Salta al contenuto
PL Consulting
IT DE
Parla con un consulente

← Tutti

Provvedimento istruzione Gravità: bassa

L’Autorità Garante Privacy ha richiamato l’Università di Bari perché ha condiviso troppi dati personali di un cittadino con un’altra persona, nell’ambito di una richiesta di accesso a documenti

Garante per la protezione dei dati personali · IT · 28 maggio 2026

Leggi il provvedimento integrale ↗

In sintesi

L'Autorità Garante Privacy ha richiamato l'Università di Bari perché ha condiviso troppi dati personali di un cittadino con un'altra persona, nell'ambito di una richiesta di accesso a documenti. Sebbene l'identità del richiedente potesse essere comunicata, l'Università ha inviato anche l'indirizzo e il numero di telefono, dati non necessari per la procedura. Questo ha violato le regole sulla protezione dei dati che impongono di raccogliere e usare solo le informazioni strettamente indispensabili.

Cosa fare

  • Controllate sempre quali dati personali comunicate a terzi, anche in contesti di richieste amministrative
  • Assicuratevi che i dati siano davvero necessari per lo scopo della comunicazione
  • Formate il vostro personale su come gestire correttamente i dati e quali informazioni oscurare

Cosa evitare

  • Non inviare documenti contenenti dati personali non essenziali a terzi
  • Non considerare un'autorizzazione generica come via libera per comunicare qualsiasi dato
  • Non sottovalutare l'importanza della minimizzazione dei dati

Contesto

Un cittadino (Sig. XX) ha presentato un reclamo al Garante Privacy lamentando che, a seguito di una sua istanza di accesso civico generalizzato all'Università degli studi di Bari Aldo Moro, l'Università ha inviato al soggetto controinteressato l'integrale istanza, completa di dati personali eccedenti come l'indirizzo di residenza e il numero di telefono cellulare del reclamante. L'Università si è difesa sostenendo che il reclamante aveva 'autorizzato il trattamento dei miei dati personali per le finalità connesse alla richiesta' senza limitazioni, e che tale autorizzazione consentiva l'ostensione integrale della richiesta al controinteressato, esonerando il funzionario dal bilanciamento degli interessi.

La decisione

Il Garante ha rilevato l'illiceità del trattamento di dati personali effettuato dall'Università. Sebbene la normativa di settore permetta al controinteressato di conoscere l'identità dell'istante, gli ulteriori dati personali (numero di telefono, indirizzo di residenza) inviati integralmente risultano eccedenti e non necessari rispetto alla finalità del trattamento. Ciò comporta una violazione dei principi di 'liceità, correttezza e trasparenza' (Art. 5, par. 1, lett. a) e 'minimizzazione' dei dati (Art. 5, par. 1, lett. c) del Regolamento. Il Garante ha rigettato la difesa dell'Università riguardante l'autorizzazione generica del reclamante, sottolineando la responsabilità della Pubblica Amministrazione di ponderare la stretta necessità di comunicare dati eccedenti. Considerando che la violazione ha riguardato un solo interessato, l'Università ha agito in buona fede (erronea convinzione dell'autorizzazione), ha avviato procedure interne per sensibilizzare il personale alla minimizzazione e ha collaborato pienamente, e non risultano precedenti violazioni, il Garante ha qualificato la condotta come 'violazione minore'. Pertanto, ha deciso di ammonire l'Università degli studi di Bari Aldo Moro ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, dichiarando illecita la condotta. Non sono state adottate ulteriori misure correttive in quanto la condotta ha esaurito i suoi effetti.

Ratio decidendi La motivazione giuridica chiave si basa sulla violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati (Art. 5, par. 1, lett. a) e c) del GDPR). Il Garante ha stabilito che, pur essendo legittima la comunicazione dell'identità dell'istante al controinteressato nell'ambito dell'accesso civico, la comunicazione di dati personali eccedenti (come telefono e indirizzo) viola il principio di minimizzazione, in quanto tali dati non sono strettamente necessari per la finalità del contraddittorio procedimentale. L'Autorizzazione generica al trattamento da parte dell'interessato non esonera la Pubblica Amministrazione dall'obbligo di minimizzazione e di un'adeguata ponderazione della necessità dei dati comunicati.

Articoli GDPR violati

ArticoloDescrizioneRilevanza
5 par.1 lett.a
GDPR 		Liceità, correttezza e trasparenza l'università ha trattato dati personali (indirizzo, telefono) in modo non lecito, corretto e trasparente, comunicandoli integralmente a un controinteressato senza una base giuridica adeguata per tale completezza.
5 par.1 lett.c
GDPR 		Minimizzazione dei dati i dati comunicati (indirizzo, telefono) al controinteressato sono stati ritenuti eccedenti e non necessari rispetto alla finalità del procedimento di accesso civico, violando il principio di minimizzazione.

Sanzione

Il Garante ha ammonito l'Università degli studi di Bari Aldo Moro per aver violato i principi di liceità, correttezza, trasparenza e minimizzazione dei dati personali (Art. 5, par. 1 lett. a) e c) del Regolamento). La violazione è stata qualificata come 'minore' tenendo conto che ha riguardato un solo interessato, il titolare ha agito in erronea convinzione, ha avviato procedure interne correttive e ha collaborato pienamente, senza precedenti violazioni pertinenti.

Implicazioni pratiche

Questo provvedimento sottolinea l'importanza per le pubbliche amministrazioni di applicare rigorosamente i principi di liceità, correttezza, trasparenza e minimizzazione dei dati personali, anche in contesti regolamentati come l'accesso civico. Anche quando un interessato fornisce un'autorizzazione generica al trattamento, spetta al titolare del trattamento, in questo caso la PA, effettuare un'accurata ponderazione della necessità e proporzionalità dei dati comunicati, specialmente a soggetti terzi o controinteressati. La presunta 'autorizzazione' non esonera dall'obbligo di minimizzazione. È fondamentale che le procedure interne siano chiare e prevedano meccanismi di oscuramento o separazione dei dati non essenziali. La collaborazione con l'Autorità e l'adozione proattiva di misure correttive interne possono mitigare la gravità delle sanzioni.

Errori da evitare

  • Comunicare dati personali eccedenti o non strettamente necessari
  • Basarsi su autorizzazioni generiche per giustificare trattamenti non minimizzati
  • Omettere di bilanciare gli interessi in gioco nella comunicazione dei dati
  • Ignorare i principi di minimizzazione, liceità e trasparenza anche in contesti amministrativi regolamentati

Domande di self-assessment

  • Abbiamo procedure chiare per la gestione delle richieste di accesso (civico, documentale, ecc.)?
  • Il nostro personale è formato sui principi di minimizzazione e liceità nella comunicazione dei dati?
  • Riusciamo a identificare e oscurare i dati non necessari prima di una comunicazione a terzi?
  • Siamo certi di non comunicare più dati del dovuto ai controinteressati?

Riferimenti

Linee guida EDPB: WP 253 · Endorsement 1/2018

Normativa nazionale: d.lgs. 30 giugno 2003, n. 196 · Art. 2-ter del Codice · Art. 5 comma 5 del dlgs 14 marzo 2013 n. 33 · Art. 166 del Codice · Art. 168 del Codice · Art. 152 del Codice · Art. 10 del d.lgs. n. 150/2011