Il provvedimento n. 386 del 10 luglio 2025 del Garante per la Protezione dei Dati Personali, relativo all’Università di Cassino e del Lazio Meridionale, rappresenta un momento chiave nella disciplina della privacy nel settore universitario. Il caso trae origine da tre reclami di un docente a contratto, che lamentava: la conservazione prolungata della casella e-mail dopo la cessazione dell’incarico, la mancata risposta alle istanze di esercizio dei diritti previsti dal GDPR e la pubblicazione online di documenti contenenti dati personali.
1. La gestione della posta elettronica del docente cessato
L’Ateneo aveva mantenuto attiva la casella personale del docente anche dopo la fine del contratto, conservando i messaggi “ai fini di archiviazione di pubblico interesse”. Il Garante ha rilevato che tale condotta viola i principi di liceità e limitazione della conservazione (art. 5 GDPR), poiché la posta elettronica costituisce corrispondenza privata e non può essere trattata o conservata senza base giuridica. È illegittimo mantenere gli account oltre il tempo necessario, anche se disattivati: la sola conservazione dei messaggi costituisce trattamento di dati personali.
2. L’inosservanza delle istanze dell’interessato
Il docente aveva più volte richiesto accesso, cancellazione e chiarimenti sui propri dati, ricevendo risposte tardive e generiche. Il Garante ha ribadito che l’art. 12 GDPR impone non solo tempestività, ma anche chiarezza e motivazione nelle risposte. Non è accettabile sospendere i termini adducendo richieste di parere al Garante o difficoltà organizzative legate alla pandemia: il titolare resta sempre responsabile di garantire i diritti degli interessati (principio di accountability).
3. La pubblicazione online di dati personali
L’Università aveva pubblicato sul proprio sito atti contenenti informazioni personali del docente (pareri dipartimentali, note interne), sostenendo di agire in adempimento degli obblighi di trasparenza. L’Autorità ha chiarito che tali obblighi non consentono la diffusione di atti endoprocedimentali, ma solo di documenti espressamente previsti dal d.lgs. 33/2013 (es. bandi e graduatorie finali). La pubblicazione indiscriminata viola il principio di minimizzazione dei dati e richiede misure di anonimizzazione o de-pubblicazione trascorsi i termini di legge.
4. La sanzione e i principi affermati
Accertate le violazioni degli artt. 5, 6, 12, 17 e 21 GDPR e dell’art. 2-ter Codice Privacy, il Garante ha irrogato una sanzione di 8.000 euro, riconoscendo la collaborazione e la buona fede dell’Ateneo. Ha inoltre disposto la pubblicazione del provvedimento per finalità educative e di deterrenza.
5. Insegnamenti e prospettive
Il caso evidenzia criticità diffuse nella gestione dei dati nel mondo accademico: assenza di regole sulla disattivazione delle caselle e-mail, ritardi nei riscontri agli interessati e mancata pianificazione del ciclo di vita dei documenti pubblicati online. Il Garante richiama gli atenei ad adottare politiche di privacy by design, regolamenti di conservazione e cancellazione dei dati e procedure interne trasparenti.
La vicenda di Cassino assume valore paradigmatico: la protezione dei dati personali non è un mero adempimento burocratico, ma un indice di qualità amministrativa e di rispetto della dignità delle persone. Le università, come tutti i soggetti pubblici, devono integrare la tutela della riservatezza nei propri processi gestionali, per garantire un equilibrio sostenibile tra trasparenza, efficienza e diritti fondamentali.