Provvedimento dell'11 settembre 2025 [10183882]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10183882]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 524 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Premessa.

Da alcune notizie di stampa l’Autorità ha appreso l’iniziativa concernente la somministrazione di questionari relativi “alla raccolta dei rifiuti inviati ai cittadini attraverso e-mail o con un link cliccabile da siti e social” che il Comune di Verona (di seguito, il Comune) avrebbe commissionato all’Università degli Studi di Verona (di seguito, l’Università).

Con nota del XX (prot. n. XX), cui si rinvia integralmente, l’Università ha fornito riscontro ad una richiesta di informazioni formulata da questa Autorità, con nota del XX (prot. n. XX), dichiarando, in particolare, che:

- “Nell’ambito del progetto de quo, con mail […] del XX, l’Ufficio Privacy del Comune, [… dava] atto che il Comune di Verona è titolare del trattamento e Solori spa è stata nominata dall’Ente quale responsabile del trattamento dati” […]”;

- “[…] Solo e sempre l’Ufficio Privacy del Comune coordinava le comunicazioni con tutti gli interlocutori, fornendo indicazioni precise e specifiche sulle attività di trattamento dati personali da svolgere e sulle modalità di esecuzione della collaborazione, per la quale non riteneva di sottoscrivere alcuna convenzione e/o accordo con il Comune, valutando sufficiente “una sottoscrizione a tre (Solori, Amia, Università.)” […]”;

- “[…] La pianificazione del progetto proseguiva sotto l’attento coordinamento del Comune stesso che, al fine di esaminare l’impatto che informazioni e incentivi monetari e non monetari […] hanno sul comportamento di famiglie e attività commerciali in termini di produzione dei rifiuti e riciclaggio, chiedeva di sviluppare il progetto in tre fasi: [… invio di] un questionario […] ad un campione di studio rappresentato da famiglie e attività commerciali delle zone di Verona interessate dalla presenza dei cassonetti ad accesso controllato […]Nella terza ed ultima fase, il Comune chiedeva di procedere all’invio di un secondo questionario, a distanza di un anno, volto a valutare se in termini di percezione del servizio di raccolta rifiuti, famiglie e attività commerciali avessero modificato le proprie opinioni, soprattutto con riguardo all’utilità della raccolta differenziata”;

- “In data XX, il Comune di Verona deliberava di aderire all’Accordo, in considerazione della possibilità che l’attività definita attraverso tale collaborazione divenisse “strumentale all’acquisizione dei dati comportamentali dei cittadini in termini di produzione e riciclaggio dei rifiuti e alla successiva definizione di strategie ed interventi””;

- “[…] […]”;

- “, […]l’Ateneo ha intrattenuto un costante e continuo dialogo volto a ricevere istruzioni specifiche e puntuali da parte del Comune, da AMIA e da SO.LO.RI.. Ogni attività posta in essere dall’Ateneo era oggetto di preventiva verifica e valutazione da parte del Comune, così come il testo del questionario per il quale il Comune riferisce non esserci stata alcuna discussione (né per lui da parte di Amia e/o So.Lo.Ri.). […] la mail del XX […] sconfess[a] documentalmente quanto riferito poiché tra i destinatari della stessa risultavano esservi […] interlocutori del Comune. […]”;

- “Ancor prima della conferma del successo dell’iniziativa, il Comune chiedeva all’Università di sviluppare ulteriormente il progetto, ritenendo di attuare una variazione rispetto alle tre fasi inizialmente determinate. […ampliando] la portata dell’invio del questionario, inoltrandolo con una nuova ed ulteriore trasmissione a tutti gli utenti fruitori del servizio di raccolta dei rifiuti della città di Verona, […] Al fine di procedere ad una tale valutazione, il Comune chiedeva, quindi, all’Ateneo di effettuare una precisa disamina relativa ai dati degli utenti, con particolare riguardo ai dati che attengono le abitazioni degli utenti che, sulla base delle esigenze di studio del Comune, dovevano necessariamente essere collocabili geograficamente rispetto alla posizione dei cassonetti […] ”;

- Il XX l’Ateneo comunicava il termine della prima fase del progetto, rendicontando con precisione al Comune i dati dell’iniziativa, che avevano coinvolto 2.488 invii Il secondo invio veniva effettuato in data XX a 43.191 utenti per il tramite del medesimo software, XX, in uso all’Ateneo e impiegato per il precedente invio”;“Rispetto al modulo informativo presente nel questionario, […] il suo inserimento [...è] stato frutto di un mero refuso, in quanto l’Ateneo non può essere identificato come soggetto volto ad “adempiere gli obblighi informativi nei confronti degli interessati arruolati nella ricerca in esame”: solo il Comune poteva adempiere a tale prescrizione”;

- “Questo vale anche con riferimento al rispetto dell’art. 14 del Regolamento (UE) 2016/679, poiché la titolarità del trattamento è sempre rimasta, per l’intera durata del trattamento, in capo al Comune”;

- “Con riferimento all’acquisizione del consenso per scopi di ricerca, […] anche tale circostanza […è] frutto di un chiaro malinteso, commesso in buona fede, in conseguenza dell’utilizzo del medesimo software XX, con impostazioni non adeguatamente personalizzate per lo specifico uso”;

- “In qualità di Responsabile del trattamento, infatti, alcuna autonoma determinazione rispetto alla base giuridica poteva essere effettuata dall’Ateneo che si limitava ad eseguire le istruzioni del Comune”.

In riscontro alla medesima richiesta d’informazioni del XX, con nota del XX (prot. n. XX), cui si rinvia integralmente, il Comune, nei cui confronti è stato avviato un autonomo procedimento, ha rappresentato che:

- “Il progetto è stato promosso dal Dipartimento dell’Università di Verona con lo scopo di raccogliere dati (forniti volontariamente) dai contribuenti in relazione al servizio di gestione rifiuti, […] ”;

- “[…] il progetto prevedeva, già ab origine, due fasi, di cui la prima comprendente la somministrazione ai contribuenti di un questionario atto a valutare abitudini e comportamenti in relazione al riciclaggio di rifiuti ed una seconda (a carattere eventuale, non pianificata e ancor oggi inattuata) di informazione e sollecitazione di soggetti che volontariamente avessero ritenuto di partecipare all’iniziativa”;

- “Quanto al ruolo di protezione dei dati personali rivestito dai partecipanti all’accordo risulta che l’Università, come indicato nell’informativa predisposta dal Dipartimento, sia Titolare del trattamento dei dati nell’ambito del progetto di ricerca; Comune di Verona, nella sua veste di Consiglio di Bacino “Verona Città”, AMIA sono titolari autonomi, mentre So.Lo.Ri. è responsabile esterno del trattamento dei dati per conto del Comune di Verona”;

- “La trasmissione dei dati da parte di So.Lo.Ri. al Dipartimento dell’Università è avvenuta su richiesta del Comune di Verona, nella sua veste di Consiglio di Bacino “Verona Città”, del quale, So.Lo.Ri., è responsabile del trattamento […]”:

- “La base giuridica del trasferimento di dati da So.Lo.Ri. al Dipartimento va rinvenuta nella finalità di ricerca scientifica (in quanto attività istituzionale e svolta nel pubblico interesse dall'Ente universitario ex art. 6 par. 1 lett. e) GDPR), nonché nei compiti di interesse pubblico perseguiti da Comune ed Ente di Bacino tesi al miglioramento della gestione dei sistemi di raccolta differenziata (art. 6 par. 1 lett. e) GDPR)”;

- “L’Università di Verona, quale titolare del trattamento e dello svolgimento del progetto di ricerca, non ha mai condiviso i dati con AMIA, So.Lo.Ri., Comune o Ente di Bacino, pertanto, non vi è stato alcun abbinamento dei dati raccolti a quelli in possesso di tali soggetti da parte dei suddetti”;

- “[…] l’eventuale fase successiva di condivisione dei dati da parte dell’Università avrebbe previsto la comunicazione di risultati aggregati del sondaggio in modo tale da non consentire, nemmeno indirettamente, l’identificazione degli interessati”;

- “Quanto al ricontatto dei soggetti “arruolati” nella ricerca, si ritiene che la frase relativa ad un successivo ricontatto (utilizzata nell’informativa predisposta dal Dipartimento universitario) possa far riferimento alla […] eventuale “seconda fase” del progetto di ricerca, che avrebbe dovuto coinvolgere solamente soggetti che volontariamente avessero deciso di aderirvi, ma sulle cui modalità le parti non hanno mai avuto modo di definire. […]”;

- “In […]questa seconda eventuale fase […]AMIA, So.Lo.Ri., Comune e/o Ente di Bacino avrebbero ricevuto dal Dipartimento universitario unicamente i risultati della ricerca, ovvero dati statistici aggregati frutto di analisi qualitative e quantitative dei dati ottenuti da parte dell’Ente universitario”.

In riscontro a una terza richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX) l’Università, con nota del XX (prot. n. XX), cui si rinvia integralmente, ha dichiarato, in particolare, che:

- “[…]in data XX, veniva strutturato un accordo quadro di collaborazione tra l’Ateneo, AMIA e So.Lo.Ri. […] avente ad oggetto l’esame dell’”impatto che suggerimenti e informazioni […]dati alle famiglie e attività commerciali di Verona hanno sul loro comportamento in termini di produzione dei rifiuti e riciclaggio” e riportante le precise istruzioni cui l’Ateneo doveva attenersi […]”;

- “Il Comune stesso maturava in un secondo momento la volontà di essere direttamente coinvolto nel predetto Accordo Quadro, così come espressamente riportato nella Delibera di Giunta del XX, […]. L’Accordo riportava medesimi termini e condizioni del precedente […]”;

- “[…] gli accordi stipulati dall’Ateneo con le controparti […] rientrano nella fattispecie giuridica dei contratti per attività conto terzi, cioè con riferimento a prestazioni che l’Università rende nel prevalente interesse del committente, […]”;

- La configurazione di mero Responsabile del trattamento risulta, altresì, avvalorata dalla comunicazione della società So.Lo.Ri. del XX, attraverso cui […si] chiedeva espressamente all’Ateneo la definitiva cancellazione dei dati trasmessi […]”;

- “l’Università ha mantenuto nei propri archivi, in modalità protetta e segregata rispetto ad altri sistemi, le basi di dati relative ai questionari compilati, così come da esplicita richiesta del Titolare, veicolata all’Ateneo da AMIA, con comunicazione del XX […] l’indicazione pervenuta all’Ateneo era chiara “per quanto riguarda i risultati del questionario, resta senz’altro confermato l’interesse di Amia a riceverli dopo la vostra analisi. […]”. Tale circostanza ha portato l’Ateneo a mantenere tali dati, in attesa di ricevere opportune istruzioni in punto, per quanto, […] una volta ricevuta la richiesta […d’informazioni] del 6 marzo u.s., qualsiasi trattamento ulteriore su detto data base è stato, immediatamente e tempestivamente, interrotto, compresa l’analisi richiesta da AMIA”;

- “tuttavia, […si fa] presente la mancanza di un contratto o di altro atto giuridico ai sensi dell’art. 28 del Regolamento UE 2016/679, […]”.

Con riguardo alla medesima richiesta di informazioni il Comune, con nota del XX (prot. n. XX), cui si rinvia integralmente, ha rappresentato in particolare che:

- “con email del XX […], l'Università ha inviato […al] Consiglio di Bacino Verona Città, […] il progetto di ricerca titolato "L’impatto dei messaggi sulla produzione dei rifiuti e riciclaggio" […]. Tale invio era stato preceduto da una pressante attività di sensibilizzazione nei confronti […] del Consiglio da parte […dell’Università], tesa a sostenere bontà e qualità della ricerca e avvalorando rilevanti ricadute positive per tutti gli attori coinvolti”;

- Nella proposta pervenuta è evidente in ogni fase il ruolo attivo dell'Università quale soggetto promotore, attivatore, gestore nonché titolare del trattamento in quanto soggetto che esercita effettivamente una influenza determinante sulle finalità e sui mezzi del trattamento stesso, […]”;

- “[…] il Dipartimento Universitario ha determinato le finalità del progetto di ricerca e i dati da raccogliere relazionandosi con […il Comune, AMIA e SO.LO.RI.] per i profili tecnici di propria competenza”;

- “Del pari il Dipartimento Universitario ha selezionato in totale autonomia i mezzi e modalità più idonee per condurre il progetto, prima fra tutti l’utilizzo della piattaforma XX per la somministrazione del questionario, il cui accesso e la cui impostazione è stata di esclusivo appannaggio del dipartimento. Dalla corrispondenza allegata risulta evidente il ruolo di capofila dell’Università di Verona, […]”;

- “[…il Comune, AMIA e SO.LO.RI. sono]stati coinvolti solo per supporto, quanto alla pubblicizzazione dell’iniziativa sui propri canali istituzionali, e/o confronto su tematiche specifiche e […] non […hanno] mai avuto accesso ai dati raccolti dal Dipartimento”;

- “[…]il ruolo di titolare per la realizzazione del progetto di ricerca non è riconducibile al Comune di Verona, non potendosi ritenere, […], che quest'ultimo abbia avuto un ruolo attivo nella definizione dei profili tecnico scientifici relativi a finalità e mezzi del trattamento”;

- “La trasmissione dei dati all’Ateneo è avvenuta sulla base del disposto dell’art. 50 c. 2 C.A.D. […] in combinato disposto con quanto disposto dall'art. 6 co. 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica […] XX […] il quale prevede la possibilità per le Università di effettuare attività di ricerca su dati raccolti da terzi, con modalità di sottoposizione dell’informativa semplificate, incombente quest’ultimo in capo alla stessa. È […stato] fatto ragionevole affidamento sulla expertise dell’istituzione universitaria nel settore (che le è proprio) dell’attività di ricerca”;

- “La partecipazione alla attività di ricerca è sempre stata facoltativa e su base volontaria da parte dei cittadini che hanno ricevuto il questionario dell’Università di Verona[…]”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del 16 ottobre (prot. n. 120774), all’Università, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto il trattamento di dati personali in questione è stato effettuato in assenza di un idoneo presupposto normativo, in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a) e dell’art. 6 del Regolamento, nonché dell’art. 2-ter del Codice, in assenza di un’adeguata informativa sul trattamento dei dati personali, in violazione degli artt. 12, 13 e 14 del Regolamento e altresì senza rispettare i principi di “responsabilizzazione” e della “protezione dei dati fin dalla progettazione”, in violazione degli artt. 5, comma 2, 24 e 25, par. 1, del Regolamento.

Con la medesima nota l’Università è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

L’Università ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), cui si rinvia integralmente, rappresentando, in particolare, che:

- “La bontà di tale progettualità è comprovata dall’adesione del Comune di Verona che, […nella] “Deliberazione della Giunta Comunale del XX rep. n. XX”, riportava tra le proprie attività programmatiche: “azione che il Consiglio di Bacino Verona Città […] ha già contemplato nel documento programmatico per la gestione dei rifiuti urbani e, di conseguenza, diventa strumentale all’acquisizione dei dati comportamentali dei cittadini in termini di produzione e riciclaggio dei rifiuti e alla successiva definizione di strategie ed interventi”;

- Tra le misure adottate dall’Università, si evidenzia, in particolare, che “ […] l’Ateneo, successivamente alla comunicazione ricevuta […dal] Garante, con tempestività, ha interrotto ogni trattamento, nello specifico la raccolta dei questionari compilati per il tramite della piattaforma XX, nonché l’elaborazione dei conseguenti dati statistici […] ha provveduto a cancellare tutti i dati amministrativi dei partecipanti […nonché] tutti i dati relativi ai questionari compilati dagli interessati da ogni sistema di archiviazione,[…]sono state organizzate specifiche riunioni […]volte a meglio coordinare l’attività di supporto amministrativo in materia di trattamento e protezione di dati personali rivolto a docenti e ricercatori dei singoli Dipartimenti dell’Ateneo […ed è stato pubblicato] un dettagliato aggiornamento di specifiche FAQ relative al trattamento ed alla protezione dei dati personali nelle attività di ricerca[…]”;

L’Università non ha chiesto di essere audita.

2. La normativa in materia di protezione dei dati personali

2.1 La nozione di dato personale

Ai sensi del Regolamento, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

Per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4, par. 1, punto 5 del Regolamento).

La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca scientifica in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (art. 5, par. 1, lett. c) e 89 del Regolamento).

Il Regolamento non trova, invece, applicazione in riferimento ai dati anonimi intendendosi per tali le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 “Opinion 05/2014 on Anonymisation techniques”, adottato il 10 aprile 2014). Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

2.2. I ruoli in materia di protezione dei dati personali

Ai sensi dell’art. 4, par. 1, n. 7), del Regolamento, il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Il titolare è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, determina le decisioni di fondo relative a finalità e modalità di un trattamento effettuato in base a uno dei presupposti di liceità di cui agli artt. 6 e 9 del Regolamento (cfr. “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” Versione 2.0, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021).

La figura del responsabile del trattamento (art. 4, par. 1, punto 8 e 28 del Regolamento) rimane invece connotata dallo svolgimento di operazioni di trattamento di dati personali delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse in termini di conoscenze specialistiche, di affidabilità e risorse per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento (cfr. il considerando 81, del Regolamento), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.

Ai fini della individuazione in concreto del ruolo svolto, in termini di titolare o responsabile, delle figure che effettuano trattamenti di dati personali è, quindi, essenziale esaminare sul piano sostanziale e non formale le attività in concreto svolte da tali soggetti. In tal senso, si è più volte espressa questa Autorità sotto la previgente e vigente normativa di riferimento (cfr. a titolo esemplificativo, provv.ti 16 febbraio 2006, punto 6, doc. web n. 1242592, 4 ottobre 2011, punto 5, doc. web 1850581, del 19 luglio 2018, n. 427, doc. web 9039945, 14 gennaio 2021, n. 9, doc. web n. 9542113, e n. 10, doc. web n. 9542136, 7 luglio 2022, n. 242, doc. web 9809998, del 20 ottobre 2022, n. 342, doc. web n. 9832507, 10 novembre 2022, n. 368, doc. web n. 9843319).

2.3 Liceità, correttezza e trasparenza del trattamento

In base al principio di “liceità, correttezza e trasparenza”, di cui all’art. 5, par. 1, lett. a), del Regolamento, i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”.

Per quanto concerne le condizioni di liceità, il trattamento di dati personali posto in essere “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” è ammesso se previsto da una norma di legge o di regolamento o da atti amministrativi generali (art. 6, par. 1, lett. c) ed e), 2 e 3, del Regolamento nonché art. 2-ter commi 1, 1-bis e 2 del Codice).

La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste da una norma di legge o di regolamento o da un atto amministrativo generale o in assenza di tali atti previa notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione (art. 2-ter, comma 3 del Codice).

Con riferimento al trattamento di dati personali per scopi di ricerca scientifica, lo stesso deve essere svolto altresì nel rispetto non solo del Regolamento (cfr. in particolare articolo 89) e del Codice (cfr. art. 104 e ss) ma anche delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice (cfr. art. 2-quater del Codice) e se del caso delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 13 dicembre 2018 (doc. web 9068972).

Con specifico riferimento alla nozione di ricerca scientifica, il considerando 159 del Regolamento prevede che “il trattamento di dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, TFUE […]”. Su tale nozione sono intervenuti sia il Comitato europeo per la protezione dei dati che il Garante europeo, i quali hanno sin da subito sottolineato come essa non possa essere estesa oltre il suo significato comune. Per “ricerca scientifica” deve intendersi un progetto di ricerca, istituito in conformità con le pertinenti norme metodologiche e etiche settoriali, in linea con le buone prassi; essa è volta ad osservare fenomeni, formulare e verificare ipotesi per tali fenomeni e a concludere sulla validità dell’ipotesi (cfr. par. 7.2 delle Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, adottate il 4 maggio 2020 e “A preliminary Opinion on scientific research”, del 6 Gennaio 2020).

L’art. 1 delle Regole deontologiche rubricato “Definizioni” che al comma 1 lett. d) prevede che per “"istituto o ente di ricerca", si intende un organismo pubblico o privato per il quale la finalità di statistica o di ricerca scientifica risulta dagli scopi dell’istituzione e la cui attività scientifica è documentabile” e l’art. 5.1 delle Prescrizioni stabilisce che: “Le presenti prescrizioni concernono il trattamento effettuato da: a) università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e ai soci di dette società scientifiche; b) esercenti le professioni sanitarie e gli organismi sanitari; c) persone fisiche o giuridiche, enti, associazioni e organismi privati, nonché soggetti specificatamente preposti al trattamento quali designati o responsabili del trattamento (ricercatori, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.) (art. 2-quaterdecies del Codice; 28 del Regolamento UE 2016/679)”.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso, esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile consentendo il trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

2.4. Obblighi informativi

I dati devono essere trattati anche nel rispetto di principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento), in base al quale il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 (in caso di dati raccolti presso di esso) e 14 del Regolamento (in caso di dati raccolti presso terzi) in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 del Regolamento).

Al riguardo, si segnala che l’art. 14, par. 5 del Regolamento ammette una deroga in relazione agli obblighi informativi correlati al trattamento di dati personali non raccolti direttamente presso gli interessati, nella misura in cui “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni”.

Sul punto, le Regole deontologiche prevedono più specificamente che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità” indicando talune modalità a titolo esemplificativo (art. 6, comma 3).

2.5 I principi di responsabilizzazione e di protezione dei dati fin dalla progettazione

Il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento e sia di avere effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione (artt. 5, par. 2, 24 e 25 par. 1 del Regolamento).

In base al rinnovato quadro normativo in materia di protezione dei dati personali, si richiede, infatti, una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati.

L’art. 25, par. 1, del Regolamento prevede infatti che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (cfr. anche considerando 75 e 78 del Regolamento; Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019 by the EDPB).

3. Esito dell’attività istruttoria

Alla luce dei riscontri forniti, nonché della documentazione trasmessa nell’ambito dell’istruttoria in esame, occorre osservare preliminarmente che, in relazione ai trattamenti di dati personali sottesi allo svolgimento del progetto di ricerca realizzato dall’Università nell’ambito dell’Accordo quadro di collaborazione scientifica per la realizzazione di attività di ricerca, proposto dal Dipartimento di Scienze Economiche dell’Università al Consiglio di Bacino Verona Città, al Comune, ad AMIA Verona S.p.A. (la società che si occupa della gestione dei rifiuti sul territorio comunale) ed a So.Lo.Ri. S.p.A. (la società che si occupa della riscossione dei tributi locali), l’Università deve essere considerata quale autonomo titolare del trattamento ai sensi degli artt. 4, par. 1, n. 7, e 24, del Regolamento.

Con riferimento alla circostanza che l’Università si definisce quale responsabile del trattamento ai sensi dell'art. 28 del Regolamento, si osserva, in primo luogo che tale ruolo deve necessariamente essere definito e formalizzato nell’ambito di contratto o di altro atto giuridico, ai sensi dell’art. 28 del Regolamento che, alla luce di quanto emerso in corso d’istruttoria, non risulta essere stato adottato.

In ogni caso non trova riscontro negli elementi emersi nell’ambito dell’istruttoria la circostanza che l’Università possa essere qualificata come responsabile del trattamento dei dati per scopi di ricerca scientifica, avendo la stessa determinato finalità e mezzi del trattamento e avendo essa stessa elaborato e realizzato il progetto di ricerca che, in assenza di una sua collaborazione con il Comune, quest’ultimo non avrebbe potuto svolgere. Al riguardo, si osserva infatti che il Comune non ha comprovato che tra le proprie competenze istituzionali figuri anche l’attività di ricerca scientifica, non potendo, pertanto, lo stesso essere considerato un “istituto o ente di ricerca" ai fini dell’art. 1, par. 1, lett. d), delle citate Regole deontologiche; né il Comune, nel caso in esame, ha comprovato di aver agito, nell’ambito del predetto progetto di ricerca, attraverso il proprio Ufficio di statistica, istituito ai sensi del d.lgs. 322/1989.

Pertanto, il progetto di ricerca in esame non può che essere ricondotto esclusivamente alle finalità istituzionali dell’Università (cfr. sul punto l’art. 4, rubricato “Attività scientifica” dello Statuto dell’Università emanato con Decreto Rettorale rep. n. XXdel XX - entrato in vigore il XX(1)), la quale infatti si qualifica come titolare del trattamento nell’ambito delle sintetiche informazioni fornite agli interessati, in occasione dell’invio dei questionari e non anche a quelle del Comune, che non avrebbe quindi potuto affidarle ad un soggetto esterno quale responsabile del trattamento, ai sensi dell’art. 28 del Regolamento. (cfr. provv. dell’11 gennaio 2024, n. 5, doc. web n. 9977020).

In termini generali, si osserva che la presenza di un accordo di collaborazione o altre forme di partenariato non incide sulle modalità con le quali le parti devono definire ex ante i ruoli di protezione dei dati personali ai sensi della normativa vigente, che vanno definiti sulla base di una valutazione sostanziale da condursi caso per caso.

A tale fine, giova in ogni caso ricordare che, ai sensi di quanto previsto dalle citate Linee Guida 7/2020, “I concetti di titolare del trattamento e di responsabile del trattamento sono […] concetti autonomi, nel senso che, sebbene fonti giuridiche esterne possano contribuire all’individuazione del titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati. Il concetto di titolare del trattamento non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di titolare dei diritti in materia di proprietà intellettuale o di diritto della concorrenza” (Linee guida 7/2020, cit., par. 13).

3.1 Sulla circostanza che il progetto di ricerca dà luogo a un trattamento di dati personali e sul principio di liceità

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, risulta accertato che, nell’attuazione complessiva del citato accordo di collaborazione, avente l’obiettivo di “esaminare l’impatto che suggerimenti e informazioni dati alle famiglie e attività commerciali di Verona hanno sul loro comportamento in termini di produzione dei rifiuti e riciclaggio” sono stati posti in essere dei trattamenti di dati personali da parte dell’Università e del Comune, in veste di Consiglio di Bacino di Verona Città, (cfr. prot. XX del XX, in atti).

In particolare il Comune, mediante il proprio responsabile del trattamento SO.LO.RI., ha comunicato all’Università i dati personali dei “contribuenti TARI con indirizzo mail valido corrispondenti a n. 45679 soggetti”, consistenti, nello specifico, in “codice utente tariffa rifiuti” nonché “email (per gli utenti che avessero volontariamente indicato questo tipo di contatto)” (cfr. nota dell’XX, All. XX “XX”, p. XX, e All. XX “mail Solori XX”), ai fini della realizzazione del progetto di ricerca da parte dell’Università stessa. La prima comunicazione dei predetti dati personali (relativi a 2.488 interessati) veniva effettuata nei confronti dell’Università in data XX; successivamente, in data XX, il medesimo SO.LO.RI, in qualità di responsabile del trattamento “provvedeva ad inoltrare [all’Università] i dati dei soggetti coinvolti nel secondo invio alla cittadinanza”.

Gli indirizzi email dei contribuenti TARI venivano quindi utilizzati per il primo invio del questionario (finalizzato in data XX), a cui seguiva un secondo invio “effettuato in data XX a 43.191 utenti per il tramite del medesimo software, XX”.

Al riguardo, si osserva che la comunicazione dei dati personali dei contribuenti da parte del Comune all’Università è avvenuta in assenza di una idonea base giuridica, ai sensi degli artt. 5, par. 1, lett. a), e 6, del Regolamento e dell’art. 2-ter del Codice. Ne consegue che anche la successiva raccolta e trattamento per l’invio dei questionari dei medesimi dati da parte dell’Università – da considerarsi, alla luce delle valutazioni che precedono quale titolare autonomo del trattamento - è avvenuto in assenza di un idoneo presupposto normativo in violazione dei medesimi articoli (5, par. 1 lett. a) e 6, del Regolamento e 2-ter del Codice).

Con riferimento al trattamento delle informazioni di carattere personale raccolte dall’Università attraverso il questionario somministrato ai contribuenti, si osserva che, pur avendo la stessa garantito in maniera espressa la volontarietà dell’adesione alla ricerca, ciò non può dirsi con riferimento al consenso degli interessati al trattamento dei dati personali, in quanto esso non può considerarsi effettivamente libero, specifico e informato (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020; cfr. Sent. della Corte di Giustizia C-673/17 del 1/10/2019 e C-61/19 dell'11 novembre 2020).

In tale ambito, il Comitato europeo per la protezione dei dati personali, seppure in relazione alla diversa fattispecie delle sperimentazioni cliniche, ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. [...]. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), Adottato il 23 gennaio 2019).

In base alla documentazione trasmessa in atti, l’informativa sul trattamento di dati personali reca solo la seguente formulazione “I dati personali forniti o raccolti in occasione della compilazione del questionario saranno trattati nel rispetto delle disposizioni del Regolamento UE 2016/679 e della vigente normativa, nei limiti stabiliti dalla legge e dai regolamenti e nel rispetto dei principi generali di trasparenza, correttezza e riservatezza. Titolare del trattamento dei dati personali è l’Università degli Studi di Verona. I dati del questionario potrebbero essere abbinati in forma anonima a dati amministrativi di AMIA, del Comune di Verona e/o di Solori. La sua unità abitativa potrebbe essere contattata successivamente cliccando sull’icona “Avanti”, Lei automaticamente acconsente a partecipare allo studio e accetta la sottostante informativa sulla privacy dell'indagine”.

Fermo restando che in nessun modo il successivo consenso al trattamento dei dati degli interessati avrebbe potuto sanare l’assenza di un idoneo presupposto di liceità correlato alla raccolta dei dati di contatto degli stessi dal Comune, si ritiene che anche i dati successivamente raccolti direttamente presso gli interessati siano stati trattati in assenza di un idoneo presupposto giuridico, in violazione degli artt. 5, par. 1, lett. a), 6 par. 1 lett. a) e 7 del Regolamento.

Deve, inoltre, evidenziarsi che, contrariamente a quanto dichiarato dall’Università, anche nell’ambito della compilazione del questionario in esame è stato richiesto l’inserimento di dati personali, potendo essere indicate informazioni quali indirizzo di residenza completo del rispondente, nonché il “numero della tessera o App AMIA utilizzata nell[‘abitazione del rispondente] per accedere ai cassonetti ad accesso controllato”, così come ulteriori elementi (quali età, reddito mensile netto, composizione del nucleo familiare, ecc.) volti ad ottenere, in base alle risposte fornite, un complesso di informazioni in merito all’interessato.

Come in precedenza rappresentato, in merito al concetto di “dato personale” inteso come “qualsiasi informazione riguardante una persona fisica […] identificabile“ occorre tenere presente che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento; sul punto, si veda altresì, ad esempio, sent. C-434/16, Nowak, del 20 dicembre 2017, ove la Corte ha chiarito che l’uso dell’espressione “qualsiasi informazione” – seppur con riguardo all’allora vigente art. 2, lett. a), della Direttiva 95/46 – “riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive […] a condizione che esse siano «concernenti» la persona interessata. Per quanto riguarda tale ultima condizione, essa è soddisfatta qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione sia connessa a una determinata persona”).

La “raccolta” e la “conservazione” (art. 4, par. 1, n. 2, del Regolamento) di tali informazioni, a seguito della compilazione del questionario, deve conseguentemente considerarsi un trattamento di dati personali, non rilevando, a tal fine, la circostanza che “I questionari sarebbero trattati in modo strettamente confidenziale e analizzati in forma anonima e aggregata, in modo da non risalire a chi li ha compilati. […] Il sistema di somministrazione del questionario (XX) consente la raccolta dei dati in modo anonimo e quindi escludendo l’informazione sull’indirizzo email” (cfr. nota dell’XX, All. XX”, p. XX, nonché All. XX “Mail XX”).

D’altra parte, nello stesso accordo quadro di collaborazione scientifica è previsto che “I dati personali scambiati per la stipula del presente Accordo ed in esecuzione dello stesso saranno trattati dalle Parti nel rispetto del Regolamento UE 679/2016) e delle applicabili disposizione in materia di protezione dei dati personali”, così come nel progetto di ricerca (Protocollo N.XX del XX, in atti), in cui viene indicato che “I dati verranno analizzati in maniera anonima. Al fine di valutare l’efficacia dei messaggi sul comportamento di famiglie ed attività commerciali, i dati sul numero di interazioni di ciascun utente con ciascun tipo di cassonetto sono fondamentali. Infatti, l’accesso ai soli dati aggregati per cassonetto anziché per individuo non ci permetterebbe di valutare l’effetto dei messaggi. Questo perché non saremo in grado di capire se gli individui che hanno usato quel particolare cassonetto siano stati oggetto dei nostri messaggi oppure no”.

Risulta pertanto accertato che l’Università abbia trattato i dati personali dei contribuenti TARI coinvolti nel progetto di ricerca in esame in maniera non conforme al principio di liceità, dando luogo a un trattamento illecito di dati personali, in violazione degli artt. 5, par. 1, lett. a), e 6 par. 1 lett. a),c) ed e), del Regolamento e dell’art. 2-ter del Codice.

3.2. Sulla trasparenza del trattamento

Risulta inoltre accertato che, nell’ambito dell’iniziativa in esame, non è stata fornita dall’Università, in qualità di titolare del trattamento dei dati necessari ai fini del perseguimento degli scopi di ricerca scientifica, agli interessati un’informativa completa sul trattamento dei dati personali, pur avendo previsto una schermata iniziale, antecedente alla compilazione del questionario online, nella quale veniva specificato, in particolare, che “L’Università degli Studi di Verona, AMIA, il Comune di Verona e Solori La invitano a prendere parte ad uno studio sui sistemi di raccolta dei rifiuti nel suo quartiere. L’adesione è volontaria. Sarà libero di ritirarsi dallo studio in qualsiasi momento. […] Le sue risposte saranno trattate in modo strettamente confidenziale ed analizzate in forma anonima e aggregata. I dati saranno utilizzati ai fini di ricerca scientifica. Cliccando sull’icona “Avanti”, Lei automaticamente acconsente a partecipare allo studio e accetta la sottostante informativa sulla privacy dell'indagine. […] I dati personali forniti o raccolti in occasione della compilazione del questionario saranno trattati nel rispetto delle disposizioni del Regolamento UE 2016/679 e della vigente normativa, nei limiti stabiliti dalla legge e dai regolamenti e nel rispetto dei principi generali di trasparenza, correttezza e riservatezza. Titolare del trattamento dei dati personali è l’Università degli Studi di Verona. I dati del questionario potrebbero essere abbinati in forma anonima a dati amministrativi di AMIA, del Comune di Verona e/o di Solori. La sua unità abitativa potrebbe essere contattata successivamente”.

Tale informativa, posto che, come accertato, la compilazione del questionario comporta un trattamento di dati personali, non contiene tutti gli elementi previsti dagli artt. 13 e 14 del Regolamento, con particolare riguardo ai dati di contatto del responsabile della protezione dei dati, alla base giuridica del trattamento, al periodo di conservazione dei dati (o ai criteri per determinare tale periodo), alla fonte da cui hanno origine i dati personali, ai diritti degli interessati di cui agli artt. 15-22 del Regolamento, al diritto di proporre reclamo a un’autorità di controllo, fornendo, al contrario, informazioni contraddittorie nei confronti degli interessati (quali, ad. es. “L’Università degli Studi di Verona, AMIA, il Comune di Verona e Solori La invitano a prendere parte ad uno studio sui sistemi di raccolta dei rifiuti nel suo quartiere” rispetto alla previsione “Titolare del trattamento dei dati personali è l’Università degli Studi di Verona. I dati del questionario potrebbero essere abbinati in forma anonima a dati amministrativi di AMIA, del Comune di Verona e/o di Solori”; nonché “Le sue risposte saranno trattate in modo strettamente confidenziale ed analizzate in forma anonima e aggregata” rispetto a “La sua unità abitativa potrebbe essere contattata successivamente”).

Il trattamento dei dati personali in questione è stato, pertanto, effettuato dall’Università in maniera non conforme al principio di correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento.

3.3. Sul mancato rispetto del principio della protezione dei dati fin dalla progettazione

Come indicato nei precedenti paragrafi 3.1. e 3.2. l’Università, nel determinare finalità e mezzi del trattamento, non ha adottato misure e garanzie adeguate ad attuare efficacemente il principio di “liceità, correttezza e trasparenza”.

In base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento è tenuto ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Nella determinazione delle predette misure il titolare deve tenere conto, tra i vari elementi, anche “[…] del contesto […] del trattamento”, dovendo pertanto considerare anche i ruoli attribuiti, in materia di protezione dei dati personali, dei vari soggetti coinvolti nell’ambito del trattamento da svolgere, al fine di attuare efficacemente i principi in materia di protezione dei dati personali.

Con riferimento al principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), si rappresenta che il titolare deve essere trasparente con gli interessati (cfr. artt. 12, 13 e 14 del Regolamento e le “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, spec. punti 65 e 66). In particolare, le informazioni trasmesse agli interessati devono:

essere fornite in un linguaggio chiaro e semplice, conciso e comprensibile;

avere un significato chiaro per gli interessati a cui sono rivolte;

essere fornite al momento opportuno e nella forma adeguata;

essere pertinenti e applicabili all’interessato specifico;

consentire agli interessati di avere una buona comprensione di ciò che possono aspettarsi dal trattamento dei loro dati personali.

Al fine di dare attuazione al medesimo principio, il titolare è inoltre tenuto ad assicurarsi che il trattamento sia lecito, identificando una base giuridica valida (cfr. art. 6 e le (cfr. art. 6 del Regolamento e le citate “Linee guida 4/2019 sull’articolo 25”, spec. punti 67 e 68). Le misure e le garanzie dovrebbero concorrere all’obbligo di assicurare che l’intero ciclo di vita del trattamento sia in linea con la pertinente base giuridica mediante:

l’applicazione della corretta base giuridica al trattamento;

la differenziazione della base giuridica utilizzata per ciascuna attività di trattamento;

la connessione della base giuridica alla specifica finalità di trattamento;

la determinazione della base giuridica prima che il trattamento abbia luogo.

La mancata definizione del proprio ruolo, per quanto concerne la protezione dei dati personali, nell’ambito del progetto di ricerca, ha comportato la violazione anche del principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24 del Regolamento in quanto, come chiarito nelle citate Linee Guida 07/2020, tale principio - in un’ottica di fiducia e legittima aspettativa che gli interessati ripongono nel titolare del trattamento - pone in capo allo stesso, l’obbligo di garantire ed essere in grado di dimostrare che “il trattamento è effettuato conformemente al Regolamento” anche sotto il profilo della definizione dei ruoli svolti dai vari soggetti coinvolti in un’attività di trattamento di dati personali e la conseguente ripartizione delle responsabilità.

Pertanto, la mancata adozione delle predette misure da parte dell’Università si pone in contrasto con i principi di “responsabilizzazione” e della “protezione dei dati fin dalla progettazione”, di cui agli artt. 5, par. 2, 24 e 25, par. 1, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Università, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. a), c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1- 3 del Codice, in assenza di un’adeguata informativa sul trattamento dei dati personali, in violazione degli artt. 12, 13 e 14 del Regolamento e altresì in violazione dei principi di “responsabilizzazione” e della “protezione dei dati fin dalla progettazione”, di cui agli artt. 5, par. 2, 24 e 25, par. 1, del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto l’Università ha dichiarato di aver interrotto il trattamento e di aver cancellato tutti i dati raccolti (nota del XX in atti) non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6, 12, 13, 14 del Regolamento e 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che il trattamento ha riguardato numerosi interessati (cfr. art. 83, par. 2, lett. a), del Regolamento);

- il carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento);

- riguardo alle categorie di dati personali comunicati, non sono comprese categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Si devono considerare, altresì, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, tenuto conto delle circostanze in cui sono verificate le violazioni (art. 83, par. 2, lett. e), del Regolamento);

- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 9.000 (novemila/00) per la violazione degli artt. 5, parr. 1, lett. a), e 2, 6, parr. 1, lett. a), c) ed e), 2 e 3, 12, 13, 14, 24 e 25 del Regolamento e 2-ter, commi 1 - 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti il trattamento di dati personali di numerosi interessati in assenza delle condizioni di liceità e in mancanza di un’adeguata informativa agli interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dall’Università degli Studi di Verona nei termini di cui in motivazione, in violazione degli artt. 5, parr. 1, lett. a), e 2, 6, parr. 1, lett. a), c) ed e), 2 e 3, 12, 13, 14, 24 e 25 del Regolamento e 2-ter, commi 1- 3, del Codice

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Università degli Studi di Verona, con sede in Via dell’Artigliere, n. 8 37129, Verona (VR), P.IVA 01541040232, di pagare la complessiva somma di euro 9.000 (novemila/00)

a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

All’Università degli Studi di Verona:

- di pagare la complessiva somma di euro 9.000 (novemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Fanizza

_____

1) L’art. 4 dello Statuto dell’Università (emanato con Decreto Rettorale rep. n. 5336 del 13 maggio 2024 - entrato in vigore il 7 giugno 2024), rubricato “Attività scientifica” dispone che “1. L’Università promuove la ricerca scientifica e tecnologica di base e applicata, ponendo in atto ogni valido strumento di programmazione, organizzazione, finanziamento, gestione e verifica delle strutture e delle attività. Nel rispetto di quanto sopra e della libertà di ricerca, l’Università può stipulare convenzioni e contratti, può fornire consulenze ed è libera di accettare finanziamenti, contributi e donazioni, nonché di attivare rapporti di collaborazione con lo Stato, con le Regioni e con altri soggetti pubblici e privati, nazionali ed internazionali. […]” (https://docs.univr.it/documenti/Documento/allegati/allegati021653.pdf).

Scheda

Doc-Web
10183882

Data
11/09/25

Argomenti

Informativa Università Rifiuti

Tipologie

Ordinanza ingiunzione o revoca

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento dell'11 settembre 2025 [10183882]

g-docweb-display Portlet