Il Garante per la protezione dei dati personali apre metà aprile 2026 con una serie di provvedimenti destinati ad avere impatto diretto su imprese, università, aeroporti e datori di lavoro. Il caso più rilevante riguarda Eni, sanzionata per 96mila euro dopo la pubblicazione online di un atto di citazione integrale contenente dati personali di dodici cittadini. Nello stesso pacchetto di decisioni l’Autorità aggiorna le FAQ sugli esami e corsi a distanza, conferma l’illiceità del sistema FaceBoarding di Milano Linate e ribadisce il diritto di accesso integrale alle email aziendali dopo la cessazione del rapporto di lavoro. Il messaggio regolatorio è netto: trasparenza, sicurezza e minimizzazione del dato restano i tre pilastri applicativi del GDPR anche nei contesti più innovativi.
Cosa leggere
Eni pubblica l’atto integrale e il Garante contesta la base giuridica
La sanzione a Eni nasce dalla diffusione sul sito corporate dell’atto di citazione promosso da cittadini insieme a Greenpeace Onlus e ReCommon APS nella controversia climatica legata all’Accordo di Parigi. Nel documento erano presenti nominativi, data e luogo di nascita, codice fiscale e indirizzo di residenza dei dodici firmatari. Secondo l’Autorità, la pubblicazione integrale non era strettamente necessaria per informare il pubblico o per tutelare la posizione processuale dell’azienda. Le stesse finalità potevano essere perseguite con modalità meno invasive, in particolare attraverso l’oscuramento dei dati identificativi. Il Garante ha quindi rilevato la violazione dei principi di liceità, correttezza e trasparenza, sottolineando come la libera accessibilità via internet aumentasse i rischi di uso indebito delle informazioni personali e di esposizione della sfera privata degli interessati.
FAQ su esami online e proctoring: ammessa la registrazione ma senza biometria
Il secondo fronte riguarda università pubbliche, atenei privati ed enti di formazione che utilizzano piattaforme per esami a distanza. Il Garante privacy chiarisce che videoconferenza, supervisione remota e registrazione audio-video sono lecite solo se strettamente funzionali al corretto svolgimento della prova e alla verifica della frequenza. È ammessa la ripresa del volto del candidato, ma senza estrazione di template biometrici o altri identificatori univoci. Restano invece vietati i sistemi di proctoring che monitorano in modo automatizzato movimenti del corpo, click del mouse, digitazione, tentativi di accesso ad altre applicazioni o navigazione web per generare indici di rischio comportamentale. Il provvedimento ha un impatto importante per il settore edtech, perché delimita con precisione il confine tra supervisione lecita e profilazione algoritmica incompatibile con il quadro europeo.
Accesso alle email aziendali: l’ex dipendente ha diritto al contenuto integrale
Tra i provvedimenti più rilevanti in ambito lavoro emerge il reclamo accolto nei confronti di una compagnia assicurativa, sanzionata con 50mila euro. Il caso riguarda un ex dipendente che chiedeva copia dei messaggi presenti nella propria casella email aziendale e dei documenti salvati sul pc. L’azienda aveva effettuato una selezione preventiva, consegnando solo i messaggi giudicati “strettamente personali”. Il Garante ha escluso la legittimità di questa distinzione, affermando che il diritto di accesso copre tutti i dati personali riferibili all’interessato, comprese le comunicazioni legate all’attività professionale quando transitano su un account individualizzato. La decisione rafforza il principio di pieno controllo dell’interessato sui propri dati, anche nel contesto del rapporto di lavoro cessato, salvo comprovate esigenze di tutela del segreto aziendale.
FaceBoarding a Milano Linate non supera il test GDPR
Sul piano tecnologico il provvedimento più sensibile riguarda il sistema FaceBoarding dell’aeroporto di Milano Linate, gestito da SEA. L’Autorità ha confermato l’illiceità del riconoscimento facciale utilizzato per l’accesso all’area sterile e al gate. La criticità principale risiede nella conservazione centralizzata dei template biometrici sui server della società, soluzione che impedisce ai passeggeri di mantenere un controllo esclusivo sui propri dati. A questo si aggiungono l’assenza di cifratura dei modelli biometrici, un periodo di conservazione eccessivo fino a dodici mesi e informative giudicate inesatte. Ancora più delicato il rilievo relativo ai varchi ibridi, dove venivano acquisite immagini anche di passeggeri che non avevano aderito volontariamente al servizio. Il caso rappresenta un segnale forte verso tutti i progetti biometrici nel trasporto e nella smart mobility.
AscoltaMi del MIM ottiene il via libera per il supporto psicologico
Nel quadro dei provvedimenti, il Garante ha espresso parere favorevole al servizio AscoltaMi promosso dal Ministero dell’Istruzione e del Merito. Il sistema di supporto psicologico online per gli studenti è stato ritenuto conforme al GDPR grazie alla chiara separazione dei ruoli tra Ministero, piattaforma e professionista sanitario. Lo psicologo tratta i dati esclusivamente per la prestazione sanitaria, mentre il Ministero non può visualizzare né conservare le informazioni cliniche. Il via libera mostra come l’Autorità non adotti una postura esclusivamente sanzionatoria, ma favorisca modelli privacy by design quando le misure tecniche e organizzative risultano coerenti con il principio di minimizzazione e con la tutela rafforzata dei minori.
Il Garante rafforza il perimetro privacy in imprese, scuola e biometria
L’insieme di questi interventi definisce una linea di enforcement molto chiara per il 2026. Nel caso Eni, il principio affermato è che la trasparenza pubblica non può mai trasformarsi in diffusione indiscriminata di dati identificativi. Nella didattica digitale, il limite è l’uso di tecnologie di sorveglianza comportamentale. Nel lavoro, l’Autorità ribadisce la centralità del diritto di accesso anche dopo la cessazione del rapporto. Sul fronte aeroportuale, la biometria resta ammessa solo in modelli decentralizzati e realmente controllabili dall’utente. Per aziende, università e pubbliche amministrazioni il messaggio è operativo: ogni trattamento deve essere necessario, proporzionato e documentabile. In assenza di questi requisiti, il rischio sanzionatorio e reputazionale cresce rapidamente.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
