Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

Privacy nella ricerca

“Culpa in vigilando” e GDPR: la vigilanza del titolare nel lavoro quotidiano

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Le persone autorizzate al trattamento non sono un dettaglio formale: il loro operato può determinare l’illiceità dell’intero trattamento. Un Provvedimento del Garante Privacy ribadisce che il titolare non può sottrarsi alle proprie responsabilità invocando l’autonomia del collaboratore

Pubblicato il 5 feb 2026
Filomena Polito

Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy

Michele Principi

Esperto Privacy, Valutatore Privacy certificato UNI 11697:2017

informativa privacy (1) collaborazione Garante Privacy AGCM; gestione documenti d'identità in hotel

Nel novembre scorso l’Autorità Garante Privacy ha affrontato nuovamente, con un suo Provvedimento, la questione del rapporto tra titolare del trattamento e coloro che, per suo conto, trattano dati personali.

Tale tematica è stata più volte oggetto di approfondimenti istruttori per quanto riguarda il legame esistente tra il Titolare e il soggetto terzo al quale è affidato il trattamento, il Responsabile del trattamento e, in alcuni casi, anche il cosiddetto Sub-responsabile del trattamento.

L’ABC del GDPR: una guida pratica alla portata di tutti

Responsabile del trattamento: requisiti e contratto ex art. 28

Per quanto riguarda il Responsabile, questi è individuato, come noto, in una persona fisica o giuridica che presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti della vigente normativa in materia di protezione dei dati personali.

Il Responsabile svolge, su scelta e per conto del titolare, attività di trattamento di dati sulla base di un contratto o di un altro atto giuridico che, come previsto dall’articolo 28 del Regolamento UE 2016/679, Gdpr, definisce la materia disciplinata e la durata del trattamento, la natura e la finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare, anche attraverso apposite istruzioni documentate.

Il provvedimento 704/2025 e le persone autorizzate al trattamento

Con il Provvedimento n. 704 del 27 novembre 2025, l’Autorità ha trattato invece del legame tra Titolare e Autorizzato al trattamento (di seguito Autorizzato).

Tale ruolo, nella vigenza della Legge 675 del 31 dicembre 1996 e nella originaria versione del D.Lgs. 30 giugno 2003, n. 196 (Codice), era associato al termine “incaricato del trattamento”.

Il Provvedimento sopra citato è stato adottato dal Garante Privacy alla conclusione di una lunga istruttoria avviatasi a seguito di un reclamo in ordine al trattamento di dati personali svolto per la realizzazione di un progetto di ricerca che ha interessato tre Università: Torino, Cagliari e Sassari.

Il Progetto riguardava i residenti di una specifica Comunità abitativa, ai quali è pervenuta una lettera con l’invito a compilare un questionario sulla vita nella lottizzazione, accedendo a un apposito link con il proprio indirizzo di posta elettronica.

La partecipazione all’iniziativa, un Progetto di ricerca relativo alle comunità residenziali e ai meccanismi di governance urbana, comportava la compilazione di un modulo Google con 74 quesiti, in minima parte finalizzati alla valutazione dei servizi, ma anche alla raccolta di dati quali l’anagrafica completa dell’interessato, se si è donato il sangue negli ultimi 5 anni, la fascia reddituale, la partecipazione alle elezioni per gli organi dirigenti della Comunità, il voto espresso alle elezioni comunali, regionali e nazionali.

Dagli accertamenti svolti è emerso che le attività di trattamento dei dati personali erano svolte direttamente dall’Ateneo di Torino, mentre quelli di Sassari e di Cagliari non potevano essere considerati né Titolari né Contitolari o Responsabili del trattamento, in quanto il Progetto di ricerca non era riconducibile ad altri svolti in precedenza, che avevano per oggetto la raccolta di dati anonimi mediante l’uso di una apposita piattaforma.

Criticità rilevate: base giuridica, informativa e strumenti usati

A seguito della richiesta di informazioni del Garante è emerso che l’attività di trattamento di dati personali, ed anche appartenenti a categorie particolari, svolta per la gestione del progetto di ricerca (successivamente interrotto) presentava diversi profili di criticità. I dati raccolti, in possesso dell’Università, sono stati prontamente cancellati.

Le tre contestazioni principali dell’Autorità

In particolare, le criticità riguardavano:
a) l’assenza di una base giuridica idonea ai sensi degli articoli 6 e 9 del Regolamento per la finalità di ricerca scientifica, anche per quanto riguarda il trattamento di dati rientranti nella “categoria particolare” di cui all’art. 9 (es. opinioni politiche, aspetti attitudinali);
b) l’assenza di un’informativa preventiva ex art. 13 del Regolamento;
c) le modalità di somministrazione del questionario, avvenute mediante uno strumento creato sull’account personale della borsista (Google Form).

Assegnazione operativa e persone autorizzate al trattamento: chi risponde

Dagli accertamenti dell’Autorità e dalle ulteriori informazioni fornite dall’Ateneo, Titolare del trattamento, è emerso che il Progetto di ricerca è stato operativamente assegnato a un ricercatore e da questi a una borsista dell’Università, il cui ruolo non può che essere quello di persone autorizzate al trattamento ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del Codice.

Il progetto di ricerca ha comportato un trattamento di dati personali, incluse particolari categorie di dati, che, seppure raccolti materialmente dalla borsista, sono di titolarità dell’Ateneo. Non rileva, al riguardo, la circostanza rappresentata dall’Ateneo secondo cui la ricerca si sarebbe svolta su dati anonimi utilizzando la propria piattaforma tecnologica, né che “la compilazione del medesimo richiedeva l’apertura di un link completamente esterno e non riconducibile in alcun modo”, né che “la piattaforma Google Form non ha mai costituito un mezzo della ricerca” svolta dall’Università.

Le difese dell’Ateneo e il nodo delle persone autorizzate al trattamento

Il Titolare aveva rappresentato all’Autorità che la borsista avesse agito in piena autonomia, in violazione delle regole e delle policy disponibili sulla Intranet di Ateneo, in quanto:

  • era stata debitamente istruita per operare correttamente, anche con attenzione alla tutela dei dati personali e all’anonimato dei rispondenti;
  • aveva ricevuto dal docente specifiche istruzioni per somministrare il questionario esclusivamente tramite la piattaforma dell’Università;
  • aveva modificato il questionario aggiungendo la possibilità di inserire il nominativo del rispondente;
  • di propria iniziativa e senza informare il professore, aveva inserito il questionario in un Google Form creato con il proprio account personale;
  • conservava i dati raccolti tramite Google Form esclusivamente sul proprio drive personale.

Il Titolare ha anche dichiarato che, non essendo a conoscenza dell’iniziativa autonoma della borsista, non ha valutato i presupposti giuridici in base ai quali i dati personali sono stati trattati, né ha predisposto e fornito agli interessati un’adeguata informativa relativa ai predetti trattamenti, pur rappresentando di aver adottato misure e iniziative di formazione rivolte a personale strutturato e non strutturato.

In particolare, l’Università ha rappresentato che, nel rispetto del principio di responsabilizzazione (accountability), “per i progetti di ricerca i docenti e ricercatori sono direttamente responsabilizzati riguardo agli adempimenti correlati all’avvio dei singoli progetti”, anche attraverso un’apposita pagina Intranet dedicata agli adempimenti privacy nell’ambito dei progetti di ricerca.

Liceità e trasparenza: perché il trattamento è stato ritenuto illecito

Dalle dichiarazioni rese dal Titolare emerge che “il Professore che aveva delegato l’attività necessaria allo svolgimento del Progetto di ricerca non aveva ritenuto necessario procedere con ulteriori approfondimenti” sulla protezione dei dati personali, tra cui l’individuazione del presupposto giuridico e la necessità di ottenere l’autorizzazione al trattamento dei dati personali sia nei propri confronti sia nei confronti della borsista, ritenendo erroneamente che la scelta autonoma della borsista non fosse in alcun modo a sé riferibile o imputabile.

L’Autorità Garante ha ritenuto invece che il Titolare dovesse rispondere di un trattamento non conforme ai principi di liceità, correttezza e trasparenza, svolto in assenza di un idoneo presupposto normativo e senza fornire preventivamente le informazioni all’interessato, in violazione degli artt. 5, par. 1, lett. a), 9, 12 e 13 del Regolamento e dell’art. 7 delle Regole deontologiche per trattamenti a fini statistici e di ricerca scientifica, oltre che dei principi di responsabilizzazione e di protezione dei dati fin dalla progettazione.

I dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” ed ogni trattamento deve basarsi su uno specifico presupposto giuridico di liceità ai sensi degli articoli 5 e 6 del Regolamento.

Dati particolari e consenso nella ricerca scientifica

In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute e quelli idonei a rilevare le opinioni politiche, l’art. 9 del Regolamento sancisce un generale divieto al trattamento, a meno che non ricorra una delle specifiche esenzioni, tra le quali è previsto il consenso dell’interessato.

Tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere libero ed esplicito (art. 9, par. 2, lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Per l’effettiva applicazione del principio di trasparenza (art. 5, par. 1, lett. a), devono essere preventivamente fornite agli interessati tutte le informazioni di cui all’art. 13 del Regolamento qualora i dati vengano raccolti direttamente presso l’interessato. L’informativa, che nel caso di specie mancava, va redatta con un linguaggio semplice e chiaro (art. 12) e deve essere somministrata in forma concisa, trasparente, intelligibile e facilmente accessibile.

Ricerca scientifica: basi di liceità e regole deontologiche

I trattamenti per scopi di ricerca scientifica devono fondarsi su una specifica condizione di liceità individuata tra quelle indicate dagli artt. 6, 9 e 89 del Regolamento, nonché del Codice (articoli 104 e seguenti) e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (Allegato 5 al Provvedimento n. 101 del 19 dicembre 2018). Tali Prescrizioni costituiscono condizione essenziale di liceità e correttezza dei trattamenti, come previsto dall’art. 2-quater del Codice e dall’art. 21, comma 5, del D.Lgs. n. 101 del 10 agosto 2018.

La specifica condizione di liceità o base giuridica del trattamento di dati per scopi di ricerca scientifica si rinviene di regola nel consenso dell’interessato (art. 7 del Regolamento), salvo il ricorso alle altre condizioni di liceità di cui agli artt. 110 e 110-bis, comma 4, del Codice.

Così come osservato in altri Provvedimenti relativi a iniziative di studio e ricerca, l’Autorità ha considerato illecito il trattamento di dati personali effettuato dall’Università per aver operato in violazione dei principi di liceità, correttezza e trasparenza, in assenza di un idoneo presupposto normativo e senza adempiere all’obbligo di informativa preventiva.

Accountability e persone autorizzate al trattamento: la parte “chiave” del provvedimento

La parte più interessante del Provvedimento del 27 novembre riguarda le contestazioni del Garante al Titolare relativamente al rispetto del principio di accountability (art. 5, par. 2) e degli artt. 24, 25 e 32 del Regolamento, oltre che dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice, contestazioni che meritano un approfondimento.

Per quanto riguarda i principi applicabili al trattamento, quello di responsabilizzazione stabilito dagli artt. 5, par. 2 e 24 dispone che “il titolare deve conformarsi ed essere in grado di comprovare il rispetto dei principi e degli adempimenti previsti dal Regolamento”.

Ad esso si collega il dovere di assicurare che la tutela dei diritti degli interessati sia applicata sin dalla progettazione e per impostazione predefinita, in osservanza dei principi di privacy by design e privacy by default.

Privacy by design e misure organizzative: cosa deve fare il titolare

In ossequio all’obbligo di protezione dei dati sin dalla progettazione, i titolari devono assumere una condotta attiva nell’applicazione dei principi essenziali del trattamento, con l’obiettivo di ottenere un reale effetto di tutela, integrando la protezione dei dati nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento.

Il titolare è tenuto ad adottare misure di sicurezza tecniche e organizzative adeguate, individuate per attuare efficacemente i principi di protezione dei dati e per integrare nel trattamento le garanzie necessarie a conformare i trattamenti alla disciplina, tutelando così i diritti e le libertà degli interessati.

Nell’ambito delle operazioni di trattamento occorre individuare correttamente i ruoli privacy e, nella fattispecie in esame, rilevano in particolare il ruolo di Titolare e quello di “Persona Autorizzata al trattamento”, ai sensi degli artt. 4, 24 e 29 del Regolamento e 2-quaterdecies del Codice.

Definizioni e ruolo interno: le persone autorizzate al trattamento

Il Considerando 79) del Regolamento stabilisce che la protezione dei diritti e delle libertà degli interessati, così come la responsabilità generale del Titolare (anche rispetto al controllo dell’Autorità), esige una chiara ripartizione delle responsabilità.

Il Regolamento definisce il Titolare del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, mentre le “Persone autorizzate al trattamento” non sono specificatamente definite.

Con tale formulazione ci si riferisce, comunque, a persone fisiche appartenenti alla struttura del titolare che trattano dati personali per le relative finalità, agendo sotto l’autorità del Titolare, che deve adeguatamente istruirle.

Il ruolo equivale, in sostanza, a quello dell’Incaricato di cui all’art. 19 della Legge e all’art. 30 del Codice: la persona fisica designata per iscritto a compiere operazioni di trattamento dal Titolare, che opera sotto la sua diretta autorità, attenendosi alle istruzioni ricevute ed esclusivamente nell’ambito del trattamento consentito.

Art. 2-quaterdecies e persone autorizzate al trattamento: designazione e compiti

Nel testo del Regolamento la figura appare meno delineata rispetto a quella del Titolare e del Responsabile, salvo quanto indicato dal par. 4 dell’art. 32 (“Sicurezza del trattamento”), che stabilisce che la persona autorizzata non può trattare dati senza una previa istruzione del Titolare.

Il legislatore nazionale ha introdotto nel Codice, con il D.Lgs. 101/2018, l’art. 2-quaterdecies (“Attribuzione di funzioni e compiti a soggetti designati”).

Tale articolo dispone che il Titolare possa prevedere, individuando le modalità più opportune, che specifici compiti e funzioni connessi al trattamento siano attribuiti a persone fisiche espressamente designate, che operano sotto la sua autorità e responsabilità e nell’ambito dell’assetto organizzativo.

Di conseguenza, il Titolare non può sottrarsi ai propri obblighi invocando la negligenza o l’inadempimento di chi agisce sotto la sua autorità, rilevando una vera e propria culpa in vigilando anche ai sensi degli artt. 2049 e 2050 del Codice Civile.

Perché le persone autorizzate al trattamento non “assolvono” il titolare

Relativamente al ruolo assunto dai soggetti coinvolti, i rilievi dell’Autorità non hanno potuto considerarsi superati alla luce delle difese dell’Ateneo, con particolare riferimento alla tesi dell’autonoma condotta della borsista, posta in essere con mezzi contrari alle misure di sicurezza e alle istruzioni impartite.

Infatti, seppure l’Università abbia dichiarato di aver adottato talune misure (regolamento specifico, organigramma privacy, iniziative di formazione e sezione Intranet dedicata), essa non ha documentato che la borsista fosse stata effettivamente designata come persona autorizzata al trattamento dei dati necessari allo svolgimento del Progetto, né che avesse ricevuto apposite istruzioni operative (anche tramite il docente) per procedere esclusivamente tramite la piattaforma dell’Università.

L’Ateneo ha quindi consentito ai propri incaricati (Professore e borsista) di trattare dati personali di cui rimane Titolare, sotto la propria responsabilità e in assenza di specifiche istruzioni scritte e designazioni, non acquisite agli atti, e senza aver vigilato sul loro operato, violando così gli artt. 29 del Regolamento e 2-quaterdecies del Codice.

Sicurezza e strumenti: perché l’account personale è un problema

La tutela della sicurezza, di cui all’art. 32 del Regolamento, imponeva l’uso di strumenti dell’Ateneo o comunque sotto il controllo del titolare, evitando l’impiego di account personali per la raccolta e la conservazione dei dati dei rispondenti.

Risulta pertanto accertato che il trattamento di dati legati al Progetto è stato effettuato dall’Ateneo in violazione del principio di responsabilizzazione e di protezione dei dati fin dalla progettazione, omettendo di mettere in atto misure tecniche e organizzative idonee a garantire l’effettiva applicazione dei principi di liceità, trasparenza, integrità e riservatezza, in difformità a quanto previsto dagli artt. 5, par. 2, 24, 25 e 32 del Regolamento.

Indicatori, prove e controlli: l’efficacia delle misure va dimostrata

Nel Provvedimento adottato, l’Autorità ricorda che tali misure devono, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia.

In tale ottica, l’obbligo di documentazione delle scelte inerenti al trattamento si intende adempiuto solo se il titolare è in grado di dimostrare, attraverso indicatori di prestazione qualitativi e, ove possibile, quantitativi, l’efficacia delle misure (cfr. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default adottate il 13 novembre 2019 dall’EDPB).

La mera adozione di misure di sicurezza, seppure formalmente predisposte, non costituisce di per sé garanzia della loro effettività ed efficacia.

Tali misure non possono ritenersi sostanzialmente adeguate se il Titolare, che mantiene la responsabilità generale, non vigila costantemente, anche attraverso indicatori misurabili, sull’operato di dipendenti e collaboratori che trattano dati personali per finalità istituzionali.

Conclusioni operative: gestione delle persone autorizzate al trattamento

In conclusione, l’Autorità ha chiarito che il fatto è imputabile a un comportamento non intenzionale dell’Ateneo, ma comunque riconducibile a una culpa in vigilando nei confronti delle persone autorizzate al trattamento, in violazione dell’art. 29 del Regolamento e 2-quaterdecies del Codice, per aver consentito ai propri incaricati di trattare dati personali sotto la propria responsabilità, in assenza di specifiche designazioni e istruzioni e per non aver vigilato sul loro operato.

Alla luce di tale determinazione appare di estrema importanza, per ogni Titolare, adottare non solo policy e atti formali, ma gestire con nomine scritte, formazione e istruzioni operative le attività affidate ai collaboratori, sottoponendoli a verifiche periodiche documentate.

In assenza di ciò sarà difficile dimostrare di aver dato concretamente seguito al disposto di legge, che prevede l’adozione di misure adeguate ed efficaci capaci di dimostrarne la conformità delle attività di trattamento, compresa l’efficacia delle misure.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Filomena Polito
Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy
Seguimi su
P
Michele Principi
Esperto Privacy, Valutatore Privacy certificato UNI 11697:2017

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • Algoritmi crittografici (2)

  • l'approfondimento

    Proteggere i dati sensibili con la crittografia omomorfica: la guida per aziende e PA

    23 Dic 2025

    di Andrea Luciano e Marco Troglia

    Condividi
  • gdpr

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    04 Giu 2025

    di Anna Cataleta e Alessandro Longo

    Condividi
0
Lascia un commento, la tua opinione conta.x