[doc. web n. 9742923]

Ordinanza ingiunzione nei confronti di Università Telematica Internazionale Uninettuno - 16 dicembre 2021

Registro dei provvedimenti
n. 448 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, il reclamante, docente universitario, ha rappresentato di aver inviato il proprio curriculum vitae ai fini di una procedura di selezione avviata dall’Università Telematica Internazionale Uninettuno (di seguito, l’”Università” o l’”Ateneo”), per l’assegnazione di un incarico di docente a contratto; successivamente alla predetta comunicazione, il curriculum vitae (contenente anche dati personali come l’indirizzo di residenza, il numero di telefono, l’indirizzo di posta elettronica, l’indirizzo di PEC, lo stato civile e la firma) risultava pubblicato sul sito web dell’Università quantomeno a partire dal mese di giugno 2018, essendo stato, altresì, indicizzato sui motori di ricerca, nonostante il contratto con l’Università non fosse mai stato perfezionato e la collaborazione non fosse mai iniziata. È stato, altresì, lamentato che il reclamante risultasse menzionato nel medesimo sito web come docente dell’Università.Il reclamante ha, infine, rappresentato che in data XX, a seguito di una richiesta di cancellazione dei propri dati personali rivolta all’Università, ha ricevuto una comunicazione da parte del responsabile della protezione dei dati della stessa, con la quale si dava atto che l’Università aveva provveduto a rimuovere dal sito web i propri dati personali e si era attivata ai fini della deindicizzazione dai motori di ricerca.

2. L’attività istruttoria.

Con nota del XX l’Università, in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

nel mese di luglio 2017 l’Ateneo aveva avviato con il reclamante delle trattative inerenti a un incarico di docente tutor;

“in data 25/07/2017 il [reclamante] trasmetteva con e-mail all’Università […] il suo curriculum vitae e in data 14/09/2017 compilava la scheda per la raccolta dei dati necessari alla gestione del rapporto contrattuale e la consegnava all’[…] Ateneo”;

in data 18 settembre 2017, “il [reclamante] partecipava alla riunione” del Consiglio di Facoltà, indetta, tra le altre cose, per discutere della “sua nomina di docente d’area”, e, in tale occasione, “era nominato docente d’area”;

il verbale di tale seduta veniva approvato nella successiva seduta del 5 febbraio 2018;

in data 8 dicembre 2017 il [reclamante] “comunicava […] tramite p.e.c., di aver completato il programma [previsto per il proprio insegnamento], e di volerlo pubblicare nell’area del sito dell’Ateneo relativa al corso [in questione]”;

“con e-mail del 21/03/2018, l’ufficio del personale dell’Ateneo comunicava al [reclamante] la programmazione delle […] videolezioni a lui assegnate […], a cui faceva seguito in data 10/04/2018 l’invio con e-mail della lettera d’incarico per la realizzazione delle videolezioni predette”;

“a tale ultima comunicazione, il [reclamante] replicava con p.e.c. del 16/04/2018, chiedendo all’Ateneo dei chiarimenti sull’offerta economica pervenuta, dichiarandosi disponibile a valutare solo un’altra offerta; poi cessava ogni ulteriore contatto”;

pur avendo il reclamante chiesto la cancellazione dei suoi dati personali, “nel 2019, il [reclamante] pubblicava […] sui siti web [di altre due università] il suo curriculum vitae, nel quale riportava […] di essere stato docente a contratto dell’Università”;

“il trattamento dei dati personali del [reclamante] e segnatamente la pubblicazione del suo curriculum vitae nel […] sito dell’Ateneo si è reso necessario, a prescindere dalla conclusione del contratto inerente alla realizzazione delle […]  videolezioni, per adempiere agli obblighi legali imposti dalle norme in materia di pubblicità per finalità di trasparenza in ambito universitario (D.lgs. n. 33/2013; D.M. 31/10/2007, n. 544; Decreto Direttoriale 10/06/2008 n. 61)”;

l’Ateneo “è un’università telematica non statale, abilitata ai sensi del D.M. 17 aprile 2003 a rilasciare titoli accademici di cui all’art. 3 del D.M. del 22 ottobre 2004 n. 270”;

“l’art. 1 della legge 29 luglio 1991 n. 243 stabilisce che le università […] non statali legalmente riconosciut[e] operano nell’ambito delle norme dell’articolo 33, ultimo comma, della Costituzione e delle leggi che l[e] riguardano, nonché dei principi generali della legislazione in materia universitaria in quanto compatibili”;

l’art. 2 del D. M. (Miur) del 31 ottobre 2007, n. 554 prevede che “le università devono rendere disponibili una serie di informazioni, individuate con Decreto Direttoriale, da evidenziare nell’offerta formativa pubblica per una esaustiva conoscenza da parte degli studenti e di tutti i soggetti interessati […]”;

“nel Decreto Direttoriale del 10 giugno 2008, n. 61 e nel suo Allegato, il MIUR ha elencato tutte le informazioni che le università sono tenute a pubblicare nel loro sito web prima dell’avvio delle attività didattiche e, comunque, entro il 31 ottobre di ogni anno (come previsto dall’art. 1) e, tra queste, al paragrafo 1.2, comma 10 dell’Allegato sono individuate anche: […] i curricula scientifici del docente responsabile e degli eventuali altri docenti coinvolti […]”;

“pertanto, in adempimento alle disposizioni suddette […], l’Università […] ha dovuto pubblicare sul proprio sito web, prima dell’avvio delle attività didattiche, anche la nomina di Docente dell’area del [reclamante], il suo curriculum vitae ed il suo programma da lui completato”;

“queste informazioni devono restare pubbliche per tutta la durata del corso, in previsione della conclusione del contratto inerente alla realizzazione delle […] videolezioni”;

“tuttavia, a seguito delle contestazioni del [reclamante], pervenute tramite p.e.c. del XX, l’Università […] ha ritenuto prudenzialmente opportuno rimuoverle”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni dell’art. 5, par. 1, lett. c), del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Ateneo ha presentato la propria memoria difensiva, dichiarando, in particolare, che:

“[…] il consenso rappresenta ancora oggi una delle basi giuridiche sulle quali si fonda la liceità del trattamento. Attraverso il consenso, il titolare e l’interessato possono ampliare o restringere l’ambito del trattamento lecito di dati personali, facoltà ontologicamente esclusa nel caso di trattamenti effettuati da parte di soggetti pubblici”;

“[…] la natura privata dell’Università […] e il consenso manifestato dal [reclamante], nella vigenza del citato art. 23 [del Codice, nel testo antecedente alle modifiche apportate dal d.lgs. 101/2018], hanno giustificato la diffusione dei dati personali dell’interessato, attraverso la pubblicazione del curriculum vitae del docente all’interno del suo sito internet, prevista dalle specifiche norme di settore applicabili anche alle università telematiche non statali […] (D.M. 31/10/2007 n. 544; Decreto Direttoriale 10/06/2008 n. 61)”;

“l’acquisizione del […] curriculum vitae è avvenuta alla conclusione delle trattative per la nomina di docente d’area”, essendo stato lo stesso “sollecitato dall’Ateneo per la formalizzazione dell’incarico già definito”;

“il [reclamante] ha quindi inviato all’Università […] il suo curriculum vitae sapendo che la finalità della raccolta del documento non era la selezione di potenziali candidati per un posto di lavoro, ma la formalizzazione dell’incarico e quindi l’adempimento degli obblighi legali di pubblicazione all’interno del sito web dell’Ateneo, formalità a lui ben nota avendo già svolto in passato questa attività per altre Università, come risulta dal predetto curriculum vitae”;

“a seguito della nomina di docente d’area […], il [reclamante] ha partecipato in data 25/09/2017, all’attività di formazione […] per i nuovi docenti e tutor”;

“in tale occasione, il [reclamante] ha ricevuto l’informativa sul trattamento dei suoi dati personali e tutte le altre informazioni inerenti alle modalità di svolgimento delle attività didattiche a distanza, nonché i modelli di insegnamento e apprendimento a distanza, e di comunicazione internet, contenuti nel “Kit del Tutor”;

“in particolare, [con il] “Modello di comunicazione Internet” il [reclamante] è stato edotto sulle modalità di redazione del curriculum vitae (scheda biografica), sulla sua pubblicazione nel sito internet dell’Ateneo e sulla necessità di emendarlo da talune informazioni personali quali ad esempio: l’indirizzo di residenza, il codice fiscale e i numeri di telefono”;

“pertanto, il [reclamante] era pienamente consapevole di ogni aspetto inerente al trattamento dei dati personali contenuti nel suo curriculum vitae. Ciò nonostante, il medesimo non ha ritenuto necessario inviare un nuovo curriculum vitae, privo di quelle informazioni oggetto della contestazione […]”

“infatti, in data 08/12/2017, il [reclamante] ha inviato […] solo il programma del corso che avrebbe dovuto svolgere, dichiarandosi disponibile a pubblicarlo sulla corrispondente pagina del sito dell’Università […]”;

“dunque, l’interessato ha prestato sin dall’inizio il consenso espresso al trattamento di tutti i dati contenuti nel suo curriculum vitae, documentato ai sensi dell’art. 23 dell’abrogato Codice attraverso l’invio all’Ateneo della sua e-mail che conteneva questo documento come allegato”;

“dopo aver fornito le informazioni riguardanti le modalità di redazione della scheda biografica, l’Ateneo ha ritenuto in totale buona fede che il consenso già manifestato dal [reclamante] non fosse stato revocato e quindi, ha diffuso i relativi dati personali fintanto che questo consenso non è stato effettivamente revocato”;

l’art. 5, par. 1, lett. c), del Regolamento “non esclude che l’adeguatezza, la pertinenza e l’indispensabilità dei dati personali possa essere valutata anche rispetto alle eventuali finalità che persegue l’interessato, purché siano espressione di una sua scelta libera ed autonoma. Nel caso in esame, l’Ateneo ha certamente limitato la richiesta di dati personali finalizzati alla pubblicazione del curriculum vitae dei docenti d’area e tutor ai dati strettamente necessari. Il [reclamante] ha invece voluto estendere il trattamento anche ad altri dati”;

“si deve in ogni caso considerare che l’attività di trattamento risulta iniziata prima dell’entrata in vigore del Regolamento […]. Le violazioni in materia di protezione dei dati personali non sono illeciti amministrativi permanenti […], bensì sono illeciti istantanei i cui effetti possono anche perdurare nel tempo. Di conseguenza, l’illecito si considera perfezionato già con la prima azione. In tale ipotesi, non si potrebbe comunque contestare all’Ateneo la violazione dell’art. 5 del Regolamento […]”;

“il trattamento contestato non ha causato danni all’interessato ed è cessato immediatamente allorché il titolare ha ricevuto la notizia della revoca del consenso”;

la presunta violazione “è dipesa esclusivamente da colpa, poiché l’Ateneo ha confidato nella prestazione di un valido consenso da parte dell’interessato […] Nel caso specifico, l’Ateneo ha provveduto a rimuovere, immediatamente dopo la richiesta dell’interessato, le informazioni riguardanti i dati personali, cancellandole sia dal proprio sito internet, sia dai motori di ricerca”;

“l’Ateneo ha comunque dimostrato di aver attuato delle misure di sicurezza organizzative predisponendo una procedura di formazione del personale e un documento contenente delle istruzioni per la corretta compilazione del curriculum vitae destinato alla diffusione in internet […] ed ha fornito sin dalla fase preliminare un elevato grado di cooperazione con [l’]Autorità”;

"i dati personali coinvolti nella presunta violazione appartengono solo alla categoria dei dati comuni”.

In occasione dell’audizione, richiesta dall’Ateneo ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX del XX), l’Ateneo ha, inoltre, dichiarato, in particolare, che:

“il rapporto con l’Ateneo si è interrotto nel momento in cui non c’è stato un accordo sul trattamento economico. Tuttavia, non si può negare che un rapporto qualificato tra l’Ateneo e il reclamante si fosse già instaurato […]”;

“l’Università ha agito, in ogni caso, in completa buona fede, confidando nell’avvio effettivo dell’attività di docenza. Si è, trattato, comunque di un caso del tutto isolato. […]”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

In tale quadro, si osserva, in via preliminare, che non rileva quanto dichiarato dall’Ateneo con riguardo alla circostanza che il reclamante avesse espresso il proprio consenso alla pubblicazione del proprio curriculum vitae e alla conseguente diffusione dei propri dati personali.

Né la mera inclusione da parte dell’interessato di informazioni personali nel curriculum vitae consegnato all’Ateneo, né la circostanza che lo stesso avesse inviato tale documento all’Ateneo possono, infatti, equivalere a una “manifestazione di volontà libera, specifica, informata e inequivocabile” alla diffusione online di tali informazioni (art. 4, par. 1, n. 11) del Regolamento; cfr. anche art. 7 e considerando nn. 32 e 33 del Regolamento).

Inoltre, nel contesto lavorativo, il consenso non può, di regola, “costituire un valido fondamento giuridico per il trattamento dei dati personali”, sussistendo “un evidente squilibrio tra l’interessato e il titolare del trattamento” (considerando n. 43 del Regolamento; cfr. il par. 21 delle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” adottate il 4 maggio 2020 dal Comitato europeo per la protezione dei dati, ove si afferma che “lo squilibrio di potere sussiste anche nel contesto dell’occupazione. Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni […] Di conseguenza il Comitato ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente […] in considerazione della natura del rapporto tra datore di lavoro e dipendente”).

In ogni caso, anche in presenza di una base giuridica che giustifichi il trattamento dei dati, il rispetto del principio di “minimizzazione dei dati” impone che le operazioni di trattamento riguardino i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento). Nel caso di specie, la diffusione di alcuni dei dati personali del reclamante, contenuti nel proprio curriculum vitae (in particolare, l’indirizzo di residenza, il numero di telefono, l’indirizzo di posta elettronica, l’indirizzo di PEC e lo stato civile) non può, invece, considerarsi necessaria ai fini dell’adempimento degli obblighi di trasparenza propri dell’ordinamento universitario.

Al riguardo, già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, pubblicate in G.U. n. 134 del 12 giugno 2014 e in www.gpdp.it, doc. web n. 3134436, parte seconda, parr. 1 e 3.a., il Garante ha chiarito che, in applicazione del principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (v., da ultimo, con riguardo a un caso analogo di diffusione di dati personali contenuti in un curriculum vitae, provv. 29 aprile 2021, n. 171, doc. web n. 9682169). Le norme di legge che richiedono la pubblicazione del curriculum vitae non possono, pertanto, in nessun caso comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Con riguardo alla pubblicazione dei curriculum vitae dei titolari di incarichi di collaborazione o consulenza (cfr. art. 15 del d.lgs. 14 marzo 2013, n. 33), il Garante ha, pertanto, chiarito che “prima di pubblicare sul sito istituzionale i curricula, il titolare del trattamento dovrà […] operare un’attenta selezione dei dati in essi contenuti”, omettendo di pubblicare i “dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità” (parte prima, par. 9.a.) (cfr. le “FAQ in materia di trasparenza” dell’Autorità Nazionale Anticorruzione, in particolare n. 9.8, ove si afferma che la pubblicazione del curriculum vitae dei titolari di incarichi di collaborazione o consulenza deve essere effettuata operando “un’attenta selezione dei dati in essi contenuti ai fini del rispetto della tutela della riservatezza”).

Come è emerso nel corso dell’istruttoria, l’Ateneo ha, invece, pubblicato il curriculum vitae del reclamante sul proprio sito web istituzionale, omettendo di oscurare preventivamente i dati afferenti alla sfera personale dello stesso, che non possono ritenersi “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento; con riguardo, in generale, al rispetto del principio di minimizzazione dei dati in occasione della pubblicazione di documenti online, ancorché in contesti diversi, v., tra gli altri, provv. 25 febbraio 2021, n. 69, doc. web n. 9565258; provv. 11 febbraio 2021, n. 54, doc. web n. 9556625; provv. 14 gennaio 2021, n. 22, doc. web n. 9543138; provv. 1° ottobre 2020, n.  173, doc. web n. 9483375; provv. 3 settembre 2020, n. 154, doc. web n. 9468523; provv. 29 luglio 2020, n. 149, doc. web n. 9463997; provv. 9 luglio 2020, n. 140, doc. web n. 9451734; provv. 9 luglio 2020, n. 139, doc. web n. 9446659; provv. 2 luglio 2020, n. 120, doc. web n. 9440075; provv. 2 luglio 2020, n. 117, doc. web n. 9445324; prov. 12 marzo 2020, n. 50, doc. web n. 9365159; provv. 13 febbraio 2020, n. 35, doc. web n. 9285411; provv. 6 febbraio 2020, n. 27, doc. web n. 9283029; provv. 30 gennaio 2020, n. 21, doc. web n. 9283014; provv. 30 gennaio 2020, n. 20, doc. web n. 9302897).

Il trattamento di tali dati personali, in maniera non conforme al principio di minimizzazione dei dati, ha, peraltro, comportato un’ulteriore e più ampia diffusione degli stessi, a causa dell’indicizzazione sui motori di ricerca della pagina web che ospitava il curriculum vitae del reclamante.

Diversamente, con riguardo alla diffusione online degli altri dati personali contenuti nel curriculum vitae, attinenti alla formazione e all’esperienza professionale dell’interessato, nonché alla menzione del reclamante quale docente dell’Ateneo, considerate le disposizioni in materia di trasparenza delle attività didattiche, richiamate dall’Ateneo nelle proprie dichiarazioni (cfr. anche art. 15 del d.lgs. 14 marzo 2013, n. 33) e che, sebbene non fossero stati ancora definiti i profili economici della collaborazione, il reclamante “era [stato] nominato docente d’area”, avendo anche partecipato “all’attività di formazione […] per i nuovi docenti e tutor” (v. note del XX), non avendo rilevato illiceità nel trattamento in questione, si dispone l’archiviazione di tale profilo.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25 maggio 2018 in cui il Regolamento è divenuto applicabile e il d.lgs. 10 agosto 2018, n. 101 è entrato in vigore. Dagli atti dell’istruttoria è, infatti, emerso che la diffusione dei dati personali del reclamante è cessata nel mese di maggio 2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’ Università Telematica Internazionale Uninettuno per aver diffuso dati personali del reclamante in maniera non conforme al principio di “minimizzazione dei dati” di cui all’art. 5, par. 1, lett. c), del Regolamento.

La violazione della predetta disposizione rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la diffusione dei dati personali relativi alla sfera privata del reclamante è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione della disposizione citata è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta ha avuto ad oggetto la diffusione di dati personali, anche alla luce delle indicazioni che, sin dal 2014, il Garante ha fornito a tutti i soggetti pubblici nelle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», sopra richiamate. Si è tenuto, altresì, conto del notevole lasso di tempo in cui i dati personali del reclamante sono stati oggetto di diffusione.

Di contro, si è favorevolmente preso atto che la violazione non ha riguardato categorie particolari di dati personali e che ha coinvolto un solo interessato. Il titolare si è poi prontamente attivato per rimuovere i dati oggetto di reclamo non appena ha avuto contezza della violazione, prestando piena collaborazione al Garante nel corso dell’istruttoria. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000 (mille) per la violazione dell’art. 5, par. 1, lett. c) del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Università Telematica Internazionale Uninettuno per violazione dell’art. 5, par. 1, lett. c), del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Università Telematica Internazionale Uninettuno, in persona del legale rappresentante pro-tempore, con sede legale in Corso Vittorio Emanuele II, 39 - 00186 Roma, C.F. 97394340588, di pagare la somma di euro 1.000 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Università, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 1.000 (mille) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi