g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 29 aprile 2025 [10146543]

Provvedimento del 29 aprile 2025 [10146543]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10146543]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 273 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità, la sig.ra XX ha lamentato che “la cooperativa Quadrifoglio che gestisce alcuni servizi per la scuola per conto del Comune” avrebbe “inviato al Comune di Bologna, ufficio scuola dell’infanzia (ServiziZeroSei) un file Excel con tre fogli di lavoro: il primo con indicazione di adesione ad uno sciopero da parte dei suoi operatori; gli altri due fogli (Disabilità e Deroghe), con elenco dei bimbi disabili e con bisogni speciali, con informazioni dettagliate e sensibili (patologia e note varie)”. Tale e-mail sarebbe stata inviata “anche una trentina di dipendenti comunali”.  Inoltre, il file Excel predetto sarebbe in seguito “stato girato dal ServizioZeroSei a tutte le scuole materne del comune di Bologna” e la scuola dell’infanzia XX avrebbe “provveduto ad inoltrarlo a tutti i genitori, 50 famiglie”.

2. L’attività istruttoria.

Con nota del XX, cui si rinvia integralmente, rispondendo alla richiesta di informazioni formulata da questa Autorità in data XX (prot. n XX) il Comune di Bologna (di seguito, il Comune) ha rappresentato, che:

- “L’incidente di sicurezza, oggetto del reclamo, si è verificato in data XX, con l’invio a 53 indirizzi di posta elettronica ordinaria intestati ai genitori dei 50 bambini iscritti - per l’as XX- alla scuola comunale dell’infanzia XX di un file in cui erano stati inseriti accidentalmente i dati personali e quelli relativi allo stato di salute di 60 bambini iscritti a diverse scuole comunali dell’infanzia, di cui 4 frequentanti la scuola dell’infanzia XX”;

- “il file in questione era allegato ad una mail contenente disposizioni di servizio rivolte al personale delle scuole dell’infanzia comunali, in merito alle modalità di gestione delle possibili riduzioni del servizio derivanti dalla adesione allo sciopero indetto per l’XX dall’USB per gli educatori impiegati nel servizio di potenziamento educativo, gestito in appalto dal RTI Cooperativa Sociale Quadrifoglio”;

- “il Comune di Bologna gestisce in forma diretta 67 scuole dell’infanzia dislocate su tutto il territorio comunale. Le scuole dell’infanzia fanno parte dell’Unità Intermedia Servizi Zerosei dell’Area Educazione, Istruzione e Nuove Generazioni e sono coordinate da 28 coordinatori pedagogici (…) che fanno a loro volta capo a sei Responsabili di Unità Territoriale, ognuno dei quali ha la responsabilità di gestione di tutti i Servizi 0/6 (nidi, scuole dell’infanzia e servizi integrativi) ubicati nei sei Quartieri della Città”;

- Le comunicazioni di servizio (…) sono per lo più curate dalla Direzione dell’Unità Intermedia Servizi Zerosei attraverso la posta elettronica”;

- “rispetto alla comunicazione inviata alle scuole il giorno XX, è stato effettuato un invio generalizzato in considerazione dell’urgente necessità di fornire le necessarie informazioni al personale scolastico affinchè questo potesse poi informare le famiglie in tempo utile per la giornata di sciopero (…) i files contenenti l’elenco dei servizi non garantiti in occasione di sciopero non comportano trattamenti di dati personali, ma contengono la sola indicazione di quei servizi che, per effetto dello sciopero, l’appaltatore non è in grado di garantire e dunque vengono sospesi. Sono files preparati dall’appaltatore del servizio educativo per il successivo invio alle scuole da parte della direzione dell’UI Servizi Zerosei”;

- “L’inserimento accidentale in uno dei files sopraindicati dei dati personali di 61 bambini è riconducibile alla circostanza che, sulla base dello stesso contratto d’appalto, il RTI Cooperativa Sociale Quadrifoglio/Coop sociale O.R.S.A gestisce, tra gli altri, anche i servizi educativi per gli alunni disabili, ivi compresi quelli iscritti alle scuole dell’infanzia comunali. Nell’ambito di tale gestione all’appaltatore vengono forniti dalla stessa struttura dell’Ente (UI Servizi Zerosei dell’Area Educazione, Istruzione e Nuove Generazioni) i dati personali e particolari dei bambini destinatari del servizio di inclusione, al fine della progettazione degli interventi individuali”;

- “la coop Quadrifoglio, in qualità di mandataria del RTI, è stata designata come Responsabile esterno del trattamento e a tale scopo è stato sottoscritto uno specifico Accordo tra le parti (…)”;

- “con determinazione PG 362301/2018 tutti i dipendenti assegnati alla U.I. Servizi Zerosei sono autorizzati al trattamento dei dati personali effettuati nell’ambito delle unità organizzative di rispettiva assegnazione”;

- “tempestivamente si è provveduto alla formale notifica dell’incidente agli interessati e a codesto spettabile Garante, ai sensi degli art 34 e 33 del Regolamento EU 2016/679”.

Con successiva nota del XX, cui si rinvia integralmente, il Comune, rispondendo alla richiesta di informazioni formulata da questa Autorità in data XX (prot. n XX) ha rappresentato, che:

- “i collaboratori scolastici hanno il compito di visualizzare le mail in arrivo e di smistarle in cartaceo a tutto o a parte del gruppo di lavoro, a seconda delle comunicazioni in esse contenute. Questa funzione è assegnata a tale figura perché nelle scuole dell’infanzia comunali i collaboratori scolastici hanno un ruolo più ampio rispetto alle semplici mansioni di pulizia e vigilanza ed in particolare, nella declaratoria delle attività proprie del profilo professionale approvata con delibera di Giunta Comunale P.G. N. 228627/2005 (…), sono espressamente previste le seguenti mansioni: la cura delle relazioni, delle informazioni e delle comunicazioni con particolare riguardo al rapporto con i genitori e alla collaborazione con gli insegnanti; l’utilizzo per funzioni di elaborazione e di comunicazione di base degli strumenti tecnologici ed informatici in dotazione al servizio”;

- “Nell’ambito dell’organizzazione dei servizi scolastici ed educativi a gestione diretta del Comune di Bologna, i procedimenti che comportano trattamenti di dati personali relativi a bambini, famiglie e personale sono infatti assegnati agli uffici amministrativi di staff (centrali o territoriali) o ad altri livelli di responsabilità, non essendo presente personale amministrativo nelle scuole. L'accesso ai dati personali dei bambini iscritti, da parte del personale scolastico, avviene in molti casi attraverso documenti cartacei (a volte consegnati direttamente dalle famiglie) o tramite condivisione di cartelle, ad accesso riservato, con i responsabili di riferimento”;

- “In sintesi, il suddetto personale ha l’abilitazione all’account della posta elettronica condivisa in ragione delle mansioni svolte ed è autorizzato ai trattamenti connessi, oltre che adeguatamente istruito e formato”.

La cooperativa sociale Quadrifoglio, con nota del XX, cui si rinvia integralmente, rispondendo alla richiesta di informazioni formulata da questa Autorità in data XX (prot. n. XX), ha rappresentato quanto segue:

- “Il Comune di Bologna in data XX ha aggiudicato il servizio di gestione dei servizi educativi per l'inclusione scolastica degli alunni con disabilità, dei servizi educativi integrativi scolastici e dei servizi specialistici di qualificazione dell'offerta formativa nelle scuole dell'infanzia cittadine a favore del costituendo RTI fra Cooperativa sociale Quadrifoglio (mandataria) e O.R.S.A società cooperativa sociale (Mandante) per il periodo XX con opzione di rinnovo per ulteriori due anni scolastici”;

- “secondo quanto previsto da Capitolato d'Appalto, la Cooperativa Sociale Quadrifoglio (di seguito "Mandatario") è tenuta ad informare il Comune di Bologna (in seguito indicato come "Committente") di ogni eventuale disattesa di servizio (es. scioperi), Il Mandatario si impegnava a dare comunicazione al Committente in caso di scioperi sindacali che comportassero assenze di personale e la conseguente necessità di riorganizzazione dei servizi. Successivamente, il Committente informava i rispettivi servizi scolastici; infine la comunicazione veniva trasmessa dai servizi scolastici alle famiglie”;

- “per la gestione dei servizi, il Committente trasmette al servizio di coordinamento pedagogico del Mandatario, prima dell'inizio dell'anno scolastico, un documento riportante i dati sensibili riferiti ai minori in carico (nome, cognome, data e luogo di nascita, cittadinanza, tipologia disabilità, codice ICD-IO), necessarie per l'attivazione e la gestione del servizio di inclusione scolastica rivolto ai minori con disabilità”;

- “in occasione di uno sciopero generale indetto per la giornata del XX, il Mandatario ha inviato comunicazione via mail al Committente (in data XX), secondo la procedura precedentemente descritta, allo scopo di segnalare i servizi non garantiti per la giornata di sciopero. Si identifica che la mail, firmata (… dalla) coordinatrice dei servizi integrativi e di inclusione scolastica delle scuole dell'infanzia comunali presenti nei territori di Borgo-Reno, Navile, Porto-Saragozza riportava in allegato 6 file riferiti ai servizi presenti nei sei Quartieri di Bologna. I file relativi ai territori di Borgo-Reno, Navile, Porto-Saragozza riportavano 2 fogli: il primo (…) contenente solo le informazioni relative alla chiusura/apertura dei servizi integrativi nella giornata di sciopero sopra indicata; il secondo foglio invece mantenuto erroneamente, riportava le informazioni riferite al solo servizio di inclusione scolastica, quindi permanevano i dati sensibili riferiti ai minori in carico”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), al Comune, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto un ufficio comunale (UI Servizio Zerosei) ha inviato una e-mail  recante in allegato alcuni file, contenenti particolari categorie di dati degli alunni, agli indirizzi e-mail delle sessantasette scuole dell’infanzia presenti sul territorio, ai ventisei coordinatori pedagogici, ai sei responsabili delle unità territoriali ubicate nei sei quartieri della città e una scuola dell’infanzia comunale ha inviato uno dei predetti file a cinquantatré indirizzi di posta elettronica dei genitori dei bambini iscritti a tale scuola, in assenza di idonea base giuridica in violazione degli artt. 5, 6 e 9 del Regolamento, degli artt. 2-ter e 2-sexies del Codice.

Con la medesima nota il titolare del trattamento è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Il Comune ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), cui si rinvia integralmente, rappresentando, in particolare, che:

- “i dati accidentalmente comunicati consistono in dati personali di natura particolare relativi a 61 bambini frequentanti, all’epoca, le scuole dell’infanzia comunali dei Quartieri Porto Saragozza e Santo Stefano della Città, costituiti da: nome, cognome, data e luogo di nascita, cittadinanza, certificazioni possedute - CIS (certificato di integrazione scolastica), diagnosi funzionale, certificazioni ex lege 104/92, tipologia di disabilità, codice ICD10, data revisione CIS. Sono inoltre comprese informazioni riferibili all’anno di iscrizione, orario di frequenza a scuola, ore di intervento assegnate e varie annotazioni”;

- “con riferimento al novero dei soggetti che potenzialmente avrebbero avuto accesso a tali dati, in ogni scuola un solo soggetto è autorizzato all’utilizzo della posta elettronica dell’Istituto. Si conferma, pertanto, che, per mansionario, i collaboratori scolastici hanno il compito di visualizzare le mail in arrivo e di smistarle in cartaceo a tutto o a parte del gruppo di lavoro, a seconda delle comunicazioni in esse contenute. Questa funzione viene svolta da un solo collaboratore che appunto riceve e legge la mail. Nel caso in questione l’operazione prevista era quella di stampare il testo della mail (in modo da poterlo condividere con gli insegnanti) e prendere nota delle indicazioni riportate nella tabella che avrebbe dovuto riguardare il solo elenco dei servizi garantiti e non garantiti. Non era prevista alcuna indicazione in merito ad una possibile circolazione della mail”;

- “l’invio dei dati in questione alle 50 famiglie della scuola dell’infanzia XX è stato anch’esso causato da un errore umano della collaboratrice della scuola stessa. Se infatti la dipendente avesse letto con la dovuta attenzione le disposizioni contenute nella citata mail, avrebbe concluso facilmente che per la scuola in questione non vi erano informazioni da dare alle famiglie, non essendo attivi in quella scuola servizi di pre e post orario. Nella scuola (…), infatti, il servizio di potenziamento educativo era articolato per entrambe le sezioni dalle 13,30 alle 15,30 (in compresenza con il personale docente) e dunque lo sciopero non incideva sul funzionamento giornaliero del servizio di scuola”;

- “la violazione di dati personali è conseguenza di una condotta manifestamente negligente di un’operatrice della Cooperativa Quadrifoglio nell’esecuzione materiale di semplici compiti d’ufficio, attuata inserendo, senza alcuna ragione, in seno ad una comunicazione (rectius, in files allegati ad un messaggio di posta elettronica) dati personali relativi a minori con disabilità non attinenti alla finalità per cui la comunicazione stessa è stata confezionata; comunicazione che (…) avrebbe dovuto riportare il solo elenco dei servizi non disponibili in occasione dello sciopero sopra emarginato. Dunque l’operatrice, per conto del Responsabile del trattamento, ha contaminato il processo di comunicazione con le scuole coinvolte con elementi totalmente estranei allo stesso, trasmettendo dati non necessari che poi sono stati inoltrati dagli operatori scolastici”;

- “Tale aspetto incide conseguentemente sull’elemento soggettivo della violazione contestata, ovvero produce l’esclusione della responsabilità del Comune, o, in subordine, una responsabilità solo marginale dello stesso”;

- “il Comune, al fine di mitigare gli effetti della violazione, ha prontamente contattato i destinatari dopo essere venuto a conoscenza dell'errore, informandoli che non era loro consentito trattare ulteriormente i dati ricevuti e che avrebbero dovuto disporne l’immediata cancellazione (…). Inoltre, a seguito di procedimento di mediazione acceso dai genitori di uno degli interessati i cui dati sono stati oggetto di violazione, il Comune ha riconosciuto a favore di questi un indennizzo economico a rimedio del sinistro occorso. L’indennizzo liquidato, proprio in virtù della riconosciuta responsabilità, è stato integralmente rimborsato all’Amministrazione dalla Coop Quadrifoglio”;

- “questa Amministrazione ha definito nuove e più rigorose istruzioni per la Cooperativa Responsabile del trattamento”;

- “è stato, altresì, condotto uno specifico audit presso la Cooperativa”;

- “sono state impartite nuove istruzioni a tutti i dipendenti assegnati alla Unità Intermedia Servizi Zerosei (…) e sono state adottate nuove modalità procedurali e ulteriori misure organizzative, immediatamente messe in atto, finalizzate a garantire una maggiore sicurezza dei dati personali trattati. Nella intranet dedicata al personale di nidi e scuole dell’infanzia è stata creata un’apposita sezione con funzione di repository a disposizione di dipendenti e personale scolastico con le istruzioni e le misure messe in atto. È stato, inoltre, definito che tutte le comunicazioni di servizio inviate alle scuole siano rigorosamente controllate. I file allegati sono ora convertiti sempre in pdf e nelle comunicazioni viene specificato che trattasi di comunicazione interna non divulgabile a terzi. Con il personale che ha funzioni di coordinamento (Responsabili di Unità Territoriali e coordinatori pedagogici) sono stati fatti numerosi incontri di lavoro per approfondire il tema e sono state condivise puntuali indicazioni operative per il trattamento di dati personali cosiddetti “particolari” nell’ambito delle attività dei servizi Zerosei comunale (…). A tutto il personale è stata somministrata la periodica formazione di base in materia di protezione dei dati personali (…) Onde evitare dispersioni accidentali tutti i dati personali vengono condivisi tramite cartelle di drive ad accesso riservato ai soli soggetti autorizzati”;

-“Dal punto di vista delle misure di sicurezza sono presenti sia misure di sicurezza fisiche che misure di sicurezza informatiche”;

- “Nella notifica (… ai sensi dell’art. 33 del Regolamento) sono state fornite all’Autorità tutte le informazioni prescritte dalla norma. Pertanto, il susseguente reclamo effettuato dall’interessato (…) ha avuto ad oggetto fattispecie ampiamente nota all’Autorità a seguito della predetta notifica”;

- “la violazione di dati personali per cui si procede non è stata il risultato di azioni intenzionali o malevole e il numero di soggetti terzi destinatari della comunicazione è oggettivamente esiguo. Peraltro si ritiene di valorizzare la circostanza che questi facciano parte di una medesima comunità scolastica con ovvia attitudine alla riservatezza dei dati dei minori, loro malgrado ricevuti. Tali circostanze assumono rilievo primario nella valutazione degli impatti effettivi della violazione”.

3. Normativa applicabile.

3.1 Il quadro normativo.

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento prevede che il trattamento di dati personali da parte di soggetti pubblici è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso ai dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che l’Unità Intermedia (UI) Servizi Zerosei dell’Area Educazione, Istruzione e Nuove Generazioni del Comune ha effettuato una comunicazione di dati personali, anche relativi allo stato di salute degli alunni, inoltrando una mail, originariamente ricevuta dalla Cooperativa sociale Quadrifoglio, alle sessantasette scuole dell’infanzia comunali presenti sul territorio, ai sei responsabili di unità territoriali che gestiscono tutti i Servizi 0/6 (nidi, scuole dell’infanzia e servizi integrativi) e ai ventisei coordinatori pedagogici.

Tale comunicazione, in particolare, conteneva, oltre alle informazioni relative alle modalità di gestione delle possibili riduzioni dei servizi integrativi in occasione di una giornata di sciopero, dati personali anche relativi alla salute dei bambini iscritti a talune scuole dell’infanzia (tra cui i nominativi degli alunni, luogo e data di nascita, cittadinanza, tipologie di disabilità, specifiche patologie sofferte, codice di classificazione delle disabilità (codice ICD10), certificazioni possedute, indicazione delle risorse per l’integrazione scolastica (insegnati/educatori) attribuite agli alunni).

Successivamente, una collaboratrice scolastica della scuola dell’infanzia comunale XX ha inviato uno dei file allegati alla predetta mail, contenente i richiamati dati personali, a cinquantatré indirizzi di posta elettronica intestati ai genitori dei bambini iscritti a tale scuola per l’anno scolastico XX.

In via preliminare si osserva che, i minori, in quanto “persone fisiche vulnerabili” meritano “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. n. 38 del Regolamento).

Si osserva inoltre che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento, sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che le informazioni relative alle tipologie di disabilità riportate nei suddetti documenti, l’indicazione del codice di classificazione delle stesse e delle certificazioni possedute o meno dai bambini nonché l’attribuzione agli allievi di risorse per l’integrazione scolastica (insegnati/educatori), consentano di ricavare informazioni sullo stato di salute dei minori riportati negli elenchi.

Ciò premesso, con riguardo al primo profilo evidenziato, relativo alla messa a disposizione, da parte del citato ufficio comunale, dei documenti contenenti le richiamate informazioni riguardanti lo stato di salute dei minori alle scuole dell’infanzia, ai responsabili di tutte le unità territoriali che gestiscono tutti i Servizi 0/6 ai coordinatori pedagogici, si evidenzia quanto segue.

Come affermato in molte occasioni dal Garante, il personale autorizzato al trattamento dei dati personali da parte del titolare del trattamento (art. 29 del Regolamento e 2-quaterdecies del Codice) è legittimato a trattare esclusivamente le informazioni pertinenti e necessarie allo svolgimento delle attività assegnate di propria competenza, in ragione delle scelte organizzative e delle specifiche mansioni svolte (v. seppur in contesti differenti, provv. n. 322 del 16 settembre 2021, doc. web n. 9711517, n. 214 del 27 maggio 2021 doc. web. 9689234, n. 105 del 18 giugno 2020, doc. web n. 9444865).

Contrariamente, nel caso di specie, il predetto ufficio comunale ha trasmesso ad alcuni istituti scolastici e a taluni dipendenti (responsabili di unità territoriali, coordinatori pedagogici, etc.), numerosi dati personali, anche relativi alla salute, di minori iscritti a scuole di ambiti territoriali diversi da quelli di competenza dei predetti soggetti e istituti scolastici. Tali informazioni, pertanto, risultano ultronee e non necessarie allo svolgimento delle mansioni affidate al personale destinatario di tale comunicazione.

Sebbene, infatti, la messa a disposizione dei documenti in esame abbia avuto un ambito di circolazione limitato a soggetti facenti parte dell’organizzazione del titolare del trattamento e le informazioni ivi contenute non siano state, in tale ambito, rese accessibili a soggetti “esterni”, la conoscibilità dei dati è avvenuta comunque in favore di un novero, determinato o determinabile assai ampio di soggetti, quali le scuole dell’infanzia diverse da quelle di appartenenza dei bambini, i Responsabili di Unità territoriali e i coordinatori pedagogici responsabili delle scuole non frequentate dai minori in questione e non, invece, esclusivamente a vantaggio del personale competente per territorio e ambito di assegnazione.

Sebbene, infatti, tali soggetti, in virtù del ruolo da essi ricoperto e delle funzioni svolte in base alla disciplina di settore possono certamente trattare i dati personali degli alunni nell’ambito delle attività educative e di istruzione di loro competenza, essi non possono, invece, considerarsi legittimati a trattare, come nel caso di specie, i dati personali, anche relativi alla salute di minori iscritti a scuole diverse da quelle di propria competenza.

Con riferimento, inoltre, al diverso profilo in esame, relativo all’invio da parte della scuola dell’infanzia XX dell’e-mail recante in allegato il documento denominato “PortoSaragozza", contenente i sopra citati dati personali anche relativi alla salute di circa sessanta bambini, agli indirizzi di posta elettronica di circa cinquanta genitori di alunni della scuola, si rappresenta che tali dati sono stati resi conoscibili, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti terzi (art. 4, par. 1 n. 10 del Regolamento), dando luogo ad una comunicazione di numerosi dati personali, anche relativi alla salute (tra i quali tipologie di disabilità, specifiche patologie sofferte, codice di classificazione delle disabilità, certificazioni possedute, indicazione delle risorse per l’integrazione scolastica -insegnati/educatori - attribuite agli alunni) degli interessati, soggetti  minori di età e, in quanto tali, comunque particolarmente vulnerabili (v. cons. 38 del Regolamento, nonché provv. 27 novembre 2024, n. 728, doc. web n. 10097324, provv. 12 dicembre 2024, n. 767, doc. web n. 10099052, provv. 27 febbraio 2025, n. 117, doc. web n. 10118264).

Alla luce delle considerazioni che precedono, l’invio della predetta e-mail recante in allegato documentazione  contenente dati personali, anche relativi alla salute dei minori ivi riportati ha, di fatto, reso anche le scuole dell’infanzia diverse da quelle di appartenenza dei bambini indicati nello stesso, i Responsabili di Unità territoriali, i coordinatori pedagogici referenti di aree e scuole differenti, nonché i genitori degli alunni iscritti alla scuola XX, edotti in merito a situazioni personali e a informazioni relative alla salute dei minori particolarmente vulnerabili (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice).

Pur prendendo atto che tale comunicazione è avvenuta a seguito di un mero errore, dovuto all’inoltro di una e-mail contenente la predetta documentazione da parte della cooperativa Quadrifoglio - ferme restando le valutazioni in ordine alla liceità del trattamento svolto dalla cooperativa, che saranno oggetto di un autonomo procedimento - si osserva che il Comune, in ogni caso, non ha vigilato e verificato il contenuto del documento pervenuto da inoltrare, obblighi a cui era tenuto anche in base ad una “responsabilità generale” posta in capo al titolare del trattamento (artt. 5, par. 2 e 24 del Regolamento, v. provvedimento n. 81 del 7 marzo 2019, doc. web 9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168, provvedimento n. 294 del 22 luglio 2021, doc. web 9698724).

Per tali ragioni codesto Comune ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2-sexies, commi 1 e 2, lett. bb) del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dal Comune, avvenuto in assenza di condizioni di liceità, in violazione degli 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2-sexies, commi 1 e 2, lett. bb) del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate –artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2-sexies, commi 1 e 2, lett. bb) del Codice - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la comunicazione ha riguardato un elevato numero di interessati vulnerabili (cfr. art. 83, par. 2, lett. a), del Regolamento);

- con specifico riguardo al profilo soggettivo della violazione, la stessa è stata cagionata da errori materiali indotti da un’errata comunicazione ricevuta dal responsabile del trattamento (art. 83, par. 2, lett. b), del Regolamento);

- riguardo alle categorie di dati personali comunicati, sono comprese categorie particolari di dati relativi a soggetti minori di età (art.83, par. 2, lett. g) del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Si devono considerare, altresì, le seguenti circostanze attenuanti in quanto:

- il titolare del trattamento ha provveduto ad adottare misure per attenuare il danno ed evitare il ripetersi di episodi analoghi (art. 83, par. 2, lett. c), del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, tenuto conto delle circostanze in cui sono verificate le violazioni (art. 83, par. 2, lett. e), del Regolamento);

- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 40.000,00 (quarantamila/00) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2-sexies, commi 1 e 2, lett. bb) del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la comunicazione di dati personali, incluse categorie particolari di dati di numerosi alunni in assenza di una condizione di liceità.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Bologna nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2-sexies, commi 1 e 2, lett. bb) del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Bologna, con sede in Piazza Maggiore 6, 40124 Bologna - P.Iva 01232710374, di pagare la complessiva somma di euro 40.000,00 (quarantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Bologna:

- di pagare la complessiva somma di euro 40.000,00 (quarantamila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi

Scheda

Doc-Web
10146543
Data
29/04/25

Argomenti

Dati sanitari Scuola

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)