[doc. web n. 9576756]

Ordinanza ingiunzione nei confronti di Istituto Comprensivo Villanova D’Asti - 27 gennaio 2021

Registro dei provvedimenti
n. 28 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con reclamo del XX, regolarizzato in data XX, presentato ai sensi dell’art. 77 del Regolamento, la sig.ra XX ha lamentato la pubblicazione online di alcune graduatorie del XX, da parte di due Istituti scolastici - Istituto Comprensivo Statale di Villanova d’Asti e Primo Circolo Asti - contenenti i dati personali, tra cui i numeri di telefono, l’indirizzo di residenza, l’indirizzo e-mail e l’indicazione del numero di figli, di tutti coloro presenti in graduatoria.

2. L’attività istruttoria.

Dall’istruttoria preliminare, effettuata dall’Ufficio in data XX, è emerso che, utilizzando il motore di ricerca www.google.com, veniva restituito un collegamento al sito web dell’Istituto Comprensivo Villanova D’Asti, con la seguente descrizione: “XX”. Selezionando la relativa voce risultava visibile e liberamente scaricabile, alla url http://..., la “XX”, contenente i dati personali di circa 130 interessati. Non è stato invece restituito alcun risultato con riguardo alla medesima ricerca effettuata nei confronti dell’Istituto Primo Circolo Asti.

Sulla base degli elementi acquisiti l’Ufficio ha notificato all'Istituto Comprensivo Villanova D’Asti (nota prot. XX del XX), in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha riscontrato che l’istituto scolastico ha pubblicato sul sito web istituzionale, e indicizzato sui motori di ricerca, la graduatoria, pubblicata ai sensi dall'art. 5 del Decreto del Ministro della Pubblica Istruzione 13 giugno 2007, n. 131 (Regolamento per il conferimento delle supplenze al personale docente ed educativo ai sensi dell'articolo 4 della legge 3 maggio 1999, n. 124), contenente i dati personali della reclamante e di altri docenti, non necessari rispetto alla finalità di assicurare la pubblicità della graduatoria.

L'Ufficio ha inoltre rilevato che, nei campi denominati "XX", risultavano riportate, tre le altre, alcune sigle alfabetiche, tra cui la lettera "XX", riferita a un solo interessato. Tale lettera, secondo quanto riportato nell'allegato 6 (codici preferenze) del Decreto del Ministero dell' Istruzione Università e Ricerca del 1 aprile 2014, n. 235 (Aggiornamento delle graduatorie ad esaurimento del personale docente ed educativo, valevoli per il triennio scolastico 2014/15, 2015/16 e 2016/17), nonché nei modelli di domanda relativi alla inclusione nelle graduatorie di circolo e d'istituto per il medesimo triennio scolastico, allegate al D.M.22 maggio 2014, n. 353 (vedi anche art. 5, comma 4 del D.P.R. 9 maggio 1994 n.487), individua la categoria degli "invalidi e mutilati civili".

In particolare l’Ufficio ha ritenuto che la pubblicazione della predetta graduatoria sia avvenuta in assenza di un idoneo presupposto normativo, in violazione degli art. 6, par. 1, lett. c) ed e), parr. 2 e 3, lett. b) del Regolamento, nonché dell’art 2-ter, commi 1 e 3 del Codice e, in violazione del divieto di diffusione dei dati sulla salute, dell’art. 2-septies, comma 8 del Codice e dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” del trattamento, dell’art. 5, par. 1, lett. a) e c), del Regolamento.

L’istituto ha fatto pervenire le proprie memorie difensive, con note del XX e del XX rappresentando, in particolare, che:

- l’oggetto del reclamo riguardava “una graduatoria temporanea del XX, rimasta pubblicata sul sito icvillanovasti.gov.it dal XX per pochi giorni (fino alla pubblicazione della definitiva) contenente dati personali tra cui numero di telefono, mail del docente e numero di figli”;

- “la graduatoria era stata correttamente già rimossa dal sito nel XX ma il file era rimasto raggiungibile tramite google. Il vecchio sito (www.icvillanova.gov.it) era stato dismesso e sostituito da https://icvillanovasti.edu.it/, ma restava attivo un link che rinviava ad esso”;

- “si è provveduto in data XX a rimuovere detto file e a rendere inaccessibile tutto il vecchio sito per effettuare ulteriori controlli. […] Si è provveduto infine con google a richiedere la rimozione dall'indicizzazione in modo che non compaiano più link a detto file”;

- “la graduatoria provvisoria era stata rimossa correttamente dal sito nell’agosto XX a seguito della pubblicazione della graduatoria definitiva, e che per ritrovare quel file, […] l’operazione dovesse essere effettuata da qualcuno già in possesso del numero di telefono in oggetto o dell’email della docente interessata”;

- in data XX è stata fatta segnalazione […] al Garante attraverso il “modulo segnalazione al Garante data breach” […] e si è provveduto, come da normativa, a informare i docenti che erano nella graduatoria oggetto di erronea pubblicazione, del problema e della sua risoluzione […]. L’accaduto è stato inserito nel “registro data breach” dell’Istituto Comprensivo Villanova.

3. Normativa applicabile.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), il trattamento di dati personali da parte di soggetti pubblici, come codesto Istituto, anche quando operano nell’ambito di procedure concorsuali e selettive del personale, è lecito, in particolare, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) del Regolamento).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali, come la pubblicazione in Internet, in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c)).

In ogni caso, resta assolutamente vietata la diffusione di dati relativi alla salute (art. 9, parr. 1, 2 e 4, del Regolamento, art. 2-septies, comma 8, del Codice, ossia di “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15; considerando n. 35 del Regolamento).

Con particolare riferimento alla pubblicazione delle graduatorie, inoltre, il Garante nel provvedimento n. 243 del 15 maggio 2014 (doc. web n.3134436) recante le "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" con riferimento alla pubblicità degli esiti delle prove concorsuali e delle graduatorie finali ha evidenziato che “devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati. Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l'indirizzo di residenza o di posta elettronica, il codice fiscale, l'indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio), né quelli concernenti le condizioni di salute degli interessati (cfr. art. 22, comma 8, del Codice )iví compresi i riferimenti a condizioni di invalidità, disabilità o handicap fìsici e/o psichici" (cfr. parte seconda par. 3.b.). In maniera analoga il Garante si era espresso nel provvedimento n. 23 del 14 giugno 2007, recante “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico"(in www.gpdp.it, doc. web n. 1417809) evidenziando che: “Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale.”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati degli interessati, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto inizio con la pubblicazione della graduatoria sul sito www. icvillanovasti.gov.it il XX. Sebbene il sito www.icvillanova.gov.it era stato dismesso e sostituito da https://icvillanovasti.edu.it/ , restava attivo un link che rinviava ad esso, per cui la violazione dei dati personali, che ha determinato la diffusione online degli stessi, si è protratta fino al XX, data in cui la graduatoria è stata rimossa e ne è stata richiesta la deindicizzazione.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio, e si rileva l'illiceità del trattamento di dati personali effettuato dall’ Istituto Comprensivo Statale di Villanova d’Asti, per aver diffuso, mantenendo online la graduatoria di Istituto relativa ai docenti (circa 130), recanti in chiaro, oltre ai dati identificativi degli interessati, anche dati personali non necessari rispetto alle finalità perseguite con la pubblicazione della graduatoria, riguardanti la reclamante e tutti i docenti inseriti nelle predette graduatorie, (codice fiscale, indirizzo di residenza, numero di telefono fisso e mobile, indirizzo email, numero di figli, codici di preferenza) determinando un'indebita diffusione di dati personali (cfr. con riguardo alla pubblicazione di dati non pertinenti contenuti in graduatorie scolastiche, Provv. 6 giugno 2013, n. 275, doc. web n. 2536184, 2536409 e 2535862), in violazione degli artt. 6, paragrafo 1, lett. c) ed e), del Regolamento e 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento.

Risulta accertato inoltre che, nella stessa graduatoria, fossero contenuti dati relativi alla salute, pur se relativi a un unico interessato. Infatti, l'indicazione della lettera "XX" accanto al nominativo di un interessato, fornisce informazioni relative allo stato di salute dello stesso, ancorché attraverso la consultazione dell'allegato 6 al decreto del MIUR del 1aprile 2014, n. 235, e/o dei modelli di domanda relativi alla inclusione nelle graduatorie di circolo e d'istituto, allegate al D.M. 22 maggio 2014, n. 353, in violazione del generale divieto di diffusione dei dati sulla salute (art.2-septies del Codice; art. 9 del Regolamento). Tali principi sono stati recentemente confermati dal Garante (cfr., in particolare, Provv. 30 gennaio 2020, n. 21, doc. web. n. 9283014, Provv. 6 febbraio 2020 n. 27 doc. web. n. 9283029, Provv. 12 marzo 2020 n. 50 doc. web n. 9365159).

Per tali ragioni si ritiene quindi che la pubblicazione della “XX” del XX, contenente i dati di circa 130 interessati, sia avvenuta:

a) in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1, lett. a) e c) del Regolamento;

b) in assenza di un presupposto normativo per la pubblicazione di taluni dati personali quali codice fiscale, numero di telefono, indirizzo di residenza, indirizzo e-mail, numero di figli e codici di preferenza, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice;

c) in violazione del divieto di diffusione di dati relativi alla salute (art. 9, parr. 1, 2, 4, del Regolamento e art. 2-septies, comma 8, del Codice).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l'Istituto scolastico ha dichiarato di aver provveduto a rimuovere la graduatoria dal vecchio sito della scuola e a richiedere la deindicizzazione (v. nota del XX), non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Occorre altresì tenere conto che, seppure i documenti oggetto del reclamo sono stati pubblicati prima della data di piena applicazione del Regolamento, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il Regolamento è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online si è protratta almeno fino alla data in cui la graduatoria è stata rimossa (4 marzo 2020).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali, tra cui i dati relativi alla salute di un interessato individuato nella graduatoria tramite l'annotazione della lettera "S", quale titolo di preferenza indicatore della categoria degli "invalidi e mutilati civili, non necessari rispetto alle finalità sottese alla pubblicazione degli esiti delle procedure concorsuali, anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate. Tale diffusione di dati personali si è protratta per un considerevole lasso di tempo (circa 3 anni).

Di contro è stato considerato: il carattere colposo della condotta in quanto la pubblicazione è da imputarsi a un mero errore materiale; che il dato personale relativo alla salute riguarda un unico interessato; che l’Istituto si è attivato per rimuovere i dati personali dei soggetti interessati e ha quindi collaborato con l'Autorità nel corso dell'istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; che l’Istituto ha avviato una serie di azioni volte a implementare le misure tecniche e organizzative. Si è tenuto, inoltre, favorevolmente atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), art. 9, parr. 1, 2, 4 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Istituto Comprensivo Villanova D’Asti, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), art. 9, parr. 1, 2, 4 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies del Codice, nei termini di cui in motivazione

ORDINA

All’Istituto Comprensivo Villanova D’Asti, in persona del legale rappresentante pro-tempore, con sede legale in Via Zabert, n.14 - 14019 Villanova d'Asti (AT), C.F. 92040380054, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ravvisando altresì la ricorrenza dei presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei