g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 27 novembre 2024 [10097324]

Provvedimento del 27 novembre 2024 [10097324]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10097324]

Provvedimento del 27 novembre 2024

Registro dei provvedimenti
n. 728 del 27 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

Con il reclamo presentato all’Autorità dalle sig.re XX, XX, XX e XX, per il tramite del loro legale, è stato lamentato che l’Istituto Comprensivo Statale "Corso Matteotti" di Alfonsine (di seguito, l’Istituto) avrebbe inviato con note del XX, XX e XX, il calendario delle riunioni del Gruppo di lavoro operativo per l’inclusione scolastica (GLO) organizzate dall’Istituto, recanti l’indicazione delle iniziali del nome e cognome di tutti gli alunni interessati distinti per classe, a tutti i docenti, genitori, alunni delle classi convocate e al “personale medico sanitario”, “distinguendo solo tra scuola primaria e secondaria allegando un unico documento a firma della Dirigente Scolastica (…), riportante le convocazioni di tutti i bambini certificati dell'Istituto Comprensivo” rendendo “così ogni singolo bambino immediatamente riconoscibile ad ogni famiglia che abbia ricevuto la mail dalla Segreteria dell'Istituto”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), rispondendo alla richiesta di informazioni formulata da questa Autorità, l’Istituto ha rappresentato, in particolare, che:

- “non sono stati forniti nelle circolari n. XXdel XX (Scuola primaria), n. XX del XX (secondaria primo grado), e n. XX del XX (scuola infanzia), inviate all'attenzione dell’Vostro Ufficio GPDR elementi di identificazione degli allievi indicati in circolare, come:

- “il nome: infatti sono state fornite soltanto le iniziali e possono essere identiche in più allievi (ad es. XX, XX, XX ecc.). L’eventuale identificazione presupporrebbe la conoscenza di tutti gli elenchi di tutti gli alunni della scuola. Gli elenchi non sono noti e non sono pubblici”;

- “i “dati relativi alla salute” del singolo allievo o “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Si ripete che sono stati soltanto convocati dei Consigli di classe (GLO) in forma generica e solo attraverso le iniziali del singolo allievo e che nessun elemento può far definire dati inerenti allo stato fisico del singolo bambino. Infatti non ci sono dati che riguardano l'identificazione del singolo allievo e nessun dato specifico relativo dello stato di salute o di malattia se non le iniziali dello stesso, né servizi di assistenza o medici alla singola persona”;

- “Non sono forniti ai genitori della scuola gli elenchi degli allievi di tutto l’istituto. Questi elenchi non sono noti, né pubblicati da questa istituzione scolastica. Pertanto i genitori di altre classi indicate nella circolare, non conoscendo gli elenchi e gli allievi di tutto l’istituto non avrebbero mai e in ogni modo potuto risalire all’identificazione di alcuno, a meno di non conoscere a memoria tutti gli elenchi e i nomi di n. 949 alunni dell’istituto attraverso le sole iniziali. Non sono presenti gli indirizzi personali tramite gli invii fatti da ARGO”;

- “sebbene nelle circolari nell’intestazione sia stato scritto “a tutti i docenti della scuola primaria”, “a tutti i docenti della scuola primaria”, di fatto la convocazione è arrivata solo ai docenti interessati e solo alle classi interessate all’odg”;

- “i docenti delle classi interessate conoscono la situazione dei loro allievi perché devono stilare i documenti di programmazione didattica comuni relativi ai bambini certificati: Devono stilare il PEI, documento di programmazione didattica che è stilato da tutti i docenti della classe”;

- “la situazione degli alunni certificati potrebbe di fatto essere nota anche ad altri docenti dell’istituto (in modo informale) in quanto gli insegnanti di altre classi sono a contatto con allievi diversi dai propri in molte occasioni”;

- “quando si è di fronte a problematiche gravi quali autismo, paralisi agli arti inferiori, iperattività, sindrome di down, sordomutismo, ecc… è difficile nascondere la patologia e limitarla solo alla propria aula. Pertanto qualora si fosse arrivati, nella lontana e difficile ipotesi, all’identificazione di qualcuno attraverso i dati forniti nelle circolari contestate, comunque questo dato sarebbe potuto essere già noto in forma generica attraverso supposizioni personali dei singoli. Infatti nessun dato specifico relativo alla salute di ciascuno è stato fornito da questa istituzione scolastica ad alcuno se non ai soggetti previsti dalla legge”;

- “la condizione degli allievi potrebbe essere nota in forma generica anche (in modo informale) ai genitori della singola classe, vivendo il quotidiano della classe, la vita scolastica ed extrascolastica (oratorio, attività sportiva ecc) e talvolta condividendo gli stessi medici. Pertanto nella singola classe, qualora si fosse arrivati nella lontana e difficile ipotesi all’identificazione di qualcuno nelle circolari contestate, comunque questo dato sarebbe potuto essere noto in forma generica attraverso supposizioni personali dei singoli. Infatti nessun dato specifico relativo alla salute di ciascuno è stato fornito da questa istituzione scolastica ad alcuno se non ai soggetti previsti dalla legge”;

- “il personale medico sanitario per la peculiarità del lavoro che svolge spesso è a conoscenza della situazione di più allievi condividendo spesso le cure (ad uno stesso medico sono dati in cura più allievi) Il personale medico non conosce gli elenchi dei nominativi dei bambini di tutto l’istituto e pertanto l’identificazione è impossibile. Ad ogni modo, la convocazione è stata inviata solo a medici specifici e non a tutti i medici della ASL di Ravenna”;

- “il comprensivo di Alfonsine è una scuola relativamente piccola. Alfonsine non è una grande città, ma è una piccola cittadina nella quale di fatto si conoscono tutti, genitori, alunni, docenti essendo territorialmente isolata da altri contesti e vivendo di propria autonomia”;

- “quindi pur essendo stato inviato il calendario delle riunioni del Gruppo di lavoro operativo per l’inclusione scolastica (GLO) organizzate dall’Istituto (…), recanti l’indicazione delle iniziali del nome e cognome di tutti gli alunni interessati distinti per classe, a tutti i docenti delle classi interessate, ai genitori delle classi interessate e agli alunni delle classi convocate e al solo personale medico sanitario interessato, distinguendo tra scuola primaria, secondaria, riportante le convocazioni di alcuni bambini certificati dell'Istituto Comprensivo, non è possibile l’identificazione di alcuno come specificato in precedenza e se l’identificazione c’è stata è indipendente dalla circolare perché il dato era in precedenza già noto”;

- “la convocazione dei GLO è un obbligo legale al quale questo istituto deve adempiere ed in particolare quest'anno, perché la normativa relativa allo svolgimento del GLO e alla redazione del PEI è cambiata”;

- “pertanto questa dirigenza si è trovata a dare in un brevissimo arco temporale (XX-XX) indicazioni circa la nota e la nuova normativa ai docenti di sostegno che hanno dovuta farla propria velocemente. In seguito si è trovata costretta ad una convocazione del GLO e a dare informazione ai genitori interessati e ai medici interessati. In pratica ci si è trovati in un arco di tempo ravvicinato XX- XX e per la convocazione di tutti i GLO e l'avvio delle procedure”;

- “si comprende che, visto il numero degli allievi in numero di 52 e la necessità di informare tempestivamente tutti sul nuovo dettato normativo, se non si fosse proceduto in tal modo si sarebbe venuto meno ad un obbligo di legge ed i GLO si sarebbero convocati con tempistiche ben più lunghe. Tra l’altro la mancata condivisione delle nuove disposizioni di legge avrebbe dato luogo a delle procedure non corrette, alla mancata redazione dei documenti di programmazione e al mancato avvio delle attività previste per i bambini certificati nei tempi previsti dalla norma. Si ravvede in tale comportamento da parte del dirigente scolastico, titolare del trattamento, l’esecuzione di un compito di interesse pubblico sulla base dell’art. 6, comma 1, lett. e) del GDPR: “il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto l’invio, in più occasioni, del calendario delle riunioni del GLO organizzate dall’Istituto, recanti l’indicazione delle iniziali del nome e del cognome di tutti gli alunni interessati distinti per classe, a tutti i docenti, alunni e genitori nonché al personale sanitario invitati a partecipare alle riunioni del GLO previste per le giornate indicate dal calendario avrebbe dato luogo a una comunicazione di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

Pertanto, l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota con del XX (prot. n. XX), rappresentando, in particolare, che:

- “nelle circolari in esame non si rilevano dati che riguardano l'identificazione del singolo allievo e non vi è nessun dato specifico relativo dello stato di salute o di malattia se non le iniziali dello stesso, né servizi di assistenza o medici alla singola persona. Va inoltre tenuta ben presente fin d’ora la situazione contingente in cui s’inserisce l’invio delle note sopra indicate concernenti il calendario delle riunioni: la Dirigente si è infatti vista impegnata a far fronte alla peculiare necessità di provvedere all’adozione del nuovo modello nazionale PEI (entro il termine del 31.10), previsto all’art. 7 comma 2 lettera g) D.lgs. 182/20202 attuativo del D.Lgs.66/2017”;

- “al contempo e nell’immediatezza, si è provveduto altresì ad attivare le relative procedure onde illustrare a tutto il personale docente ed alle famiglie i nuovi modelli di programmazione e le differenti modalità di compilazione rispetto alla precedente prassi operativa. In tal senso, è noto che la convocazione dei GLO è un obbligo legale al quale l’istituto deve adempiere ed in particolare nell’anno scolastico XX perché la normativa relativa allo svolgimento del GLO e alla redazione del PEI è stata recentemente modificata. Ne consegue che le prassi utilizzate nell’istituto relative alla convocazione dei GLO sono rispettose della norma, come espresso in precedenza. Infatti, l’invio delle convocazioni avviene di prassi attraverso piattaforma ARGO che applica tutte le necessarie garanzie per il rispetto del codice della privacy. Si è dunque proceduto nel pieno rispetto della tempistica stabilita e ciò al fine di scongiurare l’inosservanza di obblighi imposti dal dettato normativo”;

- “non vi è stata alcuna volontà elusiva nella normativa per la protezione dei dati personali, in quanto la condotta della scrivente è sempre stata improntata al rispetto dei principi di minimizzazione ed esattezza dei dati, integrità e riservatezza, liceità, correttezza e trasparenza e limitazione della finalità. Tanto è vero in quanto nelle circolari inviate e, precisamente, n. XX del XX (Scuola primaria), n. XX del XX2 (secondaria primo grado), e n. XX del XX (scuola infanzia), i nominativi degli alunni sono stati indicati con le semplici iniziali che non consentono di rivelare l’identità dei discenti; non si rilevano altresì gli estremi per poter configurare una condotta del responsabile del trattamento non conforme ai canoni di liceità, correttezza e trasparenza in ossequio all’art. 5, par. 1, lett. A) del Regolamento. Il principio di diritto impone che i dati sensibili possono essere trattati dai soggetti soltanto mediante modalità organizzative che rendano non identificabile l’interessato, come è avvenuto nel caso di specie: l’adozione nelle circolari delle sole iniziali ha reso di fatto inintellegibile l’identificazione dei discenti, né, in ogni caso, si può desumere un’associazione significativamente probabile tra i dati e la persona fisica. Gli addebiti mossi e qui recisamente contestati in nessun caso possono condurre ad una condotta censurabile in capo al responsabile del trattamento e, con riguardo all’istruttoria finora evasa da Dipartimento, essa non ha tenuto conto di quanto già si è detto e si ribadisce ulteriormente in questa sede, circa le ragioni qui di seguito enunciate”;

- “nelle circolari sopra individuate, i dati “personali e sensibili” sono stati epurati; in particolare, si evidenzia che (…) sono state fornite soltanto le iniziali e possono essere identiche in più allievi (…). L’eventuale identificazione presupporrebbe la conoscenza di tutti gli elenchi di tutti gli alunni della scuola. Gli elenchi non sono noti e non sono pubblici; sul punto si ricorda che Codesta Autorità, in risposta ad alcuni chiarimenti chiesti dall’Ordine dei Giornalisti, ha evidenziato come l’utilizzo delle iniziali, in luogo del nome e cognome, possa essere strumento utile ad anonimizzare il soggetto, si legge infatti: “Quando non si ravvisa tale necessità oppure quando vi siano specifiche limitazioni di legge alla divulgazione di informazioni spesso connesse a determinati fatti di cronaca, il giornalista può comunque riferire di questi ultimi prediligendo soluzioni che tutelino la riservatezza degli interessati (ricorrendo ad esempio  all'uso di iniziali, di nomi di fantasia e così via)”;

- “non sono forniti ai genitori della scuola gli elenchi degli allievi di tutto l’istituto. Questi elenchi non sono noti, né pubblicati da questa istituzione scolastica. Pertanto, i genitori di altre classi indicate nella circolare, non conoscendo gli elenchi e gli allievi di tutto l’istituto non avrebbero potuto risalire all’identificazione di alcuno, a meno di non conoscere tutti gli elenchi e i nomi di n. 949 alunni dell’istituto attraverso le sole iniziali. Non sono presenti gli indirizzi personali tramite gli invii fatti da ARGO”;

- “orbene, il dato personale è un concetto dinamico, sul quale ha preponderante rilevanza il contesto sostanziale e le componenti intrinseche dello stesso: nel caso di specie, preme rilevare che il personale docente delle classi interessate ben conosce le esigenze dei loro allievi nonché le circostanze già “fotografate” che ineriscono alle condizioni degli alunni, in quanto essi devono stilare i documenti di programmazione didattica comuni relativi ai bambini certificati. Inoltre, la situazione degli alunni certificati potrebbe di fatto essere nota anche ad altri docenti dell’istituto in quanto gli insegnanti di altre classi sono a contatto con allievi diversi dai propri in molte occasioni”;

- “a ciò aggiungasi che la condizione degli allievi potrebbe concretamente essere già resa edotta in modo informale ed in forma generica anche ai seguenti soggetti: i genitori degli alunni che partecipano attivamente al microsistema scolastico ed extrascolastico; il personale medico-sanitario. Per inciso, il personale medico non conosce gli elenchi dei nominativi dei bambini di tutto l’istituto e pertanto l’identificazione è impossibile. Ad ogni modo, la convocazione è stata inviata solo a medici specifici e non a tutti i medici della ASL di Ravenna”;

-  “è prassi dell’Istituto che le informazioni relative alla convocazione del gruppo di lavoro, GLO, recanti l’indicazione del nominativo o delle iniziali del nome e cognome dell’alunno per il quale sono state organizzate, vengano comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso e che quindi si tratta di un unico episodio per una convocazione di breve durata e a solo a scopo informativo delle mutate condizioni legislative. (…) Per ciascun bambino certificato, di norma, vengono convocati tre GLO annuali, uno iniziale, uno intermedio ed uno finale, come si evince dal piano delle attività docenti per l’anno scolastico XX. (…) Si precisa pertanto che, nello scorso anno scolastico, pur essendo state emanate tre circolari del XX, del XX e del XX, esse si riferiscono ad ordini di scuola differenti e a convocazioni di alunni differenti. E’ dunque un’unica convocazione per singolo bambino (GLO iniziale), come si evince anche dal piano delle attività dei docenti. Con riguardo alle procedure adottate nei GLO intermedi e finali si può rilevare che, anche nello stesso scorso anno scolastico XX, è stata posta la consueta attenzione alle prassi adottate e pertanto le convocazioni sono indirizzate solo ai soggetti previsti dalla norma coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso. Negli allegati sono presenti i GLO intermedi e finali as XX per tutti gli ordini di scuola. (…). Il gruppo operativo di lavoro si riunisce soltanto tre volte all’anno come da piano delle attività dei docenti e già dal piano delle attività si evincono i partecipanti al GLO (…). In siffatto contesto, la conoscibilità dei dati ivi contenuti è avvenuta in favore di un novero determinato e contenuto di soggetti della comunità scolastica (personale docente, genitori, personale medico) i quali sono ben informati e prontamente aggiornati circa le dinamiche della classe ed i dati oggetto della comunicazione, con alta probabilità, sono stati negli anni già resi noti e/o appresi anche in via informale o generica. In definitiva, ne consegue che, allo stato, non trattandosi di una pubblicazione ad un numero illimitato ma ad un numero ristretto che peraltro erano già a conoscenza di tali informazioni, è possibile l’applicazione dell’eccezione di cui all’art. 9 comma 1 e) GDPR che ritiene possibile (e lecito) il trattamento dei dati “riguarda dati personali resi manifestamente pubblici dall'interessato”;

- “la conoscenza delle informazioni relative alla convocazione del richiamato gruppo di lavoro, è avvenuta nell’area riservata del registro elettronico, quindi non accessibile a chiunque. Ed infatti, la consultabilità nell’area riservata del registro elettronico è concessa con un identificativo online: non sono stati evidenziati elementi che potessero identificare on line l’allievo in quanto le comunicazioni avvengono attraverso il registro elettronico ARGO che non evidenzia gli indirizzi dei destinatari delle circolari. Non sono state inviate mail dalla Segreteria dell'Istituto a genitori e docenti, ma utilizzato il registro elettronico ARGO, conforme al Codice in materia di protezione dei dati persona (…). Si precisa che, sebbene nell’intestazione delle circolari sia stato scritto “a tutti i docenti della scuola primaria”, di fatto, la convocazione è arrivata solo ai docenti interessati e solo alle classi interessate all’odg” (…)”:

- “è di palmare evidenza che la condotta de qua è stata assolutamente finalizzata ad adempiere i fini ed i compiti istituzionali: ciò posto, non v’è chi non veda in detto comportamento l’esecuzione di un compito di interesse pubblico sulla base dell’art. 6, comma 1, lett. e) del GDPR (…) Le prassi utilizzate nell’istituto relative alla convocazione dei GLO sono rispettose della norma come espresso in precedenza. Inoltre, il numero di allievi coinvolti nella eventuale divulgazione non è quindi quello di tutto l’istituto, ma deve essere diviso per i tre ordini di scuola ed è molto più limitato (…) Si sottolinea ancora che l’identificazione, come ribadito nella precedente memoria, risulta quasi impossibile e qualora dovesse verificarsi tale rischio risulterebbe davvero bassissimo perché presupporrebbe la conoscenza degli elenchi degli allievi di ciascun ordine di scuola che non sono noti a tutti. Non sarebbe possibile neanche conoscere a memoria i nomi di tutti gli studenti dell’istituto perché non vengono forniti gli elenchi delle classi per poi ricostruirli secondo iniziali che, come riportato non sono definitivamente identificative del singolo, ma possono far capo a più persone”;

- “risulta dunque evidente che il contenuto del reclamo ed i fatti e valutazioni effettuate dal Dipartimento non riescono a descrivere una condotta connotata da offensività e di effettiva violazione delle disposizioni sul trattamento dei dati personali, ma solo un timore basato su una mera “verosimiglianza”: fossimo qui nell’ambito di un procedimento penale, verrebbe quasi da parlare di “reato di sospetto” e, sulla base di un mero sospetto, pare francamente eccessivo ed irragionevole - e con ricaduta abnorme – propendere per l’adozione dei provvedimenti sanzionatori di cui all’art. 58, paragrafo 2 del Regolamento, tenuto conto, peraltro, che in nessun altra occasione la sottoscritta è risultata destinataria di contestazioni di violazioni della normativa di cui trattasi. Da ciò discende l’irrilevanza e l’infondatezza delle doglianze sollevate, attesa l’inidoneità della condotta di rivelare condizioni di salute, di identità fisica, fisiologica, dati genetici, biometrici, psichici, economici, culturali o sociali, l’origine e l’opinione politica, ecc.”;

- “l’eventuale eccedenza e/o illegittimità del trattamento non può essere riconducibile ad una condotta dolosa della scrivente dirigenza: non si ravvisa la sussistenza di coefficienti psichici reali (l’intenzione, la previsione e la volontà) che caratterizzano l’elemento soggettivo del dolo, inteso quale proiezione della volontà dell’agente verso la produzione dell’evento dannoso. In capo alla scrivente non vi è stata alcuna volontà elusiva della normativa in materia di protezione dei dati personali. L’eventuale natura della violazione è evidentemente colposa in quanto dovuta a mero errore materiale. Si tiene in ogni caso a precisare che l’animus agendi della sottoscritta è sempre stato improntato al massimo riserbo nella diffusione delle informazioni ed ispirato ai noti criteri di cui all’art. 3 che sancisce il principio di minimizzazione dei dati, il quale viene declinato in due direzioni: Principio di necessità: il trattamento dei dati deve essere effettuato solo quando necessario, privilegiando, al massimo, l’uso di dati anonimi; 2. Principio di essenzialità dei dati personali utilizzati: devono essere utilizzati soltanto i dati indispensabili per il perseguimento del fine – lecito e dichiarato – connesso al trattamento”;

- “quanto oggetto di segnalazione/reclamo ha avuto carattere episodico e assolutamente contingente, per tutte le ragioni sopra esposte”;

- “con riguardo all’individuazione e concessione delle circostanze attenuanti si sottolinea nel caso di specie l’unicità della doglianza, non avendo la scrivente dirigenza ricevuto altri riscontri negativi ed essendo stata coinvolta per la prima volta, in tanti anni di integerrima attività, in questo tipo di problematiche. Attesa quindi l’assenza di precedenti sanzioni e segnalazioni con riguardo al trattamento dei dati personali, tenuto altresì conto del ruolo professionale rivestito, la scrivente si è subito messa a disposizione e prestato piena collaborazione al fine di far pervenire alla luce la verità senza nulla nascondere a codesta spettabile Autorità”.

Nel corso dell’audizione, tenutasi in data XX, l’Istituto scolastico ha altresì dichiarato: “si precisa che non ci sono state più violazioni, il tutto è riconducibile ad un unico episodio, la comunicazione è stata inviata a tre ordini di scuola differenti, ma comunque ad un numero ristretto di persone che erano già a conoscenza delle informazioni o che erano impossibilitate a risalire alle stesse. L’invio della circolare unica si è verificata per adempiere ad obblighi istituzionali, la normativa relativa ai GLO è stata modificata in corso dell’anno. Non c’era volontà dell’invio, la normativa relativa alla privacy viene rispettata con attenzione dall’Istituto, è stato coinvolto anche il DPO (…). Quando si invia una circolare a tutti si utilizzano indirizzi collettivi (es.@docenti), quindi se avessi voluto inviare la comunicazione a tutti avrei utilizzato questi indirizzi. Nel caso di specie l’invio è stato fatto per errore, per fretta, i tempi erano talmente ristretti rispetto alle disposizioni ricevute che è stato fatto un invio non premeditato e non intenzionale. Non c’era volontà di eludere la normativa in materia di protezione dei dati personali. Le persone alle quali è stata inviata la comunicazione erano già a conoscenza dei dati o impossibilitati ad accedere agli stessi perché non conoscevano tutti gli elementi riconducibili agli interessati (elenchi di nomi e cognomi degli studenti della classe). Nella scuola esistono altri organismi quali il GLI che è un gruppo operativo collettivo di Istituto (composto dai rappresentanti dei genitori disabili, delle Istituzioni, dei medici, dei docenti), è organo apicale che non è stato destinatario delle informazioni in esame. Non ci sono state conseguenze, denunce, o alcun contenzioso. Non sono pervenute segnalazioni ulteriori né dai genitori né dagli organismi apicali sopra menzionati, né c’è stata alcuna conseguenza dell’invio della circolare. Nel documento PAI che viene redatto annualmente non è stata sentita l’esigenza di inserire alcunché rispetto alle prassi utilizzate dalla scuola. Adattare misure di pseudonimizzazione non è semplice per un Istituto scolastico ma l’Istituto si sta già operando in tal senso, ovvero con la sostituzione del nome dello studente con un codice. La chiave di codifica verrebbe consegnata in busta chiusa agli studenti e ai docenti. Spesso l’Istituto organizza corsi sulla protezione dei dati personali rivolti al personale”.

3. Normativa applicabile.

3.1 Il quadro normativo.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che l’ Istituto ha inviato, in diverse occasioni, il calendario delle riunioni del GLO, recanti l’indicazione delle iniziali del nome e del cognome di tutti gli alunni interessati distinti per classe, a tutti i docenti, alunni e genitori nonché al personale sanitario invitati a partecipare alle riunioni del GLO previste per le giornate indicate dal calendario.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la convocazione di una riunione del GLO per l’inclusione scolastica, prevista dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno per il quale viene convocata.

Si rappresenta inoltre che l’Autorità ha tradizionalmente chiarito che “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online. Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato (…)” (cfr. Provvedimento 15 maggio 2014, n. 243 recante “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, in part. par. 3).

Le informazioni relative alla convocazione del richiamato gruppo di lavoro, recanti l’indicazione del nominativo o delle iniziali del nome e cognome dell’alunno per il quale sono state organizzate, possono essere comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. art. 9, comma 10, d.lgs. 13 aprile 2017, n. 66; cfr. Provvedimento 28 aprile 2022, n. 148, doc. web 9777156).

Ciò premesso, pur tenendo conto della volontà dell’Istituto, titolare del trattamento, di non rendere identificabili gli alunni sostituendo il nominativo con le iniziali del nome e cognome, si rileva che le informazioni relative alla convocazione del richiamato gruppo di lavoro sono idonee a rendere note informazioni sullo stato di salute dei soggetti interessati (cfr. Provvedimento 12 maggio 2022, n. 175 doc. web n. 9781912). Del resto, “per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; sulla identificabilità delle iniziali cfr. anche Provvedimento 2 marzo 2023, n. 65, doc. web n. 9874480; Provvedimento 25 febbraio 2021, n. 68, doc. web n. 9567429; Provvedimento 2 luglio 2020, n. 118, doc. web n. 9440025; Provvedimento  2 luglio 2020, n. 119, doc. web n. 9440042).

Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che i genitori, i docenti e il personale sanitario potessero essere comunque “già resi noti e/o appresi anche in via informale o generica” nella comunità scolastica.

Alla luce delle considerazioni che precedono, l’Istituto ha reso edotti le famiglie degli interessati, il corpo docente e alcuni professionisti sanitari in merito alle informazioni relative allo stato di salute degli alunni (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a) del Codice).

Per tali ragioni l’Istituto ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Istituto, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019, non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché degli artt. 2-ter e 2-sexies del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate – artt. 5, 6 e 9 del Regolamento nonché degli artt. 2-ter e 2-sexies del Codice - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la comunicazione di dati ha riguardato molteplici alunni (cfr. art. 83, par. 2, lett. a), del Regolamento);

- con specifico riguardo al profilo soggettivo della violazione la stessa è avvenuta per errore, in quanto l’Istituto ha agito nella convinzione di aver reso gli interessati non identificabili (art. 83, par. 2, lett. b), del Regolamento);

- riguardo alle categorie di dati personali comunicati sono comprese categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni si devono considerare, altresì, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

-    il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);

- l’evento si è verificato per errore in quanto il Dirigente scolastico ha dovuto, in un breve arco temporale, fornire indicazioni ai docenti in merito alla recente modifica della normativa inerente allo svolgimento del GLO e alla redazione del PEI (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille/00) per la violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la comunicazione alle famiglie degli interessati, il corpo docente e alcuni professionisti sanitari di informazioni relative allo stato di salute di molteplici alunni.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dall’Istituto Comprensivo Statale “Corso Matteotti” nei termini di cui in motivazione, per la violazione degli artt. 5, 6 e 9 del Regolamento nonché degli artt. 2-ter e 2-sexies del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto Comprensivo Statale “Corso Matteotti” di Alfonsine (RA) con sede in via Murri n. 26 - 48011 - Codice Fiscale: 80101290395, di pagare la complessiva somma di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Istituto Comprensivo Statale “Corso Matteotti” di Alfonsine (RA):

- di pagare la complessiva somma di euro 1.000,00 (mille/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10097324
Data
27/11/24

Argomenti

Dati sanitari Scuola Studenti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (8)