A Autoridade Italiana de Proteção de Dados Pessoais (Garante per la protezione dei dati personali) emitiu uma decisão sancionatória contra a Universidade de Cassino e do Lazio Meridional em 10 de julho de 2025, aplicando uma multa total de €8.000 por múltiplas violações do Regulamento Geral sobre a Proteção de Dados (GDPR). O caso envolveu três reclamações apresentadas por um ex-docente universitário que prestava serviços como professor contratado no Departamento de Letras e Filosofia durante os anos acadêmicos mencionados no processo, antes da cessação de suas atividades em razão da supressão do curso de graduação.
As principais violações identificadas incluíram o tratamento inadequado de dados pessoais contidos na caixa de correio eletrônico institucional do reclamante. A universidade manteve ativa a conta de e-mail do docente por aproximadamente dois anos após o término do contrato de trabalho, conservando as mensagens recebidas e enviadas sem justificativa legal adequada. Embora a instituição tenha declarado que revogou as credenciais de acesso devido ao uso inadequado da conta pelo docente, falhou em implementar medidas para informar terceiros sobre a impossibilidade de acesso às mensagens, violando os princípios de licitude, correção, transparência e limitação de conservação previstos no GDPR.
Adicionalmente, a autoridade constatou falhas no atendimento às solicitações de exercício de direitos apresentadas pelo interessado. A universidade não forneceu respostas adequadas e tempestivas a três instâncias distintas apresentadas pelo ex-docente, que solicitava confirmação sobre tratamentos de dados, cancelamento de informações pessoais sensíveis e judiciais, e oposição ao tratamento de seus dados. Em um dos casos, a resposta da instituição foi genérica e não especificou as necessidades concretas de manter os dados para defesa em procedimentos judiciais já em curso, limitando-se a citar textualmente as disposições regulamentares sem contextualização adequada.
O caso também envolveu a publicação inadequada de dados pessoais no site institucional da universidade. A instituição manteve online documentos relacionados a pareceres departamentais sobre a atribuição de encargos de ensino, argumentando que a publicação seria necessária para fins de transparência administrativa. No entanto, a autoridade determinou que as normas de transparência preveem apenas a publicação de listas finais de classificação em concursos públicos, não de documentos internos do procedimento seletivo. A universidade procedeu à remoção dos documentos somente após solicitação expressa do interessado e intervenção da autoridade reguladora, demonstrando a inadequação dos procedimentos internos de gestão de dados pessoais.
Este post foi traduzido e resumido a partir da decisão original com o uso de IA, com revisão humana.
Com informações Garante per la protezione dei dati personali
Série - Decisões Europeias
Diante da semelhança entre os regimes de proteção de dados do Brasil e da Europa, a BrownPipe publica decisões europeias para apoiar os leitores do Blog e clientes a conhecerem o panorama estrangeiro. Com o reconhecimento oficial da equiparação da LGPD com a legislação europeia, consolidado pela versão preliminar da decisão de adequação divulgada pela Comissão Europeia em setembro de 2025, para fins de transferências internacionais de dados pessoais, o conhecimento dessas decisões pode ajudar profissionais e empresas a compreender critérios de enforcement e melhores práticas regulatórias desenvolvidos pelas autoridades europeias. Sua leitura oferecendo valiosos padrões interpretativos precedentes para a aplicação da LGPD no contexto brasileiro, preparando os leitores para as exigências de compliance em um ambiente de crescente convergência regulatória global.