NEWSLETTER N. 546 del 15 aprile 2026

• Prove d’esame e corsi a distanza, online le Faq del Garante privacy
• Il Garante privacy sanziona Eni per 96mila euro
• Garante: sì ad accesso proprie email dopo fine rapporto lavoro
• Garante: non conforme al Gdpr “FaceBoarding” di Milano Linate
• Servizio AscoltaMi: ok del Garante privacy al MIM

Prove d’esame e corsi a distanza, online le Faq del Garante privacy

Le università pubbliche e private e gli enti di formazione possono svolgere prove d’esame e corsi a distanza? Sono ammessi sistemi di monitoraggio dei comportamenti dei partecipanti? Possono essere raccolte le immagini di studenti e lavoratori che seguono le attività di formazione? A queste e ad altre domande rispondono le FAQ pubblicate dal Garante privacy. L’obiettivo è quello di chiarire le modalità di utilizzo dei sistemi di supervisione per la regolarità delle prove d’esame e dei corsi a distanza.

Nelle FAQ viene evidenziato che sebbene le università e gli enti di formazione siano legittimati a trattare i dati dei partecipanti a prove d’esame e corsi che si svolgono a distanza, ciò deve avvenire nei limiti del quadro normativo di settore ed esclusivamente ai fini del regolare svolgimento della prova e delle frequenza ai corsi impiegando, ad esempio, servizi di videoconferenza o piattaforme che non consentano la raccolta di dati non pertinenti come la posizione geografica o i dati biometrici dei candidati.

In caso di utilizzo di sistemi di supervisione (c.d. proctoring) spetta al titolare, quindi alle università e agli enti di formazione, adottare misure che garantiscano la conformità degli stessi alla disciplina privacy, anche nel caso in cui i sistemi e i servizi siano commercializzati da terzi.

A seconda del numero dei partecipanti o iscritti alla sessione d’esame, tipologia di corso o di prova, il titolare potrà valutare la necessità di effettuare una registrazione audio-video dell’esame (anche riprendendo il volto della persona senza estrazione di dati biometrici), individuando un congruo termine di conservazione delle registrazioni.

Non sono invece consentiti sistemi che comportano trattamenti automatizzati di dati personali per analizzare e prevedere, anche mediante algoritmi, il comportamento dei partecipanti, come ad esempio, movimenti del corpo, frequenza dei click del mouse, operazioni compiute sulla tastiera, tentativi di accesso ad altre applicazioni, attività su Internet, al fine di elaborare indici di rischio o segnali di allerta relativi a possibili comportamenti fraudolenti.

Le FAQ sono consultabili sul sito internet del Garante privacy www.gpdp.it

Il Garante privacy sanziona Eni per 96mila euro
Online atto di citazione con i dati personali di 12 firmatari insieme a Greenpeace

Una sanzione di 96mila euro è stata irrogata dal Garante privacy a Eni spa per aver pubblicato sul proprio sito web un atto di citazione integrale con i nominativi di dodici cittadini firmatari insieme a Greenpeace Onlus e ReCommon APS, comprensivo di data e luogo di nascita, codice fiscale e indirizzo di residenza. Un trattamento di dati dichiarato illecito dall’Autorità perché effettuato in violazione dei principi di liceità, correttezza e trasparenza del Regolamento europeo e in assenza di una valida base giuridica.

L’istruttoria del Garante, avviata a seguito della segnalazione dell’associazione “Greenpeace Onlus”, ha evidenziato che la pubblicazione integrale dell’atto di citazione non risultava strettamente funzionale al perseguimento delle finalità dichiarate da Eni, che consistevano nella tutela della propria posizione con riferimento alla vicenda giudiziaria pendente per presunta violazione dell’Accordo sul clima di Parigi e nella diffusione di informazioni al pubblico su fatti inerenti al tema del cambiamento climatico.

Tali finalità, secondo l’Autorità, avrebbero potuto essere perseguite mediante modalità alternative, ugualmente efficaci ma meno invasive, quali, in particolare, l’oscuramento dei dati personali degli interessati. Non sono state, inoltre, debitamente considerate né le ragionevoli aspettative di riservatezza di quest’ultimi, né l’impatto che il trattamento di dati avrebbe avuto su di loro. Gli stessi, infatti, pur avendo reso pubblici i propri nominativi in vari contesti, non potevano comunque attendersi la diffusione online di ulteriori informazioni personali a carattere identificativo e riservato, quali il codice fiscale, la data e il luogo di nascita e l’indirizzo di residenza. Informazioni che, per loro natura, presentano un elevato grado di sensibilità sotto il profilo della tutela della sfera privata e della sicurezza personale, risultando idonee a determinare rischi concreti di utilizzi indebiti o pregiudizievoli da parte di terzi, soprattutto in considerazione della loro libera accessibilità tramite Internet.

Nel determinare l’ammontare della sanzione il Garante ha tenuto conto del fatto che la pubblicazione integrale dell’atto di citazione è avvenuta in assenza di una valida base giuridica, della durata della permanenza online, del numero dei soggetti coinvolti, della delicatezza delle loro informazioni, ma anche del grado di cooperazione della società e delle iniziative spontaneamente avviate dalla stessa per conformare, a seguito della trasmissione della segnalazione, il trattamento al Regolamento, nonché di quelle che ha dichiarato di aver intrapreso per prevenire in futuro il ripetersi di situazioni analoghe.

Garante: sì ad accesso proprie email dopo fine rapporto lavoro
Sanzione di 50mila euro ad una compagnia assicurativa

Il lavoratore può accedere ai messaggi del proprio account email aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali.

È quanto ha affermato il Garante per la protezione dei dati personali accogliendo il reclamo di un ex dipendente di una compagnia assicurativa, che aveva chiesto copia dei messaggi della propria casella di posta elettronica aziendale e dei documenti salvati nel pc. La società aveva effettuato un accesso alla posta elettronica dell’ex dipendente e, dopo averne esaminato il contenuto, aveva fornito esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli legati all’attività lavorativa.

Secondo il Garante, il diritto di accesso riguarda tutti i dati personali, comprese le comunicazioni intercorse tramite un account aziendale individualizzato. Non è quindi legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale.

L’Autorità ha inoltre rilevato criticità nella gestione dei dati, in particolare per la mancanza di trasparenza nelle informative e per i tempi di conservazione delle email (5 anni) e dei dati di navigazione (12 mesi), ritenuti non proporzionati rispetto alle finalità dichiarate.

Per le violazioni accertate è stata inflitta una sanzione di 50mila euro. Il Garante ha inoltre ordinato di consentire l’accesso integrale ai dati richiesti e di adeguare informative e policy interne alla normativa privacy.

Garante: non conforme al Gdpr “FaceBoarding” di Milano Linate 

Il Garante privacy ha dichiarato illecito il trattamento dei dati biometrici dei passeggeri dell’aeroporto di Milano Linate effettuato attraverso il sistema di riconoscimento facciale “FaceBoarding”, rispetto al quale l’Autorità era già intervenuta con un provvedimento di limitazione provvisoria nel mese di settembre 2025.

Il sistema veniva utilizzato da SEA (Società per azioni esercizi aeroportuali), per consentire l’accesso all’area sterile e l'imbarco al gate dei passeggeri previa registrazione presso appositi chioschi o mediante app e successiva associazione del volto al documento di riconoscimento e alla carta d’imbarco.    

L’Autorità, nel corso dell’istruttoria avviata d’ufficio, ha accertato che il “FaceBoarding” vìola il GDPR ed è in contrasto, in particolare, con il parere dell’EDPB sull’uso del riconoscimento facciale in aeroporto.  Il sistema, infatti, prevede che i dati biometrici acquisiti siano interamente conservati in maniera centralizzata nei server di SEA impedendo ai passeggeri di esercitare un controllo esclusivo sui propri dati.

Il Garante ha riscontrato, inoltre, che SEA non ha adottato misure di cifratura dei modelli biometrici; ha conservato i template per un periodo eccessivo (fino a 12 mesi), comportando così un aumento significativo dei rischi di violazioni dei dati personali, ed ha rilasciato un’informativa con indicazioni inesatte. Per di più la società acquisiva, senza il loro consenso, le immagini del volto dei passeggeri che, pur non avendo aderito al “FaceBoarding”, utilizzavano i varchi ibridi. 

Servizio AscoltaMi: ok del Garante privacy al MIM

Il Garante per la protezione dei dati personali ha espresso parere favorevole al Ministero dell'Istruzione e del Merito (MIM) sullo schema di decreto che disciplina “AscoltaMi”, il servizio di supporto psicologico online per gli studenti, promosso dal MIM. Il decreto definisce i ruoli dei soggetti coinvolti nella gestione del servizio e le modalità di erogazione.

AscoltaMi è fruibile, in via facoltativa e gratuita, mediante la piattaforma Unica. Il servizio è destinato agli studenti beneficiari che hanno presentato domanda e a cui è stato riconosciuto il relativo contributo, dopo aver preso conoscenza dell’informativa privacy e prestando il consenso informato all’atto medico. Anche la rete dei servizi sociosanitari e assistenziali territoriali può segnalare alle Istituzioni scolastiche situazioni generali di disagio, senza trasmettere i dati personali degli studenti interessati, e può informare le famiglie sulla possibilità di attivare il servizio.

Nell’ambito delle procedure di riconoscimento del contributo, il MIM è titolare del trattamento dei dati personali. Lo psicologo, che viene selezionato dalle famiglie sulla base delle informazioni contenute nella sua scheda informativa, in occasione del primo incontro, fornisce allo studente beneficiario un’informativa privacy distinta. Qualora il professionista individui situazioni di particolare fragilità di uno studente minorenne, le segnala a chi esercita la responsabilità genitoriale o legale e, con il consenso di questi ultimi o dello studente maggiorenne, può informare l’Istituzione scolastica in merito a notizie e fatti appresi nel corso delle sedute, qualora lo ritenga indispensabile per la tutela psicologica dello studente. La versione dello schema di decreto esaminata tiene conto delle osservazioni del Garante, volte a renderla conforme alla normativa privacy.

Le indicazioni dell’Autorità hanno riguardato tra l’altro: la corretta individuazione dei dati trattati nell’ambito del servizio e dei ruoli dei soggetti coinvolti; le garanzie di trasparenza; la differenziazione del consenso al trattamento dei dati personali e del consenso all’atto medico; le caratteristiche e le misure tecniche e organizzative. Inoltre, lo schema garantisce che lo psicologo tratti i dati dello studente solo ai fini della propria prestazione sanitaria, mentre il Ministero, che mette a disposizione la piattaforma, non li può né visualizzare né conservare. Il testo del decreto prevede, infine, le garanzie relative alle comunicazioni che psicologo e rete dei servizi sociosanitari e assistenziali territoriali possono effettuare in presenza di situazioni di disagio, a tutela dei diritti e delle libertà fondamentali di studenti e famiglie.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Data breach, Garante privacy sanziona Intesa Sanpaolo per 31,8 milioni di euro, Accessi indebiti alle informazioni bancarie di oltre 3.500 clienti per più di due anni - Comunicato del 30 marzo 2026

- Ddl tutela minori sui social, precisazione Garante privacy - Comunicato del 30 marzo 2026

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it