Nel corso di alcuni controlli ispettivi effettuati dalla Guardia di Finanza – Nucleo Speciale Privacy è emerso che Unitelma Sapienza Università Telematica domandava agli utenti, al momento della registrazione al sito per ricevere notizie sulle attività dell’ateneo, alcuni dati non necessari rispetto alle finalità dichiarate dallo stesso form di registrazione e non indicava con chiarezza i soggetti cui questi dati potevano essere comunicati.
In particolare il form di registrazione al sito www.unitelma.it, come avvertiva l’Università a conclusione della relativa procedura, richiedeva dati personali per diverse finalità, tra cui: “mantenere un contatto con utenti interessati al mondo dell’Ateneo”, reperire “tutte le novità, gli appuntamenti e rimanere informato sull’evoluzione del mondo dell’Ateneo” e “consentire di procedere con l’immatricolazione o iscrizione a corsi di laurea, master e altri corsi”.
Ma quali dati personali venivano richiesti obbligatoriamente per queste finalità?
Il cognome e nome, il luogo e data di nascita, il codice fiscale, la cittadinanza, gli indirizzi di residenza e domicilio, l’indirizzo di posta elettronica, il recapito di telefonia mobile.
Alcuni di questi dati personali (luogo e data di nascita, codice fiscale, cittadinanza) risultano, però, sicuramente eccedenti rispetto a una delle due suindicate finalità del servizio di registrazione al sito, ossia quella di “mantenere un contatto con utenti interessati al mondo dell’Ateneo” e reperire “tutte le novità, gli appuntamenti e rimanere informato sull’evoluzione del mondo dell’Ateneo”.
Per questo motivo, quindi, la raccolta dei dati in questione mediante il form di registrazione al sito – rispetto alla finalità come sopra individuata – risulta in contrasto con i principi di pertinenza e non eccedenza di cui all’art. 11 comma 1, lettera d) e quindi dà luogo a un vero e proprio trattamento illecito di dati personali.
Inoltre la stessa informativa riportava che l’Università effettuava l’ulteriore e diverso trattamento di dati consistente nella comunicazione dei dati personali ad altri soggetti, sia pubblici sia privati, per l’espletamento di “procedure amministrative, didattiche e di ricerca in ambito nazionale e internazionale”.
Detta informativa, però, indicando genericamente i soggetti ai quali i dati personali vengono comunicati e le procedure alle quali tale comunicazione è finalizzata, è da considerarsi inidonea, poiché non indica specificamente, come previsto dall’art. 13, comma 1, lett. d) del Codice, tutte le notizie ivi richieste (“le finalita’ del trattamento cui sono destinati i dati” e “i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati”.