Sanzionata dal Garante Privacy l’università che conservava le mail del docente non più in servizio da due anni
Con il provvedimento n. 386 del 10 luglio 2025 il Garante della privacy è tornato ad occuparsi della gestione delle email dei dipendenti, sanzionando l’Università di Cassino. L’ateneo laziale è stato multato per non aver disattivato in tempi rapidi la casella di posta elettronica di un docente a contratto dopo la fine del suo incarico, e per non aver risposto correttamente alle sue richieste di accesso e cancellazione dei dati, nonché per aver mantenuto online documenti contenenti informazioni personali oltre i limiti di legge.
Il caso mette in evidenza un problema diffuso: la difficoltà, soprattutto per le pubbliche amministrazioni, di bilanciare la trasparenza con il rispetto del diritto alla protezione dei dati personali. Qui, l’inerzia dell’università ha portato a tre violazioni principali del GDPR:
1. Conservazione illecita della casella email - Dopo la cessazione del rapporto di lavoro, la casella del docente è rimasta attiva e i messaggi sono stati conservati per circa due anni. Inoltre, non era stato predisposto un sistema automatico per avvisare i mittenti della disattivazione né un indirizzo alternativo di contatto. Il Garante ha chiarito che simili pratiche violano i principi di liceità, minimizzazione e limitazione della conservazione previsti dal GDPR. Le difficoltà organizzative legate al periodo pandemico non sono state ritenute una giustificazione valida.
2. Gestione inadeguata delle istanze dell’interessato - Il docente aveva esercitato i propri diritti chiedendo accesso, cancellazione e opposizione al trattamento dei dati. Le risposte dell’ateneo sono arrivate spesso in ritardo, erano incomplete o troppo generiche. In un caso, la richiesta era finita nella cartella spam, ma il Garante ha sottolineato che ciò non esonera dall’obbligo di predisporre sistemi organizzativi adeguati. Anche questa condotta è stata ritenuta in violazione degli articoli 12, 17 e 21 del GDPR.
3. Diffusione online di dati personali - L’università aveva pubblicato sul proprio sito istituzionale documenti interni contenenti dati personali del docente, come pareri di dipartimento e atti endoprocedimentali, lasciandoli accessibili per anni oltre i limiti previsti dal decreto sulla trasparenza (Dlgs. 33/2013). L’Autorità ha ribadito che la trasparenza non è un lasciapassare per diffondere senza limiti informazioni personali: occorre sempre una base giuridica chiara e bisogna rispettare i tempi di pubblicazione previsti dalla legge.
Le norme violate - L’ateneo è stato quindi riconosciuto responsabile di molteplici violazioni del Regolamento UE 2017/279, in particolare:
- Art. 5, principi di liceità, correttezza, trasparenza e limitazione della conservazione.
- Art. 6, mancanza di una base giuridica per il trattamento dei dati dopo la cessazione del rapporto e per la pubblicazione online.
- Artt. 12, 17 e 21, mancata gestione adeguata delle richieste dell’interessato.
- Art. 2-ter del Codice privacy, che per i soggetti pubblici ammette il trattamento solo se previsto da una norma di legge, non da regolamenti interni.
La sanzione - Il Garante ha pertanto comminato una multa complessiva di 8.000 euro, suddivisa in due parti: 4.000 euro per la gestione illecita della casella email e 4.000 euro per le violazioni relative alle istanze dell’interessato e alla diffusione dei dati online. A queste si sono aggiunte misure accessorie: la pubblicazione dell’ordinanza sul sito del Garante e l’annotazione nel registro interno delle violazioni.
