. art. 11, par. 1, lett. b), e 14, par. 3, del Regolamento n. 1/2019)

Quanto al merito di tale riscontro, l’Ufficio, con la richiamata nota del XX, ha notificato all’Ateneo ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, poiché l’Ateneo non ha né puntualmente risposto alle specifiche richieste del reclamante né ha motivato il diniego opposto alla domanda di cancellazione dei dati personali sensibili e giudiziari, nonché di opposizione al trattamento degli stessi, avendo, pertanto, agito in violazione degli artt. 12, par. 3, 17 e 21 del Regolamento.

Con la già citata memoria difensiva del XX, l’Ateneo ha dichiarato, in particolare, che […] i trattamenti dei dati personali sono stati effettuati per resistere nei plurimi ricorsi alla [CADA], definiti nella maggioranza dei casi con decisioni di inammissibilità, nonché al fine dare esecuzione alle istanze di acquisizione di atti provenienti dalla Procura della Repubblica presso il Tribunale di Cassino nell’ambito [di un] procedimento penale […] attivato su impulso dal medesimo reclamante, oltre alla necessità di dare compiuto riscontro alle richieste di informazioni e dati pervenute da parte dell’Ispettorato della Funzione Pubblica, nell’ambito dell’attività specifiche di vigilanza ed ispezione poste in essere dal Dipartimento della Funzione Pubblica”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data X (v. verbale prot. n. XX della medesima data), l’Ateneo, in relazione a tutte le istanze di esercizio dei diritti presentate dal reclamante e che costituiscono oggetto di reclamo ha dichiarato che “la vicenda deve inquadrarsi nell’ambito dei complessi e problematici rapporti in essere tra l’Ateneo e il reclamante, il quale, da una parte, ha presentato all’Ateneo numerose istanze di accesso documentale, dall’altra, ha chiesto la cancellazione dei propri dati personali, creando notevoli difficoltà operative all’Ateneo, che ha dovuto gestire tali molteplici richieste (nonché il relativo contenzioso dinnanzi alla [CADA]), apparentemente tra loro contradditorie, con notevole sforzo sul piano amministrativo. L’Ateneo ha poi dovuto continuare a trattare i dati personali del reclamante nell’ambito di un procedimento penale attivato dallo stesso, per fornire riscontro a specifiche istanze dell’Autorità giudiziaria”.

Deve, al riguardo, osservarsi che il riscontro fornito dall’Ateneo all’istanza del reclamante si caratterizza per la non completa corrispondenza alle specifiche richieste formulate dallo stesso. In particolare, l’Ateneo non ha confermato o meno che fossero in corso trattamenti di dati personali mediante diffusione online sul proprio sito web o nell’ambito dei propri sistemi di gestione della posta elettronica e, più in generale, se l’Ateneo detenesse dati personali relativi all’interessato, indicando gli stessi.

In relazione, invece, alla richiesta di opposizione al trattamento e cancellazione dei dati sensibili e giudiziari relativi al reclamante, l’Ateneo ha del tutto genericamente fatto riferimento alla necessità di continuare a conservare tali dati “per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”, così riprendendo testualmente l’art. 17, par. 3, lett. e), del Regolamento, nonché l’art. 21 dello stesso, che consente al titolare del trattamento di non accogliere un’istanza di opposizione al trattamento, se quest’ultimo è necessario “per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”. Ciò, tuttavia, senza aver esplicitato le specifiche esigenze di accertamento, esercizio o difesa nell’ambito di un procedimento giudiziario già pendente o quantomeno imminente. Come, infatti, in più occasioni ribadito dall’Autorità, il trattamento di dati personali effettuato per la finalità di tutela dei propri diritti deve essere riferito a un contenzioso in atto e non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento (cfr. provv.ti 17 luglio 2024, n. 472, doc. web n. 10053224; 7 aprile 2022, n. 127, doc. web n. 9771545; 29 ottobre 2020, n. 214, doc. web 9518890). Tale principio è stato peraltro richiamato anche nell’ambito del Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1, del d.lgs. 10 agosto 2018, n. 101 del 5 giugno 2019 (doc. web n. 9124510, all. 1, par. 1.3. lett. d)).

Né l’Ateneo ha fatto presente al reclamante la necessità di conservare e trattare tali dati per “esigenze di archiviazione e conservazione della documentazione amministrativa, ai sensi del d.lgs. n. A2/2004 (Codice dei Beni culturali e del Paesaggio)”, esigenza questa rappresentata all’Ufficio dell’Autorità soltanto nel corso dell’istruttoria relativa al reclamo e comunque in modo non conferente rispetto ai trattamenti connessi alla gestione della casella di posta elettronica del reclamante. Le medesime considerazioni valgono anche in merito all’asserita esigenza dell’Ateneo di conservare i dati per far valere i propri diritti nell’ambito di procedimenti dinnanzi alla CADA, nonché per dare esecuzione a istanze di acquisizione di atti provenienti dalla Procura della Repubblica o dall’Ispettorato della Funzione Pubblica, trattandosi di esigenze manifestate unicamente all’Autorità nel corso del procedimento e non, invece, nell’ambito del riscontro fornito all’interessato.

Alla luce delle considerazioni che precedono, deve concludersi che l’Ateneo, pur avendo tempestivamente fornito riscontro all’istanza del reclamante, non ha né puntualmente risposto alle specifiche richieste dello stesso né ha motivato il diniego opposto alla domanda di cancellazione dei dati personali sensibili e giudiziari, nonché di opposizione al trattamento degli stessi, avendo, pertanto, agito in violazione degli artt. 12, par. 3, 17 e 21 del Regolamento.

2.2.2 L’istanza del XX e la diffusione online dei dati personali del reclamante e di altri interessati

Il reclamante ha lamentato il “mancato riscontro a nota […] del XX d’esercizio dei diritti in materia di protezione dei dati personali, ex artt. 15-22, Regolamento […], con accesso ai dati personali comuni e sensibili, ex art. 15, Reg. cit., e specifica richiesta di intervento sui dati, ex artt. 16-18, Reg. cit.”.

In particolare, il reclamante aveva chiesto all’Ateneo la “rimozione dal sito web d’Ateneo e dal motore di ricerca Google della nota di trasmissione del Dipartimento di Economia e Giurisprudenza del XX ed annesso parere del Consiglio di Dipartimento di Economia e Giurisprudenza del XX per l’attribuzione d’incarico insegnamento nell’a.a. XX”. Ciò “per l’espresso motivo della cessazione della docenza a contratto ed irrilevanza dell’atto per obsolescenza stante il tempo intercorso – XX, quasi anni 4 e mesi 6 – dalla data di adozione degli atti oggetto d’istanza di cancellazione dal sito web d’Ateneo”, nonché in considerazione del fatto che “il […] corso d’insegnamento [è] stato oggetto di soppressione dall’a.a. XX per assenza d’iscritti […], di talché pacifico che non sussista alcun motivo lecito e pertinente che possa giustificare il mantenimento di tali atti contenenti dati personali del reclamante a sito web laddove non sussiste neppure più il corso tenuto dal reclamante, né studenti del medesimo ed il docente ha formalmente cessato la sua attività dal XX”.

Con nota dell’Autorità del XX (prot. n. XX), l’Ateneo è stato invitato, ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante, a fornire riscontro alla predetta istanza.

Con nota del XX (prot. n. XX), l’Ateneo ha rappresentato che “l’istanza cui si fa riferimento […], con data XX ed intestazione del destinatario rpd@unicas.it, a seguito di ricerca e verifica, è transitata nella casella elettronica rpd@unicas.it di Ateneo in data XX, finendo, per cause non imputabili ad una volontà di mancato riscontro, nella casella Spam”.

Con messaggio di posta elettronica del XX, inviato sia all’Autorità sia al reclamante, è stata prodotta in atti “la comunicazione mail inviata all'interessato […], in data odierna […] protocollata con n. XX del XX”.

Nel merito, con riguardo alla lamentata diffusione dei dati personali contenuti in un atto amministrativo relativo alla docenza dell’a.a. XX, costituito dal parere reso da un altro Dipartimento dell’Ateneo ai fini del conferimento dell’incarico da docente, l’Ateneo, con la predetta nota del X, ha dichiarato, in particolare, che “la pubblicazione dello specifico contenuto e la diffusione online sul sito web di Ateneo” sono state effettuate ai sensi degli “articoli 14 (comma 2) e 15 (comma 4) [del] D.Lgs. 33/2013, ai sensi del quale i dati di cui ai commi 1 e 2 sono pubblicati entro tre mesi dal conferimento dell’incarico, nel caso specifico di docenza a contratto del [reclamante], e per i tre anni successivi alla cessazione dell’incarico”, dovendosi considerare che “il docente ha concluso le sue attività con la seduta di laurea tenutasi il XX presso il Dipartimento di Lettere, fermo restando la scadenza degli impegni formali come da contratto di docenza stipulato con lo stesso Dipartimento fino al XX”.

Con nota del XX, inviata al reclamante e all’Autorità, l’Ateneo ha dichiarato che “in data XX […] ha provveduto alla cancellazione del file di cui al link pubblicato sulla pagina del Dipartimento di Lettere: https://...“.

In riscontro a una richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX, reiterata con nota prot. n. XX del XX), l’Ateneo, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che

- “il [reclamante] è stato affidatario per gli a.a. XX, XX, XX, di contratti di insegnamento sostitutivo ai sensi dell'art. 23, Legge 240/2010 […]”;

- “il sopra citato art. 23 Legge 240/2010, al comma 2, prevede, tra l’altro, la possibilità per gli Atenei di stipulare contratti a titolo oneroso, nell’ambito delle proprie disponibilità di Bilancio, per far fronte a specifiche esigenze didattiche, anche integrative, con soggetti esterni in possesso di specifici requisiti scientifici e professionali. La stessa norma, fa rimando, all’autonomia regolamentare dei singoli Atenei, per l’individuazione delle procedure di affidamento che devono assicurare in ogni caso: “la valutazione comparativa dei candidati e la pubblicità dei relativi atti procedurali”;

- “in esecuzione di tali disposizioni legislative, l’Ateneo ha emanato con DR. n. XX del XX, apposito Regolamento per l’attribuzione degli incarichi di insegnamento ai sensi dell'art. 23, Legge 240/2010 […], che all'art. 4, lettera c, prevede, tra le possibili modalità di attribuzioni degli incarichi de quo, l’affidamento a titolo oneroso in capo a soggetti esterni, in possesso di adeguati requisiti scientifici e professionali, mediante esperimento di procedura di valutazione comparativa susseguente ad avviso pubblico, previo parere favorevole della struttura didattica competente”;- “in attuazione delle anzidette disposizioni legislative e regolamentari, per l’a.a. XX, con Avviso Rettorale del XX […], è stata indetta una selezione pubblica per l’attribuzione, tra l’altro, di un incarico di insegnamento in Diritto Pubblico Comparato del Dipartimento di Lettere e Filosofia, cui ha partecipato come candidato il [reclamante]. Lo stesso Avviso all’art. 4, prevede, l’assegnazione dell'incarico previo superamento di apposita valutazione comparativa, sulla base di criteri predeterminati, tra i quali la valutazione delle esperienze didattiche, scientifiche e dei titoli posseduti. Nell'ambito di tale processo valutativo, ai sensi del citato art.4 del Regolamento di Ateneo, assume rilievo il parere che viene espresso dalla struttura didattica competente, nel caso di specie, il Consiglio di Dipartimento di Economia e Giurisprudenza, cui afferisce la disciplina inerente all'insegnamento di Diritto Pubblico Comparato, oggetto dell'Avviso di selezione”;

- “con delibera del XX il Consiglio del Dipartimento di Economia e Giurisprudenza, ha espresso parere positivo sulla valutazione della professionalità e dei titoli del [reclamante] all'esito del quale la competente struttura Dipartimentale di Lettere e Filosofia, con deliberazione del XX ha affidato l’incarico di insegnamento in capo al [reclamante], al quale, ha fatto seguito la stipula del contratto in data XX relativamente all’a.a. XX, con inizio delle attività contrattuali dal XX […]. Le attività contrattuali di cui trattasi si sono protratte a tutto il XX, per il completamento delle sessioni di esami di profitto, relative a detto anno accademico”;

- “in maniera chiara ed inequivocabile […] nella fattispecie in esame […] si vert[e] in ipotesi di procedura di selezione pubblica, i cui obblighi di pubblicazione dei relativi dati, ricadono sotto la previsione dell'art. 19, d.lgs. 33/2013, e ss.mm.ii”;

- “tale obbligo di pubblicità previsto ed autorizzato ex lege, per l'avviso di selezione di cui trattasi, trova peraltro, espressa conferma nelle previsioni legislative e regolamentari adottate dall’Ateneo […], che prescrive la pubblicità degli atti inerenti alle procedure pubbliche di affidamento dei contratti di insegnamento”;

- pertanto, “legittimamente, l’Ateneo, ha mantenuto sul proprio sito, il parere in questione, procedendo alla relativa rimozione in data XX, su espressa richiesta del reclamante e prima dello spirare del termine di cinque anni, decorrente dal XX”;

- “[…] a prescindere dal termine triennale di cui all’art. 15 comma 4, del D.lgs. n. 33/2013, previsto in via generale dalla citata norma per il trattamento e pubblicazione dei dati dei Consulenti e Collaboratori a vario titolo, nel caso in specie, trattandosi di affidamenti contrattuali per gli anni di riferimento (XX — XX — XX), avvenuti previo esperimento di procedura di valutazione comparativa esperita ai sensi del Regolamento di Ateneo allegato, si ribadisce che trovano nella fattispecie applicazione le disposizioni di cui all’art. 19 d.lgs.33/2023, in base alle quali i termini utili ai fini della pubblicazione dei relativi atti procedurali sono da considerarsi di cinque anni a decorrere dal 1 gennaio dell'anno successivo”;

- “non risultano affidamenti contrattuali relativi all'a.a. XX”.

Al termine dell’attività istruttoria, l’Ufficio, con la richiamata nota del XX, ha notificato all’Ateneo ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento:

- per aver l’Ateneo fornito riscontro al reclamante oltre il termine massimo di un mese di cui all’art. 12, par. 3, del Regolamento, senza aver informato l'interessato, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, come previsto dall’art. 12, par. 4, del Regolamento, avendo l’Ateneo agito in violazione degli artt. 12, parr. 3 e 4, del Regolamento;

- per aver diffuso i dati personali del reclamante e degli altri interessati i cui dati personali figurano nel parere in questione, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), e parr. 2 e 3, lett. b), del Regolamento, nonché 2-ter del Codice (nel testo antecedente e successivo alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente all’atto della pubblicazione).

Con la già citata memoria difensiva del XX, l’Ateneo ha dichiarato, in particolare, che:

- “il trattamento di cui è contestata la liceità […] trova la sua base giuridica nelle disposizioni di cui all’art.19 D.Lgs.33/2013 […, in quanto] l’affidamento contrattuale in capo al ricorrente rientra in una procedura di selezione pubblica i cui atti […] sono soggetti ad obbligo di pubblicità mediante pubblicazione degli stessi sul sito istituzionale dell’Amministrazione […] per un periodo di anni cinque, decorrenti dal 1 gennaio dell’anno successivo a quello da cui decorre l’obbligo di pubblicazione e comunque sino a che gli atti pubblicati producano i loro effetti”;

- “le Amministrazioni, ai sensi del citato art. 19, in tale lasso temporale non potranno disporre i filtri ed altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sessione Amministrazione Trasparente, tranne per i dati […] particolari o giudiziari, ai sensi degli artt. 7 bis comma 1 e 9, D.lgs. n. 33/2013”;

- pertanto, “legittimamente, l’Ateneo, ha mantenuto sul proprio sito il parere in questione, procedendo alla relativa rimozione in data XX su espressa richiesta del reclamante e prima dello spirare del termine di cinque anni, decorrente dal XX, escludendo, quindi, un illecito trattamento di dati personali del reclamante quale ex docente a contratto nell’a.a. XX”;

- “si evidenzia, infine, come il suddetto parere […] non cont[iene] dati sensibili o particolari […]”.

In occasione dell’audizione tenutasi in data XX, l’Ateneo ha dichiarato, in particolare, che “il parere del Dipartimento di Lettere e Filosofia, reso ai fini della possibile assegnazione di un insegnamento al reclamante, […] afferente alla procedura amministrativa in questione, [è stato pubblicato] in conformità a quanto previsto dai propri regolamenti interni, per finalità di trasparenza, così come evidenziato nelle memorie difensive (v. l. 240/2010 […] e relativo regolamento attuativo di Ateneo di cui al d.r. 354 del 27 luglio 2011). Peraltro, si trattava di un parere positivo, che era pertanto inidoneo a ledere l’immagine professionale del reclamante” (v. verbale cit.).

Ciò premesso, con riguardo al lamentato ritardo nel riscontro fornito all’istanza di esercizio dei diritti del reclamante, si osserva che, come dichiarato dall’Ateneo, il messaggio di posta elettronica con il quale è stata presentata la predetta istanza è finito “per cause non imputabili ad una volontà di mancato riscontro, nella casella Spam”. Tale argomento difensivo non può, tuttavia, ritenersi sufficiente al fine di poter escludere la responsabilità del titolare del trattamento, essendo onere dello stesso consultare regolarmente anche la cartella contenente la posta elettronica in arrivo che il sistema ha contrassegnato come indesiderata.

L’Ateneo ha, pertanto, fornito riscontro al reclamante oltre il termine massimo di un mese di cui all’art. 12, par. 3, del Regolamento, senza averlo informato, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, come previsto dall’art. 12, par. 4, del Regolamento.

L’Ateneo ha, pertanto, agito in violazione degli artt. 12, parr. 3 e 4, del Regolamento.

Con riguardo, invece, al profilo di reclamo che attiene alla diffusione dei dati personali del reclamante, contenuti nella nota di trasmissione del Dipartimento di Economia e Giurisprudenza del XX ed annesso parere del Consiglio di Dipartimento di Economia e Giurisprudenza del XX per l’attribuzione d’incarico insegnamento nell’a.a. XX, si osserva che tale parere è stato formalmente reso per l’insegnamento conferito al reclamante nell’anno accademico XX.

Al riguardo, l’Ateneo ha dichiarato nel corso dell’istruttoria che la pubblicazione dei documenti in questione sarebbe avvenuta in base a quanto disposto dall’art. 19 del d.lgs. 14 marzo 2013, n. 33, ai sensi del quale “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l'amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori”, riferendosi, pertanto, tale norma alle sole graduatorie finali e non anche ad altri atti e documenti di natura endoprocedimentale.

Per quanto attiene ai profili di protezione dei dati, deve evidenziarsi che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 6, par. 1, lett. c) ed e), e parr. 2 e 3 del Regolamento; art. 2-ter del Codice).

In relazione alla pubblicità degli esiti delle prove concorsuali, le norme di settore stabiliscono, in via generale, la pubblicità dei provvedimenti e delle graduatorie finali, nonché degli altri atti riguardanti i concorsi, le prove selettive e le progressioni di carriera, e altri procedimenti che si concludono con la formazione di graduatorie. Altre specifiche forme di conoscibilità di tali atti, previste dall’ordinamento, trovano la propria disciplina in disposizioni stratificatesi nel tempo al fine di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa.

Tali norme dispongono che siano pubblicate le sole graduatorie definitive dei vincitori di concorso (cfr. art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché art. 15, d.P.R. 9 maggio 1994, n. 487, in particolare, commi 5, 6 e 6-bis, “Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi” e più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35, comma 3, d. lgs. 30 marzo 2001, n. 165) e non anche gli atti interni della procedura selettiva contenenti i dati personali dei candidati, come il predetto parere nel caso di specie.

Anche i generali obblighi di trasparenza, gravanti in capo ai soggetti pubblici o che svolgono compiti di interesse pubblico, prevedono la pubblicazione delle sole “graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori” (art. 19, comma 1, del d.lgs. 14 marzo 2013, n. 33). Pertanto, le disposizioni in materia di trasparenza dell’azione amministrativa, invocate dall’Ateneo nel corso dell’istruttoria, non consentono la pubblicazione di atti e documenti diversi dalle graduatorie finali, come, nel caso di specie, la nota di trasmissione del Dipartimento di Economia e Giurisprudenza del XX e l’annesso parere del Consiglio di Dipartimento di Economia e Giurisprudenza del XX (v. le indicazioni fornite al riguardo dal Garante con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014, doc. web n. 3134436, spec. II, par. 3.b; v. anche le “Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, n. 161, doc. web n. 1417809, spec. par. 6.1).

Risulta altresì inconferente ai fini della giustificazione della pubblicazione del predetto parere il richiamo all’art. 15 del d.lgs. 14 marzo 2013, n. 33, il quale prevede la pubblicazione per finalità di trasparenza dei soli estremi dell’atto di conferimento dell’incarico nonché l'oggetto, la durata e il compenso previsti. In ogni caso, nel caso di specie, oggetto di pubblicazione e reclamo è stato non già l’atto di conferimento dell’incarico, bensì un mero atto endoprocedimentale, vale a dire il parere reso dal predetto Consiglio di Dipartimento.

Non possono poi essere accolte le ulteriori argomentazioni, prospettate dall’Ateneo, che farebbero derivare la legittimità della pubblicazione dei documenti in questione dal “Regolamento per l’attribuzione degli incarichi di insegnamento ai sensi dell'art. 23, Legge 240/2010”, adottato dall’Ateneo con DR. n. XX del XX, che nulla dispone in tema di pubblicazione degli atti delle procedure finalizzate all’attribuzione di detti incarichi. Né l’Ateneo ha comprovato di aver adottato ulteriori regolamenti, disciplinanti, ai sensi di quanto previsto dall’art. 23, comma 2, della l. 30 dicembre 2010, n. 24, “la pubblicità degli atti” relativi alle procedure di affidamento di incarichi di insegnamento “per fare fronte a specifiche esigenze didattiche, anche integrative, con soggetti in possesso di adeguati requisiti scientifici e professionali".

Deve, pertanto, rilevarsi l’illiceità del trattamento di dati personali effettuato dall’Ateneo, per aver diffuso i dati personali del reclamante e degli altri interessati i cui dati personali compaiono nei documenti in questione, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), e parr. 2 e 3, lett. b), del Regolamento, nonché 2-ter, del Codice.

2.2.3 L’istanza del XX

Il reclamante ha lamentato il mancato riscontro, da parte dell’Ateneo, a un’istanza d’esercizio dei diritti, formulata ai sensi degli artt. 12, 15 e 16-18 del Regolamento e inviata all’Ateneo in data XX.

In particolare, quanto al diritto di cancellazione, l’interessato ha chiesto “la cancellazione ovvero rimozione dei dati personali dal sito web d’Ateneo e dal motore di ricerca Google di dati ed informazioni relativi all’opponente al trattamento quali pubblicati a sito web d’Ateneo e quali tuttora reperibili ai seguenti sette URL:

https://...

Con nota del XX (prot. n. XX), l’Autorità, ai sensi dell’art. 15 del Regolamento n. 1/2019, ha invitato l’Ateneo a fornire riscontro alla predetta istanza dell’interessato, entro il termine di 20 giorni dalla data di ricevimento di detto invito.

Con nota del XX, il reclamante, integrando il proprio reclamo, ha lamentato anche la pubblicazione sul sito web istituzionale dell’Ateneo dei seguenti documenti relativi all’insegnamento svolto negli aa.aa. XX e XX: ”1) https://...; 2) https://...”.

Con nota del XX (prot. n. XX), inviata all’Autorità e al reclamante, l’Ateneo ha dichiarato, in particolare, che:

- “con nota del XX, acquisita al Prot. Unicas n. XX, il [reclamante] […] ai sensi degli artt.15 -22 del Regolamento […] [ha chiesto], in particolare, di conoscere se fossero in corso trattamenti di dati personali […], sia per via telematica sul sito web di Ateneo, sia a mezzo sistemi di posta elettronica, in caso di conferma di poter accedere agli stessi, di conoscere le relative finalità del trattamento, nonché i destinatari o le categorie di destinatari, ai quali gli stessi sono stati comunicati, nonché il relativo periodo di conservazione”:

- “inoltre lo stesso richiedente […] volgeva istanza […] di cancellazione di tutti i dati personali e particolari, trattati a mezzo del sito web a seguito dell'intervenuta chiusura del rapporto di lavoro parasubordinato di docente […] relativamente agli anni accademici XX, XX, XX […]”;

- “[…] l’Amministrazione, con pec prot. XX del XX […] ha esercitato la possibilità di richiesta di parere [all’] Autorità, al fine di avere esatte indicazioni sulle modalità di riscontro alle istanze del richiedente, tenuto conto che la richiesta riguardava la cancellazione di dati personali, sensibili e giudiziari, per i quali l’Amministrazione, ai sensi delle vigenti disposizioni in materia di pubblicità e trasparenza, ha obblighi di conservazione, sia in relazione ai pregressi contenziosi, sia in relazione alla cessazione del rapporto di lavoro, riguardanti la posizione del richiedente. La suddetta richiesta di parere non risulta essere mai stata riscontrata [dall’] Autorità e tale circostanza ha comportato una dilatazione dei tempi di riscontro e il conseguente reclamo proposto dal richiedente, al quale la presente è inviata in risposta alle proprie istanze”;

- “[…] con nota prot. XX del XX […] era stato già comunicato all'indirizzo [di posta elettronica del reclamante] e al Garante […] il riscontro alla cancellazione dei dati sulla pagina del Dipartimento di Lettere e Filosofia dell'Ateneo […] [Si precisa che] alla data odierna, non risultano online trattamenti legati al pregresso rapporto di lavoro tra interessato ed Ateneo di Cassino”.

Con note del XX e XX, il reclamante ha replicato alla predetta nota dell’Ateneo, eccependo, in particolare, che, ciononostante, risultavano ancora pubblicati sul sito web istituzionale d’Ateneo i seguenti documenti, contenenti dati personali a egli relativi:

- https://...

Al riguardo, dando seguito a un’ulteriore richiesta d’informazioni dell’Autorità (nota prot. XX del XX), l’Ateneo, con nota del XX (prot. n.XX), ha dichiarato, in particolare, che “a seguito della ricognizione, già alla data di invio dell’istanza dell’interessato [,] molti URL non risultavano attivi. In ogni caso si è provveduto alla rimozione degli stessi che rimandavano a contenuti del vecchio sito […]. Il passaggio al nuovo portale è stato complesso e ha comportato non poche difficoltà organizzative e gestionali inerent[i] alla trasmigrazione e/o cancellazione dei contenuti. Alla data odierna […] non sono presenti online documenti relativi agli URL indicati nell’istanza dell’interessato”.

Al termine dell’attività istruttoria, l’Ufficio, con la richiamata nota del XX, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver agito in violazione degli artt. 12, parr. 3 e 4, del Regolamento.

Con la già citata memoria difensiva del XX, l’Ateneo ha dichiarato, in particolare, che “l’Ateneo [ha] proceduto alla relativa rimozione dei documenti e dati oggetti oggetto dell’istanza del reclamante”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX della medesima data), l’Ateneo ha dichiarato che, “quanto ai documenti reperibili online e oggetto di reclamo, si conferma che nell’attuale sito web dell’Ateneo tali documenti non erano e non sono consultabili. Il reclamante ha fatto riferimento a versioni di tali documenti reperibili soltanto tramite consultazione di un motore di ricerca, essendo rimaste delle copie indicizzante afferente alla precedente sito web dell’Ateneo, in fase di dismissione”.

Ciò premesso, si osserva che, a fronte della richiesta di esercizio (v. art. 12 del Regolamento) dei diritti di accesso ai dati personali (v. art. 15 del Regolamento), cancellazione dei dati personali (v. art. 17 del Regolamento) e opposizione al trattamento dei dati sensibili e giudiziari, formulata in data XX in ragione della conclusione del rapporto di lavoro, l’Ateneo ha fornito parziale riscontro all’interessato, a seguito dell’invio rivoltogli dall’Autorità in data XX, soltanto in data XX.

Con tale nota, l’Ateneo si è comunque limitato a dare atto della rimozione dal proprio sito web istituzionale dei documenti afferenti al cessato rapporto di docenza e contenenti i dati personali del reclamante, non avendo, invece, fornito alcun riscontro con riguardo all’istanza di esercizio dei diritti di accesso e opposizione al trattamento. Ciò senza essersi accertato che i documenti in questione non fossero più consultabili online anche nella versione del proprio sito web istituzionale in fase di dismissione.

Anche per quanto concerne il diritto alla cancellazione, l’Ateneo ha in realtà compiutamente fornito riscontro all’istanza del reclamante soltanto con nota del XX (prot. n. XX), avendo comunicato allo stesso di aver provveduto all’effettiva rimozione dal proprio sito web dei documenti oggetto dell’istanza del reclamante, che, nonostante le rassicurazioni offerte allo stesso, erano rimasti ancora online.

Come, peraltro, fatto presente all’Ateneo con nota del XX (prot. n. XX), non rileva che l’Ateneo avesse rivolto all’Autorità una richiesta di parere in merito all’istanza di esercizio dei diritti dell’interessato. Deve, infatti, considerarsi che, tra i compiti attribuiti dalla legge all’Autorità (v. artt. 57 del Regolamento e 154 del Codice) non è previsto quello di fornire riscontro a quesiti o a richieste di parere di soggetti privati o pubblici, fatti salvi i casi espressamente previsti dalla legge, tra i quali non rientrava quello in esame, pur potendo l’Autorità comunque “fornire riscontro a quesiti quando riguardano questioni di specifico interesse per la protezione dei dati personali” (art. 35 del Regolamento n. 1/2019), circostanza che comunque non si è ritenuto sussistesse nel caso di specie. In ossequio al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), spetta, infatti, al titolare del trattamento, in caso di esercizio dei proprio diritti da parte di un interessato, valutare nel merito, anche - se del caso - avvalendosi del supporto del proprio Responsabile della protezione dei dati, l’istanza dell’interessato e fornire tempestivamente riscontro allo stesso entro i termini previsti dal Regolamento. Peraltro, nel caso di specie, l’Ateneo, pur avendo acquisito l’istanza dell’interessato al proprio protocollo del XX, ha rivolto all’Autorità la predetta richiesta di parere in data XX, ovvero soltanto pochi giorni prima della data (XX) in cui sarebbe comunque decorso il termine massimo di trenta giorni previsto dall’art. 12, par. 3, del Regolamento ai fini del riscontro all’interessato, essendo stata, pertanto, in ogni caso intempestiva la richiesta di parere rivolta al Garante.

Né può prendersi in considerazione la circostanza che, come dichiarato dall’Ateneo nel corso dell’istruttoria, “con nota prot. XX del XX […], era stato già comunicato [al reclamante] e al Garante […], il riscontro alla cancellazione dei dati sulla pagina del Dipartimento di Lettere e Filosofia dell'Ateneo”, atteso che tale nota, evidentemente antecedente all'istanza dell’interessato del XX di cui si tratta in questa sede, afferiva alla cancellazione dal sito web dell’Ateneo di un diverso documento (https://...), peraltro nell’ambito di un separato procedimento avviato dall’Autorità in relazione a un diverso reclamo presentato dal medesimo interessato.

Alla luce delle considerazioni che precedono, risulta accerto che l’Ateneo ha fornito riscontro all’istanza dell’interessato, peraltro soltanto parzialmente, oltre il termine massimo di un mese di cui all’art. 12, par. 3, del Regolamento, senza aver informato l'interessato, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, come previsto dall’art. 12, par. 4, del Regolamento. L’Ateneo ha, pertanto, agito in violazione degli artt. 12, parr. 3 e 4, del Regolamento.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ateneo, per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a) ed e), 6, 12, parr. 3 e 4, 17 e 21 del Regolamento, nonché 2-ter, del Codice.

Le violazioni delle predette disposizioni hanno avuto luogo in conseguenza di due distinte condotte, che devono essere considerate separatamente ai fini sanzionatori: la prima relativa al trattamento dei dati personali contenuti nella casella di posta elettronica al tempo assegnata al reclamante, con la violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento (cfr. il precedente par. 2.1); la seconda, che può considerarsi unitaria (stesso trattamento o trattamenti tra loro collegati), relativa all’esercizio dei diritti dell’interessato e alla diffusione online dei dati personali dello stesso, con la violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), e parr. 2 e 3, lett. b), art. 12, parr. 3 e 4, e artt. 17 e 21, nonché 2-ter del Codice (cfr. i precedenti parr. 2.2.1, 2.2.2 e 2.2.3).

Per entrambe le condotte trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, per entrambe le condotte, le violazioni più gravi, relative agli artt. 5 e 6 del Regolamento, nonché, limitatamente alla seconda condotta, all’art. 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale di ciascuna sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che ciascuna condotta ha esaurito i suoi effetti - atteso che l’Ateneo ha dichiarato di aver “provveduto alla cancellazione dell'account di posta elettronica in questione e dei messaggi in esso contenuti […] in data XX”, nonché alla rimozione dal sito web istituzionale dell’Ateneo dei documenti contenenti i dati personali del reclamante - non ricorrano i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento. Con riguardo, invece, alle sopra menzionate istanze di esercizio dei diritti, si ritiene che, tenuto conto della complessità delle vicende che hanno coinvolto l’Ateneo e l’interessato, delle molteplici istanze di esercizio dei diritti rivolte da quest’ultimo all’Ateneo in diversi periodi, nonché del tempo trascorso dai fatti oggetto di reclamo, non ricorrano parimenti i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, fermo restando che, ove l’interessato via abbia ancora interesse, potrà eventualmente reiterare le proprie istanze nei confronti dell’Ateneo, anche richiamando il presente provvedimento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta, per ciascuna delle due condotte, all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

4.1 La condotta che attiene trattamento dei dati personali contenuti nella casella di posta elettronica al tempo assegnata al reclamante

Tenuto conto che:

ancorché i messaggi di posta elettronica presenti nell’account al tempo assegnato al reclamante siano stati erroneamente conservati per un esteso arco temporale, l’Ateneo non ha acceduto agli stessi (cfr. art. 83, par. 2, lett. a) e b), del Regolamento);

non risulta che il trattamento abbia riguardato dati personali appartenenti a categorie particolari (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Ateneo con circa 7.000 iscritti (a.a. XX), si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

tenuto conto della specifica tipologia di trattamenti posti in essere nel caso in questione, non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (cfr. art. 83, par. 2, lett. e), del Regolamento);

l’Ateneo ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento (cfr. il precedente par. 2.1), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento, ancorché limitatamente alla conservazione, ha riguardato dati personali contenuti in messaggi oggetto di corrispondenza, costituzionalmente tutelata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

4.2 La condotta che attiene alle istanze di esercizio dei diritti e alla diffusione online dei dati personali del reclamante

Tenuto conto che:

le violazioni relative all’esercizio dei diritti hanno riguardato un solo interessato e, come dichiarato dall’Ateneo, si sono verificate nel quadro di complessi e problematici rapporti tra lo stesso e il reclamante, il quale aveva presentato, oltre alle istanze di esercizio dei propri diritti d’interessato, anche numerose istanze di accesso documentale, circostanza questa che ha gravato sugli uffici dell’Amministrazione (cfr. art. 83, par. 2, lett. a), del Regolamento);

il mancato tempestivo riscontro all’istanza di esercizio dei diritti del XX è dipesa dal fatto che il messaggio di posta elettronica è pervenuto per errore nella cartella relativa alla posta elettronica indesiderata (cfr. art. 83, par. 2, lett. a) e b), del Regolamento);

i pareri oggetto di pubblicazione erano positivi - non essendo, pertanto, astrattamente suscettibili di arrecare un danno all’interessato sul piano reputazionale - e non contenevano dati personali appartenenti a categorie particolari o relativi a condanne penali e reati (cfr. art. 83, par. 2, lett. a) e g), del Regolamento);

la complessiva condotta ha natura colposa (cfr. art. 83, par. 2, lett. b), del Regolamento);

l’Ateneo ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), e parr. 2 e 3, lett. b), art. 12, parr. 3 e 4, e artt. 17 e 21, nonché 2-ter del Codice (cfr. i precedenti parr. 2.2.1, 2.2.2 e 2.2.3), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che la diffusione dei dati personali del reclamante si è protratta per un esteso arco temporale (dal XX al XX) e che le violazioni hanno riguardato molteplici istanze di esercizio dei diritti.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Università degli Studi di Cassino e del Lazio Meridionale per violazione degli artt. 5, par. 1, lett. a) ed e), 6, 12, parr. 3 e 4, 17 e 21 del Regolamento, nonché 2-ter, del Codice, nei termini di cui in motivazione;

ORDINA

all’Università degli Studi di Cassino e del Lazio Meridionale, in persona del legale rappresentante pro-tempore, con sede legale in Viale dell’Università - Rettorato - Campus Universitario Località Folcara - 03043 Cassino (FR), C.F. 81006500607, di pagare la somma complessiva di euro 8.000 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ateneo, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi

Scheda

Doc-Web
10162267

Data
10/07/25

Argomenti

Pubblica Amministrazione Pubblicazioni online e-mail Lavoro pubblico

Tipologie

Ordinanza ingiunzione o revoca

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

I miei diritti

Imprese ed enti

Servizi online

Podcast

GGpdp5SearchToggleBar

Menù di navigazione

Provvedimento del 10 luglio 2025 [10162267]

g-docweb-display Portlet