Italia
Attraverso il form di iscrizione ad un sito web si possono raccogliere solo i dati personali strettamente necessari a fornire il servizio per il quale l’utente si registra. Il principio è stato affermato dal Garante per la protezione dei dati personali che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti on line per essere informati sulle attività dell’ateneo.
Nel corso di accertamenti ispettivi è emerso infatti che l’università, mediante il form di registrazione al sito, raccoglieva anche informazioni, quali luogo e data di nascita, codice fiscale, cittadinanza, che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate di mantenere contatti con gli utenti interessati al mondo dell’ateneo e di informare sulle novità e gli appuntamenti universitari.
Oltre al divieto, l’Autorità ha prescritto all’ateneo di modificare le modalità di raccolta online dei dati personali, eliminando dal form di registrazione la richiesta dei dati risultati non pertinenti. L’università, inoltre, nel caso in cui intenda comunicare i dati personali a terzi, dovrà indicare chiaramente nell’informativa i soggetti o le categorie di soggetti, i motivi della comunicazione ed avere il consenso degli utenti.
Prima dell’intervento del Garante, l’ateneo forniva un’unica informativa ed acquisiva il consenso per tre diverse finalità (per la registrazione al sito, per la valutazione del curriculum vitae dell’utente e per l’iscrizione e l’immatricolazione ai corsi) richiedendo come “obbligatori” dati personali (cognome e nome, luogo e data di nascita, codice fiscale, cittadinanza, indirizzi di residenza, domicilio, indirizzo mail, numero di cellulare) necessari solo per alcune di esse.
