Privacy: illecita la conservazione delle email di un docente non più in servizio

---

Condividi l'articolo:

---

Il trattamento delle e mail dei dipendenti nuovamente al centro dell’attenzione del Garante della privacy: con il provvedimento n. 386 del 10 luglio 2025 è stata infatti sanzionata l’università di Cassino per il mancato oscuramento e per la conservazione prolungata della casella di posta elettronica assegnata ad un proprio docente, anche dopo la fine dell’incarico.

Il provvedimento affronta tre profili distinti e interconnessi che coinvolgono il trattamento dei dati personali:

1. la conservazione illecita della posta elettronica istituzionale assegnata a un docente a contratto anche dopo la cessazione del rapporto di lavoro;
2. il mancato, parziale o tardivo riscontro alle istanze dell’interessato ai sensi degli articoli 12, 15, 17 e 21 del GDPR;
3. la diffusione online di documenti contenenti dati personali, avvenuta oltre i termini di legge e in assenza di una base giuridica conforme.

L’intervento dell’Autorità si inserisce in un contesto normativo ben definito, nel quale le pubbliche amministrazioni sono chiamate a bilanciare l’obbligo di trasparenza con il rispetto del diritto alla protezione dei dati personali.

Il caso trattato evidenzia una gestione impropria delle informazioni personali in ambito universitario, sottolineando l’importanza della responsabilizzazione del titolare del trattamento e dell’adozione di misure organizzative e tecniche adeguate.

Uno dei profili più rilevanti del provvedimento riguarda, come accennato, il mancato oscuramento e la conservazione prolungata della casella di posta elettronica assegnata al docente, anche dopo la fine dell’incarico.

Secondo il Garante, tale condotta ha comportato un trattamento di dati privo di base giuridica, in violazione dei principi di liceità, minimizzazione e limitazione della conservazione.

L’ateneo ha giustificato la mancata disattivazione invocando motivi organizzativi legati all’emergenza pandemica, ma tali ragioni non sono state considerate idonee dall’Autorità.

Il secondo nucleo critico riguarda la gestione delle istanze presentate dal reclamante per l’accesso, la cancellazione e l’opposizione al trattamento dei propri dati. In alcuni casi, l’ateneo ha fornito risposte incomplete o generiche, in altri casi le istanze non sono state trattate nei termini previsti (trenta giorni).

È stato anche rilevato che alcune email contenenti tali richieste sono finite nella posta indesiderata (cartella spam), senza che l’ente predisponesse un controllo sistematico di tale canale.

Ebbene, il Garante ha ritenuto tali omissioni non giustificabili, confermando la violazione degli articoli 12, 17 e 21 del Regolamento (UE) 2016/679 (GDPR).

Il terzo profilo affrontato riguarda la pubblicazione online di documenti contenenti dati personali del docente, come pareri dipartimentali e atti interni alle procedure di attribuzione degli incarichi.

Tali documenti sono rimasti pubblicamente accessibili per un periodo superiore a quello consentito (in alcuni casi oltre i tre o cinque anni, a seconda della tipologia), e in assenza di una norma di legge che ne giustificasse la diffusione.

Il Garante ha quindi evidenziato che la trasparenza amministrativa non può costituire un’esimente generalizzata alla pubblicazione online di dati personali, soprattutto quando mancano basi normative chiare o si superano i limiti temporali stabiliti dalla disciplina sulla trasparenza (D.Lgs. n. 33/2013).

Ma vediamo nel dettaglio la questione.

Le violazioni contestate dal Garante

Il provvedimento del Garante per la protezione dei dati personali n. 326 del 10 luglio 2025 a carico dell’università degli studi di Cassino ha rilevato una serie articolata di violazioni della normativa europea e nazionale in materia di protezione dei dati personali.

Le criticità individuate nel corso dell’istruttoria hanno riguardato in particolare tre macro-ambiti:

1. la gestione illecita della casella di posta elettronica istituzionale assegnata al docente a contratto;
2. il mancato o tardivo riscontro alle istanze dell’interessato;
3. la diffusione online illecita di dati personali mediante la pubblicazione di atti contenenti dati identificativi e professionali.

Tali condotte hanno portato all’accertamento di una pluralità di violazioni del GDPR, tra cui i principi fondamentali di liceità, correttezza, trasparenza, minimizzazione, limitazione della conservazione, nonché delle disposizioni procedurali sugli obblighi del titolare del trattamento in materia di esercizio dei diritti e divulgazione di dati.

Trattamento illecito della casella di posta elettronica

Una delle violazioni centrali riscontrate dal Garante ha riguardato la prolungata conservazione della casella di posta elettronica istituzionale assegnata al docente, anche dopo la cessazione del rapporto contrattuale.

L’ateneo, infatti, non ha provveduto alla disattivazione tempestiva dell’account, né ha adottato un sistema automatico per informare i mittenti dell’indisponibilità dell’indirizzo e mail.

Conservazione prolungata dei messaggi email

Dalle verifiche effettuate, è emerso inoltre che i messaggi contenuti nella casella e mail personale del docente sono stati conservati per circa due anni dopo la cessazione del contratto di docenza.

Secondo quanto dichiarato dall’ateneo a propria difesa, ciò sarebbe avvenuto a causa di un errore materiale e delle difficoltà legate al contesto emergenziale COVID-19.

Tuttavia, il Garante ha ritenuto tale giustificazione inidonea a legittimare una conservazione così estesa e priva di predeterminazione normativa.

In assenza di una base giuridica specifica, la permanenza dei dati personali nella casella ha costituito una violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e), GDPR) e del principio di liceità del trattamento (art. 6 GDPR).

La giurisprudenza e le linee guida del Garante indicano chiaramente che i dati devono essere conservati per un periodo proporzionato e compatibile con le finalità originarie del trattamento. Nel caso in esame, tali requisiti non risultavano soddisfatti.

Mancata disattivazione e assenza di sistema informativo ai mittenti

Oltre alla conservazione dei dati, il Garante ha rilevato che, nel periodo successivo alla cessazione del contratto, l’account e mail risultava ancora attivo, e solo successivamente è stato disattivato attraverso il classico messaggio di ritorno "Delivery Status Notification (Failure)".

Inoltre, l’ateneo non ha attivato nell’immediato alcun messaggio automatico di risposta tale da informare i mittenti della cessazione dell’attività del docente e fornire indirizzi alternativi di riferimento.

Questa omissione ha determinato una violazione del principio di trasparenza (art. 5, par. 1, lett. a), GDPR) e una condotta non conforme alle Linee guida del Garante in materia di gestione della posta elettronica (provvedimento del 1° marzo 2007), secondo cui è obbligatorio disattivare la casella individuale al termine del rapporto di lavoro e attivare strumenti automatici per la corretta gestione delle comunicazioni in entrata.

Mancata risposta alle istanze dell’interessato

Un ulteriore profilo di violazione riguarda la gestione delle istanze di esercizio dei diritti presentate dal docente in qualità di interessato ai sensi degli articoli 12, 15, 17 e 21 del GDPR.

L’ateneo infatti, pur avendo ricevuto formali richieste relative a diritto di accesso, cancellazione e opposizione al trattamento, ha fornito risposte parziali, tardive o inadeguate.

L’articolo 12 del GDPR stabilisce a tale proposito che il titolare del trattamento debba fornire riscontro all’interessato entro trenta giorni dal ricevimento della richiesta, anche solo per comunicare eventuali proroghe motivate o impossibilità a procedere. Nel caso in esame, l’ateneo ha fornito invece risposte oltre il termine previsto, in alcuni casi senza motivare adeguatamente il ritardo o senza rispondere puntualmente alle singole domande formulate.

Il Garante ha ricordato dunque che il mancato rispetto di questi obblighi costituisce una violazione procedurale autonoma, a prescindere dalla fondatezza dell’istanza nel merito, in quanto l’inerzia o l’imprecisione del titolare rappresentano un pregiudizio per il diritto fondamentale alla protezione dei dati personali riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’UE.

Nel merito, molte delle risposte fornite sono risultate eccessivamente generiche, come ad esempio il semplice richiamo all’art. 17, par. 3, lett. e) GDPR (difesa di un diritto in sede giudiziaria), senza specificare l’effettiva esistenza di procedimenti pendenti o imminenti che ne giustificassero la conservazione. Tale mancanza di trasparenza e specificità è stata censurata come non conforme agli standard di accountability e rappresentativa di una scarsa cultura della protezione dei dati.

In almeno un’occasione, l’ateneo ha inoltre dichiarato di non aver risposto per tempo a causa del transito della richiesta nella cartella di posta indesiderata (spam). Il Garante ha escluso che ciò possa costituire una giustificazione valida, sottolineando che il titolare del trattamento ha l’obbligo di predisporre strumenti tecnici e organizzativi adeguati per assicurare la regolare ricezione e gestione delle comunicazioni formali, inclusa la consultazione delle cartelle secondarie.

Diffusione online illecita di dati personali

Un ulteriore fronte sanzionatorio è rappresentato dalla pubblicazione online di atti amministrativi contenenti dati personali del reclamante, come documenti relativi a incarichi di docenza, pareri di dipartimenti e verbali. Tali documenti sono infatti rimasti accessibili oltre i limiti temporali previsti dalla normativa sulla trasparenza e senza una base giuridica adeguata a supportare la diffusione.

Il Garante ha accertato che l’ateneo ha pubblicato sul proprio sito istituzionale atti endoprocedimentali (ad esempio pareri favorevoli di dipartimenti universitari ai fini dell’attribuzione di incarichi) che contenevano dati personali identificativi del docente, in assenza di una previsione normativa espressa che ne imponesse la pubblicazione. Tali documenti non rientrano tra quelli obbligatoriamente pubblicabili ai sensi dell’art. 19 del D.Lgs. n. 33/2013, che prevede la trasparenza per bandi, graduatorie finali e provvedimenti definitivi, ma non per atti interni.

Superamento dei limiti temporali previsti dalla normativa sulla trasparenza

Anche laddove fosse stata ipotizzabile una legittimità iniziale della pubblicazione, la permanenza online dei documenti oltre i termini di tre o cinque anni previsti per legge ha determinato un’ulteriore violazione: i dati del docente sono rimasti accessibili fino al 2025, nonostante l’incarico fosse cessato nel 2020. L’eventuale rimozione degli URL è avvenuta solo a seguito dell’intervento dell’Autorità, confermando l’inerzia dell’ente.

Assenza di base giuridica per la diffusione

Infine, il Garante ha rigettato l’argomentazione dell’ateneo secondo cui la pubblicazione sarebbe avvenuta in base ai regolamenti interni e per finalità di trasparenza: tali fonti non costituiscono infatti base giuridica sufficiente ai sensi dell’art. 6, par. 1, lett. c) ed e), GDPR, che richiede una norma di legge o, nei casi previsti, un regolamento di rango secondario. La pubblicazione di dati personali su internet, in particolare quando non obbligatoria, deve sempre essere valutata con particolare attenzione, poiché implica una diffusione ampia e difficilmente reversibile.

Le norme violate dall’ateneo

L’ateneo è stato ritenuto responsabile di molteplici inadempienze rispetto agli obblighi normativi che disciplinano il trattamento lecito, corretto e trasparente dei dati personali, sia sotto il profilo sostanziale (principi generali e basi giuridiche), sia sul piano procedurale (risposte agli interessati ed esercizio dei diritti).

Articolo 5 del GDPR: principi fondamentali del trattamento

L’articolo 5 del GDPR stabilisce i principi fondamentali che devono essere osservati in ogni trattamento di dati personali.

• Il principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), in quanto l’ateneo ha prolungato il trattamento dei dati contenuti nella casella di posta elettronica del docente cessato senza base giuridica, senza informare i terzi mittenti e senza adottare misure tecniche adeguate (es. messaggi automatici, disattivazione tempestiva).
• Il principio di limitazione della conservazione (art. 5, par. 1, lett. e), in quanto i dati sono stati mantenuti ben oltre il periodo necessario rispetto alle finalità originarie, senza predeterminazione di un termine massimo e senza criteri interni di conservazione formalizzati.

La violazione di questi principi evidenzia una mancanza di accountability e di consapevolezza nel trattamento dei dati da parte del titolare, che avrebbe dovuto adottare misure tecniche e organizzative in grado di garantire un trattamento conforme.

Articolo 6 del GDPR: basi giuridiche del trattamento

L’articolo 6 del GDPR individua le condizioni di liceità del trattamento, stabilendo che i dati personali possono essere trattati solo se sussiste una base giuridica tra quelle previste (es. consenso, obbligo legale, interesse pubblico, esecuzione di un contratto).

Nel caso dell’ateneo, il Garante ha rilevato che:

• il prolungato trattamento della casella e mail, successivo alla cessazione del rapporto lavorativo del docente, non era supportato da alcuna base giuridica valida, né da esigenze di archiviazione formalmente giustificate;
• anche la pubblicazione online di documenti contenenti dati personali è risultata priva di una base giuridica, non potendo essere ricondotta né ad un obbligo legale, né ad un pubblico interesse documentato, come richiesto dagli artt. 6, par. 1, lett. c) ed e), del GDPR.

L’assenza di una base giuridica ha reso illecito il trattamento per tutte le attività sopra elencate, aggravando ulteriormente il quadro sanzionatorio a carico dell’amministrazione universitaria.

Articoli 12, 17 e 21 del GDPR: esercizio dei diritti da parte dell’interessato

Il Garante ha inoltre accertato la violazione delle norme che regolano l’esercizio dei diritti da parte degli interessati, in particolare:

• articolo 12, paragrafi 3 e 4 - l’ateneo non ha fornito risposte complete, puntuali e trasparenti alle richieste del docente. In alcuni casi, le risposte sono pervenute oltre i termini di legge (30 giorni), oppure non contenevano una motivazione adeguata del diniego alla cancellazione o opposizione. Inoltre, l’ente non ha comunicato le modalità per presentare reclamo all’autorità competente, come invece prescritto;
• articolo 17 GDPR (diritto alla cancellazione) - il docente aveva chiesto la rimozione dei propri dati dal sito web e dai sistemi informatici dell’ateneo. La mancata rimozione tempestiva, unita alla mancanza di indicazioni chiare sulla conservazione dei dati, ha configurato una violazione sostanziale del diritto alla cancellazione;
• articolo 21 GDPR (diritto di opposizione) - l’ateneo ha respinto le istanze di opposizione al trattamento dei dati personali, invocando genericamente la necessità di difendere un diritto in sede giudiziaria, senza tuttavia fornire elementi oggettivi che dimostrassero un contenzioso in atto o imminente.

Le violazioni procedurali riscontrate evidenziano una scarsa preparazione interna alla gestione delle richieste di accesso e cancellazione dei dati, in contrasto con il principio di responsabilizzazione del titolare previsto dall’art. 5, par. 2 del GDPR.

Art. 2 ter del codice privacy: liceità del trattamento da parte dei soggetti pubblici

Tale articolo disciplina le condizioni in base alle quali i soggetti pubblici possono lecitamente trattare dati personali, prevedendo che il trattamento sia sempre riconducibile a una norma di legge o regolamento.

Nel caso in esame, l’Università ha sostenuto di aver pubblicato i dati personali del docente per finalità di trasparenza amministrativa e in base a regolamenti interni. Tuttavia, come sottolineato dal Garante, la pubblicazione di dati personali su internet da parte di soggetti pubblici è consentita solo se imposta espressamente da una norma di legge, e non può essere giustificata da atti regolamentari interni o consuetudini amministrative.

Pertanto, l’ateneo ha diffuso online dati personali in violazione dell’art. 2 ter, aggravando l’illiceità del trattamento sotto il profilo nazionale oltre che europeo.

Sanzioni comminate all’ateneo

Alla luce delle violazioni accertate, il Garante ha applicato una sanzione amministrativa pecuniaria complessiva pari a euro 8.000 e ha disposto ulteriori misure accessorie.

Il Garante ha individuato infatti due condotte distinte e autonomamente sanzionabili.

1. Trattamento illecito della casella di posta elettronica – per la conservazione non autorizzata dei messaggi email, la mancata disattivazione dell’account e l’omessa comunicazione ai mittenti, è stata applicata una sanzione pari a € 4.000.

2. Violazioni connesse all’esercizio dei diritti dell’interessato e alla diffusione online dei dati – per la mancata risposta o la risposta inadeguata alle richieste del docente, nonché per la pubblicazione illecita di documenti online contenenti dati personali, è stata comminata una seconda sanzione pari a € 4.000.

Entrambe le sanzioni sono state commisurate tenendo conto:

• della gravità moderata delle violazioni;
• della natura colposa della condotta;
• della cooperazione offerta dall’ateneo nel corso dell’istruttoria;
• dell’assenza di precedenti violazioni da parte dell’ente;
• della dimensione dell’ateneo (circa 7.000 iscritti), che ha influenzato la valutazione dell’impatto del trattamento.

Misure accessorie

Oltre alla sanzione pecuniaria, il Garante ha adottato le seguenti misure accessorie, in conformità agli articoli 58 del GDPR, 166 e 154-bis del codice privacy e al Regolamento n. 1/2019 dell’Autorità.

• Pubblicazione integrale dell’ordinanza-ingiunzione sul sito istituzionale del Garante per la protezione dei dati personali, al fine di garantire la trasparenza dell’azione amministrativa e l’effetto deterrente della sanzione.
• Annotazione nel registro interno delle violazioni tenuto dall’Autorità, previsto dall’art. 57, par. 1, lett. u) del GDPR, per monitorare eventuali recidive o criticità sistemiche da parte del medesimo titolare del trattamento.

Riassumendo

Violazioni accertate	- Art. 5 GDPR: principi di liceità, trasparenza, minimizzazione, limitazione della conservazione - Art. 6 GDPR: assenza di base giuridica del trattamento - Art. 12, 17, 21 GDPR: inadeguata gestione delle istanze dell’interessato - Art. 2-ter Codice Privacy: trattamento illecito da parte di soggetto pubblico
Fatti contestati	- Conservazione prolungata e immotivata della casella email del docente - Mancata disattivazione dell’account - Diffusione online non autorizzata di documenti con dati personali - Risposte generiche o tardive alle istanze ex artt. 15–22 GDPR
Sanzione amministrativa	€ 8.000 complessivi, suddivisi in: – € 4.000 per trattamento illecito della casella email – € 4.000 per gestione inadeguata delle istanze e diffusione online non conforme
Misure accessorie disposte	- Pubblicazione del provvedimento sul sito del Garante - Annotazione delle violazioni nel registro interno dell’Autorità
Note rilevanti	Nessun accesso dichiarato ai contenuti delle email da parte dell’ateneo, ma mancato rispetto dei tempi e delle procedure previste dalla normativa