Violazioni nella gestione dei dati: sanzione da 125.000 euro all’ente educativo di Dublino, il City of Dublin Education and Training Board (CDETB)

L’Autorità per la protezione dei dati irlandese (DPC) ha inflitto un’ammenda amministrativa di 125.000 euro al City of Dublin Education and Training Board (CDETB), a seguito di un’indagine avviata d’ufficio nel 2019 in relazione a una violazione di dati personali riscontrata l’anno precedente.

L’indagine ha avuto origine dalla scoperta, da parte del CDETB, della presenza di malware su un server web e della conservazione impropria di dati personali relativi a studenti che avevano caricato documentazione per la richiesta di borse di studio tramite il sito dell’ente.

Secondo la decisione finale pubblicata il 1° luglio 2025, il CDETB ha violato diversi articoli del GDPR:

• Articolo 5(1)(f), 32(1) e 32(2): per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati, né valutato correttamente i rischi legati a tale trattamento;

• Articolo 33(1): per non aver notificato tempestivamente la violazione al Garante;

• Articoli 34(1) e 34(4): per non aver informato senza ingiustificato ritardo i soggetti interessati dalla violazione, nemmeno quando era stato richiesto dalla stessa autorità.

Oltre alla sanzione economica e al richiamo formale, il DPC ha ordinato all’ente di mettere in regola il trattamento dei dati personali, con particolare riferimento agli obblighi di sicurezza previsti dal GDPR. Il caso evidenzia ancora una volta la centralità della prevenzione e della trasparenza nella gestione dei dati, soprattutto in settori delicati come l’istruzione e l’erogazione di servizi agli studenti.

Approfondimenti:

• Inquiry into City of Dublin Education and Training Board (CDETB) | 23/06/2025 | Data Protection Commission