La Autoridad Italiana de Protección de Datos Personales (Garante per la protezione dei dati personali) emitió una decisión sancionatoria contra la Universidad de Cassino y del Lazio Meridional el 10 de julio de 2025, aplicando una multa total de 8.000 euros por múltiples violaciones del Reglamento General de Protección de Datos (RGPD). El caso involucró tres reclamaciones presentadas por un exdocente universitario que prestaba servicios como profesor contratado en el Departamento de Letras y Filosofía durante los años académicos mencionados en el proceso, antes del cese de sus actividades debido a la supresión del curso de grado.
Las principales violaciones identificadas incluyeron el tratamiento inadecuado de datos personales contenidos en la cuenta de correo electrónico institucional del reclamante. La universidad mantuvo activa la cuenta de correo del docente durante aproximadamente dos años después de la finalización del contrato laboral, conservando los mensajes recibidos y enviados sin justificación legal adecuada. Aunque la institución declaró que había revocado las credenciales de acceso debido al uso inadecuado de la cuenta por parte del docente, no implementó medidas para informar a terceros sobre la imposibilidad de acceso a los mensajes, violando los principios de licitud, corrección, transparencia y limitación de conservación previstos en el RGPD.
Adicionalmente, la autoridad constató fallos en la atención a las solicitudes de ejercicio de derechos presentadas por el interesado. La universidad no proporcionó respuestas adecuadas y oportunas a tres instancias distintas presentadas por el exdocente, quien solicitaba confirmación sobre tratamientos de datos, cancelación de información personal sensible y judicial, y oposición al tratamiento de sus datos. En uno de los casos, la respuesta de la institución fue genérica y no especificó las necesidades concretas de mantener los datos para la defensa en procedimientos judiciales en curso, limitándose a citar textualmente las disposiciones reglamentarias sin contextualización adecuada.
El caso también involucró la publicación inadecuada de datos personales en el sitio web institucional de la universidad. La institución mantuvo en línea documentos relacionados con dictámenes departamentales sobre la atribución de cargas docentes, argumentando que la publicación era necesaria con fines de transparencia administrativa. Sin embargo, la autoridad determinó que las normas de transparencia prevén únicamente la publicación de listas finales de clasificación en concursos públicos, no de documentos internos del procedimiento selectivo. La universidad procedió a la eliminación de los documentos solo después de la solicitud expresa del interesado y la intervención de la autoridad reguladora, demostrando la inadecuación de los procedimientos internos de gestión de datos personales.
Este artículo fue traducido y resumido a partir de la decisión original con el uso de IA, con revisión humana.
Con información de: Garante per la protezione dei dati personali
Serie — Decisiones Europeas
Dada la similitud entre los regímenes de protección de datos de Brasil y Europa, BrownPipe publica decisiones europeas para ayudar a los lectores del Blog y clientes a conocer el panorama regulatorio internacional. Con el reconocimiento oficial de la equiparación de la LGPD con la legislación europea, consolidado por la versión preliminar de la decisión de adecuación divulgada por la Comisión Europea en septiembre de 2025, para fines de transferencias internacionales de datos personales, el conocimiento de estas decisiones puede ayudar a profesionales y empresas a comprender criterios de enforcement y mejores prácticas regulatorias desarrolladas por las autoridades europeas. Su lectura ofrece valiosos patrones interpretativos y precedentes para la aplicación de la LGPD (Ley General de Protección de Datos de Brasil) en el contexto brasileño, preparando a los lectores para las exigencias de compliance en un ambiente de creciente convergencia regulatoria global.