[doc. web n. 10008585]

Provvedimento del 7 marzo 2024

Registro dei provvedimenti
n. 136 del 7 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo

Con reclamo presentato dall’avv. XX, in nome e per conto dei genitori di diciotto alunni frequentanti la classe 3°, sez. A, della scuola primaria Villa Sciarra, dell’Istituto comprensivo di Frascati (di seguito anche solo “Istituto” o “scuola”), è stata lamentata la presunta violazione della disciplina in materia di protezione dei dati personali, nell’ambito della realizzazione di un progetto di ricerca scientifica, denominato “le competenze sociali in età scolare: correlati cognitivi, emotivi e comportamentali” e volto “a studiare i correlati sottostanti lo sviluppo di competenze relazionali in età scolare”, condotto dalla Cattedra di psicologia dello sviluppo e dell’educazione della Facoltà di Scienze politiche, sociologia, comunicazione, dell’Università degli Studi di Roma La Sapienza (di seguito “Università” o “Ateneo”), presso il predetto Istituto.

In particolare, è stato segnalato che in data XX, sono stati somministrati ai predetti alunni tre questionari, seguiti da un colloquio personale con la maestra XX (definita nel reclamo come “incaricata della ricerca da parte della scuola”) e con la dottoressa XX ricercatrice dell’Università La Sapienza di Roma, volti ad effettuare uno screening sull’età evolutiva. In tale ambito sono state altresì raccolte informazioni relative alla vita sessuale dei giovani partecipanti (di età compresa tra i 7 e gli 8 anni), alcuni dei quali sarebbero stati anche turbati dell’invasività delle domande ricevute. Ci si riferisce, in particolare, al colloquio e al terzo test di nome “Erickson TSCC formato da 54 moduli di risposta a scelta multipla (…) volto ad evidenziare possibili situazioni di abusi sessuali o fisici subiti dai bambini”.

E’ è stato, altresì, rappresentato che, a fronte dell’asserito (da parte della Preside dell’Istituto) anonimato dei dati trattati, sono state sottoposte agli studenti delle “schede dati” per la raccolta di: “sigla (inziali, cognome e nome); età e sesso del bambino; professione, titolo di studio ed età del padre; professione, titolo di studio ed età della madre; numero di fratelli e sorelle ed età degli stessi” e che “i test riportavano, in alto a sinistra, un codice identificativo scritto a matita (formato da un numero e due o tre lettere) riportato anche nella scheda dati”.

Le circostanze sopra descritte hanno determinato la preoccupazione e il risentimento dei genitori degli alunni arruolati nel richiamato progetto di ricerca che, a seguito di svariate interlocuzioni con l’Istituto, hanno richiesto la restituzione dei test.

Successivamente, d’accordo i genitori istanti, i moduli recanti i test degli studenti sono stati messi -alla presenza di quattro genitori- “in busta chiusa” e depositati nella cassaforte dell’Istituto “fino al ritorno della Preside”, assente per motivi istituzionali.

In seguito all’ottenimento di ulteriori chiarimenti in merito alla tipologia di test sottoposti agli studenti e alle modalità di compilazione degli stessi, “ciascun genitore produceva (…) una formale richiesta di restituzione del test del proprio figlio ai sensi dell’articolo 7 del d.lgs. 196/2003, indicando il codice identificativo personale. Tutte le istanze venivano protocollate con lo stesso numero di protocollo (prot. n. XX)”.

A tale istanza hanno fatto seguito quelle del XX (prot. XX) e del XX (prot. n. XX) presentate dalla rappresentante di classe, al fine, rispettivamente, di avere un incontro con la Preside e di ottenere che l’apertura del pacco sigillato contenente i test del progetto di ricerca fosse effettuata in presenza “delle persone che avevano firmato il pacco”.

Al termine di una reiterata serie di istanze volte ad ottenere copia del verbale di riapertura dei plichi, di colloqui personali e/o di gruppo con i responsabili del progetto e di restituzione dei test, in data XX, la dirigente scolastica ha denegato l’istanza di accesso e di restituzione dei test in ragione del presunto anonimato delle informazioni raccolte (nota prot. n. XX).

È stato, infine, evidenziato che, a seguito degli esposti presentanti ai competenti uffici del Ministero dell’Istruzione, dell’Università e della Ricerca, “in data XX alcuni ispettori del Miur si sono recati presso la Scuola [...] questi abbiano ritirato dalla preside XX il plico dei questionari, trattenendolo in custodia”.

2. L’attività istruttoria

L’Ufficio ha avviato un’istruttoria in relazione al richiamato reclamo, nell’ambito della quale sono state formulate due richieste di informazioni all’Università e all’Istituto Scolastico, ai sensi dell’art. 157 del Codice, volte ad ottenere ulteriori elementi di valutazione rispetto alla doglianza pervenuta (note del XX, prot. n. XX e del XX, prot. n. XX).

In tale sede, l’Università, con nota del XX (prot. n. XX), ha rappresentato, ai sensi dell’art. 168 del Codice, in particolare che la dott.ssa XX oltre ad essere una ricercatrice dell’Ateneo era anche il responsabile del progetto di ricerca e, riportando le dichiarazioni della stessa, ha evidenziato che:

- previa adesione da parte dell’Istituto comprensivo di Frascati e approvazione del Collegio dei docenti, “così come previsto dalla procedura per i rapporti di collaborazione ai fini di ricerca, è stata fatta richiesta di consenso ai genitori a garanzia del trattamento dei dati in modo assolutamente anonimo e per esclusivi fini di ricerca”;

- sono stati, pertanto, acquisiti i “consensi” dei genitori degli alunni coinvolti nella ricerca;

- la ricerca, accanto alla somministrazione di test, si completava con “una scheda anamnestica anch’essa anonima” attraverso la quale “è stato richiesto di indicare età e genere degli alunni, età, titolo di studio e professione dei genitori”;

- “ogni test è stato esclusivamente siglato in modo da garantire la non riconoscibilità dei bambini”;

- “il separation anxiety test (...) è stato somministrato individualmente e associato in egual modo in via anonima alle altre scale self report per mezzo della medesima sigla”;

- “al termine della somministrazione sono stati creati pacchetti di test con la stessa sigla, che li rende del tutto anonimi e che fa sì che le risposte non possano essere associate ai singoli bambini. In altri termini le sigle presenti sui test hanno avuto lo scopo di fare abbinare, sempre in modo anonimo, le diverse batterie di test tra loro, senza tuttavia alcun tipo di riconducibilità al soggetto minore”;

- “nessuno pertanto, tanto meno la dott.ssa XX, ha mai preso visione delle risposte fornite dagli alunni (...) i cui plichi sono rimasti per tutto il tempo sigillati e custoditi presso la presidenza dell’Istituto per impedirne l’accesso a terzi. I plichi, inoltre, non potevano essere restituiti ai genitori poiché le sigle erano associate solo alle tipologie dei test e giammai al nome e cognome degli alunni”;

- “i test sono stati resi in formato del tutto anonimo e [...] nessuno ha potuto estrapolarne i risultati, né tanto meno è possibile ricondurre un test ad un singolo alunno, trattandosi di indagine anonima di valutazione collettiva”;

- “i test, ovviamente, non sono stati utilizzati da parte dell’allora laureanda insegnate (ndr. prof. XX) presso la scuola di Frascati essendo stato cambiato subito l’argomento della propria tesi”;

Successivamente l’Università, con nota del XX (prot. n. XX), oltre a quanto già rappresentato, ha precisato che:

- “la vicenda (…) trae origine dalla richiesta della laureanda XX, insegnante presso l’Istituto (…), di svolgimento di una tesi di laurea triennale sperimentale in Sociologia con la dott.ssa XX. (…) La somministrazione dei test, (…) è avvenuta da parte degli insegnanti della scuola”;

- “in ragione del venir meno del consenso da parte dei genitori, i risultati dei test non sono mai stati consegnati all’Università e alla laureanda né utilizzati dalla stessa”;

- “i test consegnati dalla dott.ssa XX alla laureanda sono stati somministrati in formato anonimo agli alunni della Scuola. (…) In altri termini, per il personale di Ateneo e, in particolare, per la dott.ssa XX e per la laureanda, le informazioni raccolte presso l’Istituto, attraverso la somministrazione dei test agli alunni della scuola non erano associabili ad alcun interessato. Per il personale dell’Università, pur presente alla somministrazione dei test, non sarebbe stato in alcun modo possibile identificare i soggetti interessati, neanche attraverso una successiva operazione di collegamento ad eventuali ulteriori informazioni disponibili, in quanto l’elenco degli studenti e il registro di classe non sono mai entrati nella materiale disponibilità della dott.ssa XX e della laureanda. È importante precisare, tra l’altro, che le stesse non hanno mai conosciuto l’identità dei bambini;

- (...) il criterio per la numerazione dei questionari è stato definito dall’insegnante che ha somministrato i test alla classe. Tale criterio non avrebbe in alcun modo permesso al personale dell’Ateneo di avere contezza dell’identità degli alunni. I 4 test sopra specificati sono stati somministrati agli alunni separatamente, ciò significa che il test numero 1 è stato somministrato in gruppo all’intera classe e solo successivamente, al ritiro del test n. 1, è stato somministrato il test n. 2 e così via. Pertanto, il criterio utilizzato dall’insegnante per la numerazione dei test ovvero l’attribuzione di un numero progressivo unitamente alla prima lettera del nome e del cognome di ciascun alunno, comunque non apposti dal personale dell’Università, ha avuto il solo e unico fine di permettere il corretto abbinamento, sempre in modo anonimo, delle diverse batterie di test tra loro (abbinamento delle batterie nn. 1, 2, 3 e 4), senza alcun tipo di riconducibilità al soggetto minore (…)”;

- “(...) la Sapienza non è a conoscenza delle istruzioni fornite da parte dell’Istituto comprensivo di Frascati Scuola Primaria Villa Sciarra al personale autorizzato alla somministrazione dei test e ai relativi trattamenti dei dati”;

- il personale dell’Ateneo non ha potuto effettuare il trattamento dei dati raccolti tramite la somministrazione dei test e che, in ogni caso, nell’attività di ricerca è sempre stata rispettata la normativa vigente in materia di protezione dei dati personali e le vigenti regole deontologiche. Come già rappresentato, infatti, le previsioni delle regole deontologiche sono state sostanzialmente rispettate (…). Preme, inoltre, rilevare che le richiamate “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” (doc. web n. 9069637) sono state implementate e pubblicate sulla Gazzetta Ufficiale n. 11 del 14 gennaio 2019 (registro dei provvedimenti n. 515 del 19 dicembre 2018) e, quindi, in data successiva agli avvenimenti in argomento risalenti al XX, fermo restando il rispetto delle regole precedentemente vigenti. Infine, nella denegata ipotesi in cui codesta Autorità non dovesse condividere le motivazioni sopra illustrate, è doveroso precisare che, ai sensi dell’art. 22, comma 13, del D.Lgs. n. 101/2018 di adeguamento del Codice privacy al Regolamento europeo 2016/679, “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione di dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative […] della fase di prima applicazione delle disposizioni sanzionatorie”. La circostanza in esame, essendosi verificata in data XX rientrerebbe, pertanto, nella fase di moratoria di cui alla citata disposizione normativa.

Merita in questa sede richiamare altresì i riscontri dell’Istituto scolastico che, con nota del XX (prot. n. XX), anche secondo quanto emerge dalla documentazione allegata, ha rappresentato, in particolare, che:

- il Collegio dei docenti del XX ha approvato la partecipazione al richiamato progetto di ricerca “senza nessuna analisi approfondita” dello stesso;

- la prof.ssa XX, non docente della classe coinvolta nella ricerca, è stata nominata dall’Istituto referente interna del progetto, occupandosi dell’”apposizione, in cima ad ogni test della sigla e del numero progressivo, lo stesso riportato sulle schede di osservazione del comportamento dei bambini redatto” dalla prof.ssa XX, supervisionando alla somministrazione dei test il giorno XX;

- i test sono stati compilati con la supervisione e il supporto, altresì, delle prof.sse XX e XX;

- ai test, per un’ulteriore analisi, sono seguiti colloqui individuali, alla presenza della prof.ssa XX e della dott.ssa XX, con la proiezione di immagini stampate raffiguranti la famiglia;

- conclusasi la fase di rilevazione dei dati, i test sono stati imbustati, sigillati e conservati presso i locali dell’Istituto scolastico;

- a seguito della richiesta di sospensione della somministrazione dei test, avanzata tramite la rappresentante di classe dei genitori degli alunni arruolati, la ricerca è stata interrotta;

- in riscontro alle svariate istanze di restituzione dei test avanzate da alcuni dei genitori coinvolti, l’Istituto scolastico ha rappresento che, trattandosi di test somministrati in forma anonima, non era possibile consegnare quanto richiesto (cfr. ad esempio, nota del XX, prot. XX);

- in data XX il plico è stato consegnato al collegio ispettivo del Miur (allegato n. 28 verbale di consegna);

- “sono stati rispettati tutti gli articoli previsti per la condizione di liceità della legge 679/2016 e sono state acquisite le liberatorie (…);

- “in merito alla limitazione della conservazione, il plico successivamente in data XX è stato consegnato al collegio ispettivo (…)”;

- “gli interessati hanno espresso il consenso al trattamento dei propri dati per la specifica finalità”;

- “in merito alle informazioni da fornire all’interessato si precisa che tali informazioni sono state acquisite secondo le finalità specifiche del progetto di ricerca scientifica condotto” dall’Università”;

- “il titolare del trattamento dei dati dell’IC di Frascati non ha mai avuto intenzione alcuna di trattare i dati acquisiti per finalità diverse da quelle del progetto presentato dall’Università”.

L’Istituto scolastico, inoltre, con nota del XX (Prot. XX) ha evidenziato di aver proceduto a fare richiesta alla responsabile del progetto che ha riconfermato che le “rilevazioni su base di anonimato avevano una sigla alfanumerica progressiva che non dava nessun tipo di indicazione certa per la restituzione”. È stato, inoltre, confermato che “essendo stato tutto secretato e preso in carico dal collegio ispettivo” risulta impossibile “collegare i test a i diversi soggetti”.

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5 del Codice

Sulla base degli elementi acquisiti l’Ufficio ha notificato ai sensi dell’art. 166, comma 5, del Codice, all’Università degli Studi di Roma La Sapienza- Cattedra di Psicologia dello Sviluppo e dell’educazione della Facoltà di Scienze Politiche Sociologia e Comunicazione, in qualità di titolare del trattamento, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto è risultato accertato che l’Università, nella realizzazione del descritto progetto di ricerca, ha trattato per il tramite dell’Istituto scolastico dati personali, seppur codificati, senza aver fornito un’idonea informativa agli interessati, in assenza di un idoneo presupposto giuridico e omettendo di nominare il soggetto terzo esterno del quale si è avvalso per la somministrazione dei test (l’Istituto scolastico) quale responsabile del trattamento dei dati ai sensi dell’art. 28 del Regolamento, in violazione quindi degli artt. 5, par. 1, lett. a) 6, 9 13 e 28 del Regolamento.

L’Ateneo ha fatto pervenire le proprie memorie difensive rappresentando, in particolare, che:

- nell’ambito di uno specifico incontro, “sono state fornite informazioni attinenti alla procedura seguita per la richiesta di svolgimento della ricerca presso l’istituto Comprensivo di Frascati, alla richiesta di consenso fornita ai genitori, agli obiettivi delle ricerca alla scelta dei test [...] alle modalità di somministrazione dei test in classe e individualmente a eventuali effetti della somministrazione del materiale testologico, alla prassi prevista per il trattamento dei dati seguito dalla revoca del consenso dei genitori”;

- al momento della somministrazione dei questionari [...] non era stato ancora elaborato un protocollo da parte dell’Università per le nuove linee guida in base alle quali fornire le informazioni agli interessati in merito alle procedure di rilevazione dati e al trattamento dei dati stessi, alla stesura di un consenso informato e di un contratto di collaborazione tra le parti interessate. Tuttavia vi erano stati dei passaggi ufficiali” tra i quali la “c) sensibilizzazione circa le modalità di esercizio dei loro diritti rispetti ai trattamenti in questione; d) a valle di ciò i genitori hanno prestato il loro consenso in modo informato e adeguato”;

- “i risultati dei test non sono mai stati elaborati a seguito della somministrazione dall’Università né dalla scrivente, in quanto non appena i genitori hanno evidenziato le criticità sono stati sigillati presso l’Istituto Scolastico informando il MIUR delle modalità da eseguire, su egida del Dirigente scolastico. L’abbinamento delle sigle è stato eseguito dal personale della scuola e non dalla scrivente, rimanendo preclusa ogni possibilità di risalire al minore, non avendo avuto mai copia del registro di classe e/o di altre modalità per risalire all’Autore [...]”;

- “non corrisponde a verità che la sottoscritta [dott.ssa XX abbia partecipato ai colloqui con i minori”.

4. Esito dell’attività istruttoria

4.1 Normativa applicabile

Ai sensi del Regolamento europeo, divenuto applicabile dal 25 maggio 2018, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1), del Regolamento).
Ineriscono alle particolari categorie di dati, tra gli, quelli relativi alla salute, alla vita sessuale e all’orientamento sessuale (art. 9, par. 1 del Regolamento).

Si considerano dati personali anche quelli oggetto di una “procedura di pseudonimizzazione ossia di un trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4, par. 1. n. 5 del Regolamento).

Il trattamento dei dati personali deve avvenire nel rispetto dei principi di “liceità, correttezza e trasparenza” in base ai quali i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento).

In tale quadro, il trattamento dei dati relativi alla salute, alla vita sessuale e all’orientamento sessuale è in via generale vietato a meno che non ricorra una delle condizioni di cui all’art. 9, par. 2 del Regolamento.
Il titolare è inoltre tenuto a fornire previamente agli interessanti le informazioni sul trattamento dei dati personali (artt. 12 e 13 del Regolamento).

Il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento, sia di avere effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione (artt. 5, par. 2, 24 e 25 par. 1 del Regolamento).

In base al rinnovato quadro normativo in materia di protezione dei dati personali, si richiede, infatti, una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato. In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo.

In base al Regolamento, inoltre “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del (...) Regolamento e garantisca la tutela dei diritti dell'interessato”. “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. (...) “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione” (art. 28, par. 1, 3, 10).

La normativa comunitaria prevede, infine, che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento).

In relazione alla vicenda in esame rilevano altresì le specifiche disposizioni del Regolamento e del Codice sul trattamento dei dati per scopi di ricerca scientifica (art. 89 del Regolamento e artt. 104 e ss del Codice) si richiama, pertanto, il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e scientifici (allegato A.4 al Codice) vigente all’epoca dei fatti segnalati.

A tale riguardo, si segnala che il predetto Codice di deontologia, all’art. 13 disponeva, in particolare, che i titolari del trattamento sono tenuti a porre “specifica attenzione nella selezione del personale incaricato della raccolta dei dati e nella definizione dell´organizzazione e delle modalità di rilevazione, in modo da garantire il rispetto del presente codice e la tutela dei diritti degli interessati” e che il “personale incaricato della raccolta si attiene alle disposizioni contenute nel presente codice e alle istruzioni ricevute”.

Il dato anonimizzato, al quale non si applica la disciplina in materia di protezione dei dati personali, è tale solo se non consente l’identificazione diretta o indiretta di una persona tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato. Il descritto processo, qualificato come anonimizzazione, deve pertanto impedire che si possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).
La non identificabilità degli interessati deve essere correlata pertanto all’assenza di univocità all’interno della banca dati considerata e non semplicemente alla non intellegibilità dei dati identificativi.

4.2 Valutazione in ordine al trattamento di dati personali effettuato dall’Istituto

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni del Dipartimento, risulta che, in data XX, presso l’Istituto Comprensivo di Frascati, sono stati somministrati taluni test agli alunni della classe 3°, sez. A, della scuola primaria Villa Sciarra nell’ambito del progetto di ricerca scientifica ideato dall’Università, intitolato“le competenze sociali in età scolare: correlati cognitivi, emotivi e comportamentali”, che gli alunni hanno compilato.

In via preliminare, si osserva come la realizzazione da parte dell’Ateneo, per il tramite dell’Istituto scolastico, della richiamata iniziativa di ricerca scientifica sia avvenuta senza la necessaria consapevolezza in ordine ai correlati aspetti e adempimenti di protezione dei dati personali.

Al riguardo, non può non evidenziarsi tuttavia come i fatti siano accaduti in estrema prossimità dell’entrata in vigore del Regolamento e nel contesto di una scuola elementare, sebbene specifici adempimenti fossero già richiesti dalla disciplina di settore di cui al Codice in materia di protezione dei dati personali.

Nel merito, è emerso che, per lo svolgimento di un progetto di ricerca scientifica dell’Ateneo, sono stati somministrati dei test agli alunni del richiamato Istituto, per il tramite dei docenti della scuola, preceduti dalla richiesta di un “consenso” ai genitori fornito al personale scolastico nell’ambito di un modulo predisposto dall’Università. Il modulo indicato reca il consenso del genitore a che il proprio figlio partecipi alla ricerca condotta dalla Cattedra di psicologia dello sviluppo e dell’educazione della facoltà di scienze politiche, sociologia, comunicazione dell’Università di Roma Sapienza e autorizza i componenti del team della predetta Cattedra all’utilizzo degli stessi materiali a fini di ricerca e o per eventuali pubblicazioni, fermo restando il diritto alla tutela dell’identità del partecipante [...]. Ciò al fine di salvaguardare il principio dell’adesione volontaria alla ricerca.

Rispetto al progetto l’Università ha fornito “[...] informazioni attinenti alla procedura seguita per la richiesta di svolgimento della ricerca presso l’istituto Comprensivo di Frascati, alla richiesta di consenso fornita ai genitori, agli obiettivi delle ricerca alla scelta dei test [...] alle modalità di somministrazione dei test in classe e individualmente a eventuali effetti della somministrazione del materiale testologico, alla prassi prevista per il trattamento dei dati seguito dalla revoca del consenso dei genitori”.

La raccolta dei test da parte dell’Università non è mai avvenuta in virtù della circostanza che l’Istituto scolastico ha trattenuto, fin da subito,i dati acquisiti mediante i moduli somministrati agli alunni e che, successivamente,  il  Ministero dell’Istruzione ha acquisito dallo stesso Istituto e conservato in plichi chiusi e sigillati. Inoltre è stato dichiarato che “non corrisponde a verità che la [dott.ssa XX] abbia partecipato ai colloqui con i minori” e che anzi “la Sapienza non è a conoscenza delle istruzioni fornite da parte dell’Istituto comprensivo di Frascati Scuola Primaria Villa Sciarra al personale autorizzato alla somministrazione dei test e ai relativi trattamenti dei dati”.

Risulta accertato, in altri termini, che l’Università abbia agito in qualità di titolare del trattamento, ai sensi dell’art. 24 del Regolamento, avendo effettuato le scelte in ordine alle finalità (realizzazione di un progetto di ricerca) e ai mezzi del trattamento (raccolta dei dati attraverso la somministrazione di test), pur non avendo in concreto avuto accesso diretto ai dati  personali.

A tale proposito, si sottolinea come il ruolo di titolare possa essere riconosciuto anche in capo a chi non svolge materialmente operazioni di trattamento ma effettua unicamente le scelte circa le finalità e i mezzi dello stesso (cfr. punto 44, par. 2.1.5. delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, del Comitato per la protezione dei dati del 7 luglio 2021).

Infatti, atteso che, successivamente alle doglianze dei genitori, i test compilati dai minori e comprensivi delle richiamate informazioni di carattere personale ad essi riferite non sono mai state comunicate all’Ateneo -e per esso alla dott.ssa XX -  ma anzi trattenuti in custodia dal Ministero in plichi chiusi e sigillati, l’Università non ha potuto materialmente svolgere alcuna operazione di trattamento.

Specifiche operazioni di trattamento sono state svolte, cionondimeno, dal personale scolastico, che nell’interesse e per conto dell’Università, ha contribuito nei locali dell’Istituto alla realizzazione del progetto di ricerca scientifica mediante la somministrazione dei test agli alunni, la raccolta e la successiva archiviazione degli stessi. Tali operazioni hanno avuto ad oggetto dati di carattere personale, sebbene essi non siano stati oggetto di accesso diretto neanche da parte del predetto personale scolastico.

I dati trattati, infatti, seppur oggetto di una qualche forma di pseudonimizzazione o codifica (tenuto conto della definizione di tale operazione di trattamento sopra richiamata), non possono essere considerati anonimi. Ciò, in particolare, in base a quanto emerso dalla documentazione in atti, secondo cui “il criterio utilizzato dall’insegnante per la numerazione dei test ovvero l’attribuzione di un numero progressivo unitamente alla prima lettera del nome e del cognome di ciascun alunno, comunque non apposti dal personale dell’Università”. Si aggiunga, inoltre, da un lato, che il numero progressivo attributo a ciascun test sembrerebbe coincidere con la posizione dell’alunno nell’elenco della classe, conferendo allo stesso un ulteriore elemento semantico correlabile all’interessato, e, dall’altro, che i nominativi degli studenti sono comunque disponibili nei moduli di consenso firmati dai genitori e consegnati all’Istituto.

Ebbene, l’Università in qualità di titolare del trattamento  avrebbe dovuto fornire specifiche istruzioni all’Istituto scolastico nell’ambito di un contratto o altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, individuando, in particolare, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre che gli ulteriori elementi di cui all’art. 28, par. 3 del Regolamento.

La mancata designazione della scuola quale responsabile del trattamento, nell’ingenerare l’erroneo presupposto che anche la stessa abbia lecitamente agito nelle operazioni di trattamento compiute quale autonomo titolare, anche ponendosi in tal modo nei confronti degli interessati , ha costituito un’omissione imputabile all’Università che avrebbe dovuto sin dalla progettazione dell’iniziativa di ricerca scientifica, curare le scelte in ordine ai mezzi del trattamento anche sotto il profilo organizzativo, designando la scuola quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

È agli atti, invece, che l’Ateneo non abbia fornito all’Istituto scolastico alcun tipo di istruzioni in ordine alle modalità di trattamento dei dati nell’ambito delle operazioni di somministrazione dei test e di rilevazione delle informazioni. Al riguardo è stato anzi evidenziato che:

- non si è proceduto all’adozione “di un contratto di collaborazione tra le parti interessate”;

- l’abbinamento delle sigle è stato eseguito dal personale della scuola e non dalla Università, rimanendo preclusa ogni possibilità di risalire al minore, non avendo avuto mai copia del registro di classe e/o di altre modalità per risalire all’Autore.

Le operazioni svolte, , ben avrebbero potuto essere in astratto realizzate da un soggetto terzo esterno purché esso fosse preventivamente designato quale responsabile del trattamento ex art. 28 del Regolamento.

Nonostante l’Università non abbia materialmente svolto alcun trattamento di dati personali (seppur pseudonimizzati), la circostanza che la titolarità del trattamento sia in concreto riferibile al perseguimento di scopi di ricerca scientifica propri dell’Ateneo, ne conferma il ruolo di titolare ai sensi dell’art. 24 del Regolamento. L’Università, tuttavia, non disponeva di una idonea condizione di liceità per lo svolgimento di tali trattamenti, in concreto effettuati per il tramite della scuola. L’Ateneo, infatti, non ha preventivamente acquisito dagli esercenti la responsabilità genitoriale degli alunni un consenso al trattamento dei dati effettivamente libero, informato e specifico ai sensi della normativa applicabile (artt. 6, e 9 del Regolamento). La manifestazione di volontà espressa è risultata inidonea in quanto resa nell’ambito di un modulo che, non comprendendo tutti gli elementi di cui all’ articolo 13 del Regolamento (con particolare riferimento alla corretta individuazione del titolare del trattamento, ai tipi di dati trattati, ai tempi di conservazione dei dati, all’esercizio dei diritti alla chiara rappresentazione dello scopo del trattamento), è a sua volta risultato inidoneo a tutelare l’autodeterminazione informativa degli interessati (cfr. punto 64, par. 3.3.1.delle Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, del Comitato europeo per la protezione dei dati del 4 maggio 2020). D’altro canto le famiglie non appena hanno avuto modo di meglio comprendere taluni rilevanti aspetti del progetto di ricerca hanno deciso di revocare la loro adesione.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Ateneo nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare totalmente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio nella parte in cui si rileva la violazione degli obblighi di rendere l’informativa, acquisire il consenso e designare un responsabile del trattamento ai sensi dell’art. 28 del Regolamento, allorquando il trattamento debba essere svolto da un soggetto terzo per conto del titolare.

Ciò premesso, tenuto conto che:

- l’Università non ha mai materialmente svolto alcuna operazione di trattamento di dati di carattere personale;

- il plico contenente i test somministrati agli alunni è stato sequestrato dagli ispettori del Ministero dell’istruzione;

- la violazione ha riguardato un esiguo numero di alunni e risulta essere stato un caso isolato;

- l’Ateneo ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento che siano analoghe rispetto al caso di specie;

- la vicenda ha avuto luogo pochi mesi dopo l’entrata in vigore della rinnovata disciplina introdotta dal Regolamento in materia di protezione dei dati personali;

- le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione della disposizione sopraindicata, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto i test somministrati agli alunni sono stati prontamente sequestrati dal Ministero, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità della condotta dell’Università degli Studi di Roma "La Sapienza" con sede legale Piazzale Aldo Moro 5, 00185 Roma, cf 80209930587 per la violazione degli artt. 6, 9, 13 e 28 del Regolamento; 

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Università, quale titolare del trattamento in questione, per aver violato gli artt. 6, 9, 13 e 28 del Regolamento;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei