Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Invalsi - 20 luglio 2017 [7593419]

[doc. web n. 7593419]

Ordinanza ingiunzione nei confronti di Invalsi - 20 luglio 2017

Registro dei provvedimenti
n. 326 del 20 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che è pervenuta a questa Autorità, in data 25 febbraio 2014, una segnalazione con cui veniva lamentato un illecito trattamento di dati personali posto in essere dall´Istituto Nazionale per la valutazione del sistema educativo di istruzione e formazione (di seguito "Invalsi") che avrebbe diffuso sulla rete internet, all´indirizzo http://..., dei file inviati dagli istituti scolastici, attraverso apposite maschere, nell´ambito delle prove nazionali per la valutazione degli apprendimenti per l´anno scolastico 2012/2013; tali file contengono, in forma disaggregata, dati personali, anche relativi a eventuali disabilità o presenze di disturbi specifici dell´apprendimento, di tutti i "singoli alunni delle classi terze delle scuole secondarie di primo grado di tutta Italia e delle professioni e i titoli di studio dei loro genitori";

VISTA la richiesta di informazioni formulata dall´Ufficio nei confronti dell´Invalsi (nota n. 14076/91798 del 6 maggio 2014), volta ad ottenere elementi utili alla valutazione del caso, con particolare riferimento ai presupposti normativi che "avrebbero legittimato la diffusione dei dati personali (…) e il trattamento dei dati idonei a rivelare lo stato di salute degli interessati";

PRESO ATTO del riscontro fornito dall´Invalsi con la nota del 30 maggio 2014, in cui lo stesso dichiarava, in primo luogo, di avere provveduto, in via cautelare, al blocco di accesso alla maschera per le prove 2013, impedendo così l´ulteriore diffusione di dati personali oggetto dell´accertamento, e di aver adottato delle misure specifiche volte al miglioramento dei criteri di sicurezza; con riferimento all´avvenuta diffusione dei dati personali, la parte ha evidenziato che "l´Invalsi non raccoglie in nessun caso i dati dei singoli studenti. La possibilità di associare i dati di contesto allo specifico studente esiste esclusivamente per il personale della scuola a cui lo studente appartiene (…)";

VISTA la nota dell´Ufficio del Garante del 19 febbraio 2015 (prot. n. 4837), con cui è stato accertato che i dati accessibili attraverso la rete internet, in quanto recanti una serie di informazioni idonee a risalire all´identità degli interessati, sono dati personali ai sensi dell´art. 4, comma 1, lett. b), del Codice in materia di protezione dei dati personali (di seguito "Codice") e che Invalsi ha effettuato una diffusione di dati personali, idonei a rivelare lo stato di salute degli interessati, in violazione dell´art. 22, comma 8, del medesimo Codice;

VISTO il verbale n. 10325/91798 dell´8 aprile 2015 con cui l´Ufficio del Garante ha contestato a Invalsi, con sede in Frascati (RM), Via F. Borromini n. 5, C.F. 92000450582, in persona del legale rappresentante pro-tempore, la violazione di cui all´art. 162, comma 2-bis, del Codice, in combinato disposto con l´art. 164-bis, comma 3, per aver effettuato una diffusione di dati idonei a rivelare lo stato di salute degli interessati in violazione dell´art. 22, comma 8, del medesimo Codice, informandolo della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto dall´Ufficio del Garante ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo, datato 7 maggio 2015, inviato ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha precisato che "la possibilità di risalire all´associazione tra nominativo del singolo studente e dati personali non è mai stata concretamente realizzabile per il personale esterno alla scuola (…) poiché la visualizzazione dei dati personali è legata al codice SIDI (matricola dell´anagrafe MIUR), informazione per sua natura nella sola disponibilità della scuola che è l´unica a poter associare il predetto codice SIDI con uno specifico allievo". In ogni caso, la parte ha comunicato che, a seguito del problema evidenziato, ha provveduto a proteggere con una chiave di lettura l´utilizzo della maschera elettronica per l´inserimento dei dati relativi alle prove Invalsi. Tale chiave di lettura è fornita alle singole scuole mediante una pagina web riservata, a cui le stesse possono accedere utilizzando proprie credenziali di autenticazione;

LETTO il verbale di audizione dell´8 febbraio 2016, svoltasi ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, in cui la parte, oltre a ribadire quanto già addotto nelle memorie difensive, ha precisato che la situazione, oggetto dell´accertamento condotto dall´Ufficio del Garante, è stata causata da una congestione sui server dell´Istituto dovuta al contemporaneo accesso ai servizi da parte di molti istituti scolastici. Infine, la parte ha chiesto l´eliminazione dell´aggravante di cui all´art. 164-bis, comma 3, del Codice e la possibilità di applicare la sanzione nel minimo edittale, con eventuale applicazione dell´attenuante di cui all´art. 164-bis, comma 1;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Diversamente da quanto prospettato nella memoria difensiva di Invalsi, infatti, in base all´accertamento preliminare condotto dall´Ufficio e documentato in atti, è stato verificato che, sul sito web dell´Invalsi era facilmente consultabile un file in formato excel, all´interno del quale, inserendo il codice meccanografico identificativo di ciascuna scuola e altre informazioni (quali nome e cognome di fantasia o voto conseguito), era possibile accedere alle maschere contenenti dati personali, anche relativi allo stato di salute, idonei a identificare indirettamente gli studenti che frequentavano le classi coinvolte nelle cd. "prove Invalsi". In particolare, la consultazione di tali maschere ha permesso di conoscere, per ciascuno studente, iniziali di nome e cognome, luogo, mese e anno di nascita, sesso, informazioni relative ai genitori (laddove conferite) e eventuale disabilità, permettendo, quindi, di risalire "indirettamente" all´identità degli interessati. Contrariamente a quanto ritenuto dalla parte, la circostanza che non fosse possibile associare i dati personali, presenti in rete, al nominativo del singolo studente non esclude che si sia configurato, nei termini sopra illustrati, un trattamento di dati personali ai sensi dell´art. 4, comma 1, lett. a) e b), del Codice, in base al quale è "dato personale" "qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione (…)". Più precisamente, la possibilità di risalire all´identità degli interessati, mediante la consultazione on line di informazioni (messe a disposizione dell´Invalsi) anche relative allo stato di salute degli interessati, ha determinato la configurabilità di una condotta illecita, riconducibile alla fattispecie dell´art. 22, comma 8, del Codice, ovvero una diffusione di dati idonei a rivelare lo stato di salute che è vietata dalla normativa. Va, infine, considerata la circostanza che i dati personali oggetto di diffusione hanno riguardato tutti gli alunni delle classi terze delle scuole secondarie di primo grado di tutta Italia; dato, quindi, il coinvolgimento di numerosi interessati, si conferma l´applicazione dell´aggravante di cui all´art. 164-bis, comma 3, del Codice;

RILEVATO, pertanto, che Invalsi, in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice, ha pubblicato sul proprio sito web un file, contenente dati personali, anche idonei a rivelare lo stato di salute, riferiti a tutti gli studenti che hanno partecipato alle cd. "prove Invalsi" per l´anno 2013, realizzando una diffusione di dati idonei a rivelare lo stato di salute, in violazione dell´art. 22, comma 8, del Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui all´art. 22, comma 8, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 164-bis, comma 3, del Codice che stabilisce che quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicati in misura pari al doppio;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, della gravità della violazione, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della stessa, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione risulta caratterizzata dalla circostanza che sono stati diffusi dati, idonei a rivelare lo stato di salute, riferiti a un rilevante numero di interessati;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che Invalsi, già nel corso del procedimento amministrativo relativo all´istruttoria, ha dichiarato di aver apportato le modifiche necessarie a evitare il ripetersi di situazioni tali da configurare un illecito trattamento di dati personali;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la parte non risulta gravata da precedenti procedimenti sanzionatori;

d)  in merito alle condizioni economiche dell´agente, trattasi di ente pubblico;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, l´ammontare delle sanzioni nella misura di euro 40.000,00 (quarantamila) per la violazione di cui all´art. 162, comma 2-bis;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

ad Invalsi, con sede in Frascati (RM), Via F. Borromini n. 5, C.F. 92000450582, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia