Enti e Associazioni

Mail conservate per troppo tempo senza motivo: Garante Privacy sanziona Università

RedazioneRedazione
Ottobre 26, 2025 - 15:00
 0
Mail conservate per troppo tempo senza motivo: Garante Privacy sanziona Università

lentepubblica.it

Il Garante per la protezione dei dati personali ha sanzionato un’università italiana per violazioni delle norme sulla privacy, rilevando due distinti episodi di trattamento illecito di informazioni personali.

La decisione, formalizzata con il provvedimento n. 386 del 10 luglio 2025, arriva al termine di un’istruttoria complessa, avviata a seguito del reclamo di un ex dipendente dell’Ateneo.

Secondo quanto emerso, l’università avrebbe gestito in modo non conforme al Regolamento europeo sulla protezione dei dati (GDPR) e al Codice della Privacy sia la casella di posta elettronica precedentemente assegnata al reclamante sia alcune informazioni personali successivamente pubblicate online.

Il Garante ha inoltra anche accertato due diverse condotte, valutate separatamente ai fini sanzionatori. Entrambe le infrazioni hanno portato alla violazione di articoli fondamentali del GDPR – tra cui gli articoli 5 e 6, che stabiliscono i principi di liceità, correttezza, trasparenza e limitazione della conservazione – e dell’articolo 2-ter del Codice Privacy, che disciplina la diffusione dei dati personali.

Le due violazioni accertate

Il primo episodio riguarda la gestione della casella di posta elettronica assegnata all’interessato durante il suo rapporto con l’università. Nonostante l’account fosse stato disattivato, i messaggi contenuti nella casella sono rimasti conservati per un periodo prolungato, in assenza di un valido motivo giuridico per mantenerli. Il Garante ha sottolineato che tale comportamento costituisce una violazione dei principi di liceità e limitazione della conservazione dei dati.

Tuttavia, si riconosce che l’Ateneo non ha effettuato accessi non autorizzati ai messaggi e che le informazioni non appartenevano a categorie particolari di dati, come quelli sanitari o giudiziari.

Questi elementi, insieme alla collaborazione dimostrata dall’università nel corso dell’indagine, hanno contribuito a ridimensionare la gravità della violazione. La sanzione per questo primo caso è stata fissata in 4.000 euro, somma ritenuta proporzionata e dissuasiva.

La seconda violazione riguarda invece la gestione delle richieste presentate dallo stesso soggetto per esercitare i propri diritti in materia di privacy – come la cancellazione dei dati o l’accesso alle informazioni che lo riguardavano – e la successiva pubblicazione sul sito istituzionale di documenti contenenti dati personali.

Secondo il Garante, l’Ateneo non avrebbe risposto in modo tempestivo a una delle istanze, a causa di un errore tecnico che aveva portato un messaggio nella cartella della posta indesiderata. Inoltre, sul portale dell’università erano stati resi accessibili alcuni pareri amministrativi relativi all’interessato, contenenti informazioni riconducibili a lui. Pur non trattandosi di dati sensibili o di contenuti lesivi della reputazione, la diffusione è stata giudicata contraria ai principi di correttezza e riservatezza previsti dal GDPR.

Anche in questo caso, la sanzione si quantifica in 4.000 euro. L’Autorità ha ritenuto che la condotta avesse un basso livello di gravità, in quanto frutto di negligenza piuttosto che di dolo, e che l’università avesse collaborato in modo trasparente durante l’istruttoria.

Le motivazioni del Garante

Nel provvedimento, il Garante ha chiarito che le dichiarazioni fornite dall’università nel corso dell’indagine non erano sufficienti a superare le irregolarità riscontrate. Le violazioni risultano valutate alla luce dell’articolo 83 del GDPR, che disciplina i criteri per la determinazione delle sanzioni pecuniarie.

In base a tale norma, l’ammontare della multa deve essere proporzionato alla gravità della violazione, alla dimensione del titolare del trattamento e alla collaborazione dimostrata con l’Autorità. Nel caso specifico, il Garante ha tenuto conto del fatto che l’Ateneo conta circa 7.000 iscritti e che non risultavano precedenti sanzioni a suo carico.

L’Autorità ha inoltre evidenziato che, dopo l’avvio del procedimento, l’università ha adottato misure correttive: ha eliminato l’account di posta elettronica e i messaggi contenuti al suo interno, e ha rimosso dal proprio sito istituzionale i documenti che contenevano dati personali del reclamante. Tali azioni hanno contribuito a chiudere il caso senza ulteriori provvedimenti di tipo correttivo, come previsto dall’articolo 58 del GDPR.

Pubblicazione della decisione e valore esemplare

Oltre alle sanzioni pecuniarie, il Garante ha disposto la pubblicazione della propria decisione sul sito ufficiale dell’Autorità. Questa misura, definita “sanzione accessoria”, mira a garantire trasparenza e a richiamare l’attenzione degli enti pubblici sull’importanza del rispetto delle regole in materia di trattamento dei dati personali.

La pubblicazione integrale dell’ordinanza si ritiene opportuna per due motivi principali:

  • nel primo caso, perché la conservazione dei messaggi riguardava comunicazioni private, tutelate costituzionalmente;
  • nel secondo, per la diffusione online protratta nel tempo di informazioni personali, seppur non sensibili.

Il Garante ha sottolineato che, anche quando la violazione è di lieve entità o non produce danni concreti all’interessato, la corretta gestione dei dati resta un obbligo fondamentale per le amministrazioni pubbliche e per le università, chiamate a garantire un elevato standard di protezione e trasparenza.

Un richiamo al rispetto della privacy nel settore pubblico

Il caso rappresenta un ulteriore richiamo al mondo accademico e, più in generale, a tutte le istituzioni pubbliche. La gestione dei dati personali, anche in ambiti apparentemente marginali come la posta elettronica o la pubblicazione di atti amministrativi, deve sempre avvenire nel rispetto delle norme europee e nazionali.

L’episodio conferma come le violazioni della privacy possano verificarsi non solo per uso improprio delle informazioni, ma anche per semplice negligenza o disattenzione nei processi organizzativi. Il Garante, pur riconoscendo la buona fede dell’Ateneo, ha ribadito che la responsabilità del titolare del trattamento resta piena, indipendentemente dall’intenzionalità dell’errore.

La doppia sanzione da 4.000 euro, per un totale di 8.000, si configura quindi come un provvedimento non tanto punitivo quanto educativo, volto a promuovere una maggiore consapevolezza e un’attenta gestione dei dati personali da parte delle strutture pubbliche.

Il testo del provvedimento

Qui il documento completo.

The post Mail conservate per troppo tempo senza motivo: Garante Privacy sanziona Università appeared first on lentepubblica.it.

Leggi di più

Qual è la tua reazione?

Mi piace Mi piace 0
Antipatico Antipatico 0
Lo amo Lo amo 0
Comico Comico 0
Furioso Furioso 0
Triste Triste 0
Wow Wow 0
Redazione
Redazione Redazione Eventi e News

Articoli correlati

Pensioni, cambia tutto dal 2027: chi potrà godere dell'uscita anticipata

Pensioni, cambia tutto dal 2027: chi potrà godere dell'...

Redazione Ottobre 24, 2025  0

Arginare il declino delle aree interne: incontro tra la CEI e l'UPI

Arginare il declino delle aree interne: incontro tra la...

Redazione Ottobre 24, 2025  0

Perché 86 Paesi stanno alzando le tasse: la svolta del sistema fiscale globale

Perché 86 Paesi stanno alzando le tasse: la svolta del ...

Redazione Ottobre 26, 2025  0

Buoni pasto più ricchi: dal 2026 soglia esente da tasse fino a 10 euro

Buoni pasto più ricchi: dal 2026 soglia esente da tasse...

Redazione Ottobre 25, 2025  0

Responsabilità erariale per omessa comunicazione della deliberazione sulle tariffe

Responsabilità erariale per omessa comunicazione della ...

Redazione Ottobre 25, 2025  0

Affidamenti in house e incentivi tecnici: l'esclusione nel correttivo al Codice Appalti

Affidamenti in house e incentivi tecnici: l'esclusione ...

Redazione Ottobre 25, 2025  0