Università telematiche: nei form on-line solo i dati necessari
È illecito, in quanto viola i principi di pertinenza e non eccedenza di cui all’art. 11 comma 1, lettera d) del Codice sulla Privacy, il trattamento dei dati personali (luogo e data di nascita, codice fiscale, cittadinanza) acquisiti mediante il form di registrazione al sito di un’Università telematica (nella specie www.unitelma.it), in quanto eccedenti rispetto alla dichiarata finalità del servizio di registrazione, che è quella di mantenere i contatti con gli utenti interessati al mondo dell’Ateneo e di informarli riguardo alle novità e gli appuntamenti dello stesso.
Lo ha detto il Garante per la protezione dei dati personali con un provvedimento del 7 settembre scorso (doc. web n. 1844176), con il quale ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti on-line per essere appunto informati sulle attività dell’Ateneo.
Nel corso di accertamenti ispettivi è emerso infatti che l’università, mediante il form di registrazione al sito, raccoglieva anche informazioni, quali luogo e data di nascita, codice fiscale, cittadinanza, che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate di mantenere contatti con gli utenti interessati al mondo dell’ateneo e di informare sulle novità e gli appuntamenti universitari.
Oltre al divieto, l’Autorità ha prescritto all’ateneo ogni ulteriore trattamento di dati e di modificare le modalità di raccolta on-line dei dati personali, in particolare:
a) eliminando dal form di registrazione al sito la richiesta dei dati personali (luogo e data di nascita, codice fiscale, cittadinanza) eccedenti rispetto alla mera finalità dichiarata;
b) qualora intenda comunicare a terzi i dati personali raccolti, specificando nell’informativa ex art. 13 del Codice i soggetti o le categorie di soggetti ai quali i dati personali vengono comunicati e le procedure alle quali tale comunicazione è finalizzata, acquisendo, ove del caso, il relativo specifico consenso;
c) fornendo adeguata documentazione al Garante di aver provveduto ad adempiere alle prescrizioni indicate nel provvedimento entro sessanta giorni dalla comunicazione dello stesso.
Prima dell’intervento del Garante, l’ateneo forniva un’unica informativa ed acquisiva il consenso per tre diverse finalità (per la registrazione al sito, per la valutazione del curriculum vitae dell’utente e per l’iscrizione e l’immatricolazione ai corsi) richiedendo come “obbligatori” dati personali (cognome e nome, luogo e data di nascita, codice fiscale, cittadinanza, indirizzi di residenza, domicilio, indirizzo mail, numero di cellulare), necessari invece solo per alcune di esse.