Nella newsletter n. 526 del 15 aprile 2026, il Garante ha affrontato diversi temi di seguito riportati nel dettaglio: le FAQ in tema di esami e corsi a distanza, la sanzione a Eni per la pubblicazione di un atto di citazione, il diritto di accesso alle email aziendali dopo la fine del rapporto di lavoro, il trattamento illecito di dati biometrici da parte del Faceboarding nell’aeroporto di Milano Linate e infine l’ok al servizio AscoltaMI del MIM.

Esami e corsi a distanza: FAQ

Il Garante Privacy ha pubblicato le FAQ per chiarire le modalità di utilizzo dei sistemi di supervisione per la regolarità di prove d’esame e corsi a distanza.

Sebbene le università e gli enti di formazione siano legittimati a trattare i dati dei partecipanti a prove d’esame e corsi che si svolgono a distanza, ciò deve avvenire nei limiti del quadro normativo di settore ed esclusivamente ai fini del regolare svolgimento della prova e della frequenza ai corsi impiegando, ad esempio, servizi di videoconferenza o piattaforme che non consentano la raccolta di dati non pertinenti come la posizione geografica o i dati biometrici dei candidati.

In caso di utilizzo di sistemi di supervisione (c.d. proctoring) spetta al titolare, quindi alle università e agli enti di formazione, adottare misure che garantiscano la conformità degli stessi alla disciplina privacy, anche nel caso in cui i sistemi e i servizi siano commercializzati da terzi. Non sono consentiti sistemi che comportano trattamenti automatizzati di dati personali per analizzare e prevedere il comportamento dei partecipanti, come i movimenti del corpo, frequenza dei click del mouse, operazioni compiute sulla tastiera, tentativi di accesso ad altre applicazioni, attività su Internet.

Eni sanzionata per 96.000 euro

Eni spa è stata sanzionata per 96.000 euro dal Garante Privacy per aver pubblicato sul proprio sito web un atto di citazione integrale con i nominativi di dodici cittadini firmatari insieme a Greenpeace Onlus e ReCommon APS, comprensivo di data e luogo di nascita, codice fiscale e indirizzo di residenza. Un trattamento di dati dichiarato illecito dall’Autorità perché effettuato in violazione dei principi di liceità, correttezza e trasparenza del Regolamento europeo e in assenza di una valida base giuridica.

Accesso a proprie email dopo la fine del rapporto di lavoro

Il lavoratore può accedere ai messaggi del proprio account email aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali.

Lo ha affermato il Garante, accogliendo il reclamo di un ex dipendente di una compagnia assicurativa, che aveva chiesto copia dei messaggi della propria casella di posta elettronica aziendale e dei documenti salvati nel pc. La società aveva effettuato un accesso alla posta elettronica dell’ex dipendente e, dopo averne esaminato il contenuto, aveva fornito esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli legati all’attività lavorativa. Secondo il Garante, il diritto di accesso riguarda tutti i dati personali, comprese le comunicazioni intercorse tramite un account aziendale individualizzato. Non è quindi legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale.

Aeroporto di Linate e sistema di riconoscimento facciale (Faceboarding)

Il Garante privacy ha dichiarato illecito il trattamento dei dati biometrici dei passeggeri dell’aeroporto di Milano Linate effettuato attraverso il sistema di riconoscimento facciale “FaceBoarding”, rispetto al quale l’Autorità era già intervenuta con un provvedimento di limitazione provvisoria a settembre 2025. Il “FaceBoarding” vìola il GDPR ed è in contrasto, in particolare, con il parere dell’EDPB sull’uso del riconoscimento facciale in aeroporto.  Il sistema, infatti, prevede che i dati biometrici acquisiti siano interamente conservati in maniera centralizzata nei server di SEA impedendo ai passeggeri di esercitare un controllo esclusivo sui propri dati.

Servizio AscoltaMi del Ministero dell’Istruzione e del Merito

Il Garante ha espresso parere favorevole al Ministero dell'Istruzione e del Merito (MIM) sullo schema di decreto che disciplina “AscoltaMi”, il servizio di supporto psicologico online per gli studenti, promosso dal MIM. Il decreto definisce i ruoli dei soggetti coinvolti nella gestione del servizio e le modalità di erogazione.

AscoltaMi è fruibile, in via facoltativa e gratuita, mediante la piattaforma Unica. Il servizio è destinato agli studenti beneficiari che hanno presentato domanda e a cui è stato riconosciuto il relativo contributo, dopo aver preso conoscenza dell’informativa privacy e prestando il consenso informato all’atto medico. Lo schema garantisce che lo psicologo tratti i dati dello studente solo ai fini della propria prestazione sanitaria, mentre il Ministero, che mette a disposizione la piattaforma, non li può né visualizzare né conservare.

Fonte: Newsletter Garante Privacy 15 aprile 2026 n. 546