g-docweb-display Portlet

Provvedimento dell'11 novembre 2021 [9726426]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9726426]

Provvedimento dell'11 novembre 2021

Registro dei provvedimenti
n. 400 dell'11 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTO l’art 17 bis del D.L. 17 marzo 2020 n. 18 (Disposizioni sul trattamento dei dati personali nel contesto emergenziale)

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Nel mese di marzo del 2021 l’Autorità ha ricevuto un reclamo in cui si lamenta una violazione della disciplina in materia di protezione dei dati personali in relazione alla richiesta avanzata dal Dipartimento di prevenzione dell’Azienda unità sanitaria locale (AUSL) di Bologna di ricevere, da tutti i plessi scolastici di ogni ordine e grado della Provincia, gli elenchi del personale ivi operante e degli studenti ivi iscritti, al fine di “ottimizzare le azioni di contenimento del contagio, tra cui contact- tracing, eventuali disposizioni di isolamento/quarantena e monitoraggio degli esiti dei test diagnostici eseguiti su tutto il territorio dell'AUSL, diagnosi precoce e monitoraggio epidemiologico”.

In relazione a quanto segnalato, l’Ufficio ha richiesto informazioni alla AUSL di Bologna (nota del 24.5.2021, prot. n. 28375), che ha riscontrato con nota del 22 giugno 2021 (prot. n. 63057).

Nella richiamata nota, l’AUSL di Bologna ha rappresentato che:

“L’acquisizione degli elenchi in questione è stata funzionale per una più tempestiva presa in carico dei gruppi classe interessati da uno o più casi confermati al loro interno. In tal modo è stato possibile garantire un notevole abbattimento dei tempi nella presa in carico e gestione dei casi, in quanto ha annullato l'attesa nella ricezione di tali elenchi (a volte anche di 2gg). Inoltre, la richiesta degli elenchi della popolazione scolastica dei diversi plessi scolastici della provincia di Bologna, ha permesso agli operatori del DSP di porre in essere azioni rapide ed immediate di natura epidemiologica, come ad esempio campagne di screening, che hanno aumentato la capacità di tracciamento, riducendo moltissimo il rischio di diffusione a più classi. L’acquisizione degli elenchi è stata condivisa con la Direzione Generale dell’Ufficio Scolastico Regionale per l’Emilia Romagna”;

“gli elenchi richiesti contenevano i dati di tutto il personale e degli iscritti nelle classi/sezioni dei singoli istituti scolastici di ogni ordine e grado (nome, cognome, data di nascita, Codice Fiscale, telefono, email, ruolo, plesso scolastico), coordinati dall’Ufficio Scolastico Provinciale. Tali elenchi contenevano esclusivamente i dati necessari per le finalità sopradescritte, nel rispetto del principio di minimizzazione dei dati”;

“i presupposti giuridici sulla base dei quali si è proceduto alla richiesta degli elenchi personale operante nei plessi scolastici e degli studenti iscritti vanno ricercati nell’art.6 comma 1 lett. d) e lett. e) del Regolamento (UE) 679/2016 e nel Considerando n. 46 il quale prevede espressamente che “… alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in caso di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”. A ciò si aggiunga che l’art. 17 bis del D L 18/2020 prevede che: “…le strutture pubbliche e private che operano nell’ambito del SSN e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’art.2 del DL n.19/2020, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali,….. possono effettuare trattamenti ivi inclusa la comunicazione tra loro dei dati personali che risultino necessari all’espletamento delle funzioni ad esse attribuite nell’ambito dell’emergenza…””;

“Dall’aprile 2021 al 21 giugno sono stati gestiti nel territorio dell’Azienda USL di Bologna 197 focolai scolastici. Il picco di focolai gestiti nella settimana dal 3 al 9 maggio è stato di 55. Dal 5 aprile al 21 giugno 2021 sono stati eseguiti tra studenti e personale scolastico 4.059 tamponi tra molecolari (in totale 3.689) ed antigenici rapidi (in totale 370). Da queste indagini sono risultati positivi 368 studenti e 15 operatori scolastici”;

“in relazione al numero di interessati coinvolti si specifica che la raccolta ha riguardato n. 531 di personale docente e n. 15.139 studenti”.

Secondo quanto rappresentato dalla AUSL di Bologna, la predetta raccolta di dati personali ha riguardato le seguenti informazioni: nome, cognome, dato di contatto (e-mail, numero di telefonia mobile), ruolo (personale scolastico o alunno) di tutto il personale in servizio e di tutti gli alunni iscritti nei plessi scolastici di ogni ordine e grado della Provincia di Bologna.

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio ha notificato alla AUSL di Bologna, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 7. 7. 2021, prot. n. 35944).

In particolare, l’Ufficio, considerato che la normativa di settore, adottata in relazione allo stato di emergenza in corso, prevede che i dipartimenti di prevenzione delle aziende sanitarie possano raccogliere, presso soggetti pubblici e privati, tutti i dati necessari allo svolgimento delle attività di contact tracing solo a seguito del verificarsi di un caso accertato di Covid-19 e che la predetta Azienda ha raccolto in via preventiva i dati personali di circa 16.000 interessati, di cui solo meno di un quarto (circa 4000, tra personale docente e studenti) è stato poi effettivamente esposto al contagio da Covid 19 e, quindi, coinvolto nelle attività di contact tracing e che a tali soggetti non sono stati forniti gli elementi informativi di cui agli artt. 13 e 14 del Regolamento, ha ritenuto nel predetto atto che la suddetta raccolta di dati personali sia stata realizzata in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b) e c), 6, 13 e 14 del Regolamento.

Con nota del 4 agosto 2021 (prot. n. 78593), l’AUSL di Bologna, ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “Purtroppo, a causa dell’innalzamento della curva Rt, fortemente in crescita con un livello elevatissimo di potenziale criticità nella gestione dei casi da parte del servizio sanitario e con un aumento esponenziale del tasso di incidenza nelle classi di età 11-13 e 14 -19, (…), si è reso necessario definire nuove strategie per prevenire e contrastare con strumenti più efficaci l’insorgenza di nuovi e pericolosi focolai, anche attraverso azioni proattive tra le quali la raccolta di dati utili ad un tempestivo tracciamento dei casi soprattutto nella comunità scolastica, luogo dove si è dimostrato un forte incremento dei contagi e una rapida espansione dei focolai”;

- “i dati personali raccolti sono stati utilizzati solo a seguito di segnalazione di caso sospetto/accertato Covid e dunque, il trattamento è stato limitato a quanto strettamente necessario rispetto alla finalità di contenimento e di interruzione tempestiva della filiera dei contagi”;

- “tale trattamento preventivo è da ricondurre ad un contesto emergenziale fortemente critico e del tutto straordinario finalizzato ad attivare tempestivamente misure efficaci di contenimento del contagio in ambito scolastico, nel caso di sospetto o accertato caso positivo”;

- “In una gravissima situazione come quella sopradescritta, ogni azione messa in atto è servita ad interrompere tempestivamente la filiera dei contagi soprattutto nell’ambito scolastico. Preme evidenziare che l’interscambio rapido di dati personali non di natura particolare tra le aziende sanitarie della regione Emilia Romagna e le scuole è stato ritenuto indispensabile al punto tale da richiedere un intervento da Azienda USL di Bologna da parte dello stesso Ufficio scolastico regionale per l’Emilia Romagna che con parere tecnico dell’8 febbraio 2021, già trasmesso a codesta spettabile Autorità con ns prot. n. 63057 del 22 giugno 2021, richiamando l’art 17 bis del D.L. 17 marzo 2020 n. 18 in merito al trattamento dei dati personali nel contesto emergenziale, interpretava estensivamente il disposto letterale, favorendo in tal modo l’interscambio per motivi di interesse pubblico”;

- “Nel mese di aprile 2021 sono pervenuti alla scrivente Azienda, con tempistiche diverse, gli elenchi richiesti alle Direzioni scolastiche. Tali elenchi contenevano esclusivamente dati personali e di contatto del personale scolastico e degli alunni divisi per classi”;

- “La finalità di trattamento è da rinvenirsi nella realizzazione immediata delle attività di contact tracing conformemente a quanto previsto dall’art 17 bis del decreto legge n. 18/2020 commi 1 e 2”;

- “Il numero di interessati coinvolti è stato di circa 16.000”;

- “La disponibilità preventiva degli elenchi del personale scolastico e degli alunni delle scuole dell’area metropolitana ha consentito di mettere in atto azioni immediate di natura epidemiologica attraverso il contact tracing, al fine di gestire con efficacia focolai impegnativi e a rischio di diffusione anche al di fuori della comunità scolastica. Nello specifico, si richiamano i focolai negli istituti scolastici di Ozzano dell’Emilia, di Castiglione dei Pepoli e di Marzabotto che, grazie alla disponibilità dei dati di contatto, sono stati contenuti attraverso l’aumento della capacità di tracciamento, con una significativa riduzione del rischio di diffusione a più classi e alla comunità extrascolastica. A conferma di quanto appena riportato, si può notare come a fronte di un picco di 70 focolai nelle scuole nei mesi precedenti all’acquisizione degli elenchi e di un tasso di incidenza per le classi di età più giovani di 632 casi ogni 100.000 abitanti di età 0-19 anni, nei mesi successivi è corrisposto un tasso sensibilmente inferiore pari a 171,2 casi ogni 100.000 abitanti con un numero di 55 focolai attivi”.

In relazione alla richiesta dell’AUSL di Bologna, in data 8 ottobre 2021, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981, si è svolta l’audizione con modalità telematiche nel corso della quale la predetta Azienda ha ribadito quanto già rappresentato, precisando, in particolar modo, che:

“Il caso in esame si colloca in un contesto emergenziale particolare che ha investito l’Ausl di Bologna. In particolare, nel mese di marzo u.s. si era di fronte ad un fenomeno esponenziale di contagi, erano infatti rilevati quotidianamente più di 500/700 contagi (con picchi di oltre 1000 casi al giorno), con 1400 ricoveri al giorno”;

“Dall’analisi dei dati all’epoca disponibili, il settore scolastico si era rivelato da un punto di vista strategico fondamentale per prevenire i contagi, ciò soprattutto al fine di evitare che dalle scuole il virus potesse poi diffondersi in ambiente familiare e poi in ambiente lavorativo”;

“I dati presenti negli elenchi sono stati utilizzati principalmente per attività di screening preventivo, inviando unità mobili nei plessi scolastici per effettuare la suddetta campagna di screening e solo successivamente, a seguito dell’eventuale riscontro di positività, per finalità di contact tracing e di adozione di misure di sanità pubblica”;

“I test diagnostici sono stati eseguiti all’interno del plesso scolastico; i relativi esiti sono stati comunicati ai soli interessati”;

“Gli elenchi degli alunni ricevuti sono stati trattati solo da personale autorizzato e debitamente istruito al riguardo. Su tali dati non sono stati realizzati studi o ricerche scientifiche; i medesimi elenchi non sono stati oggetto di diffusione e di comunicazione a terzi”;

“Gli elenchi, privi dell’indicazione degli esiti diagnostici, nonché di ogni altra informazione relativa allo stato di salute degli interessati, al termine del presente procedimento istruttorio saranno distrutti. Al momento non si intende procedere alla raccolta di analoghi elenchi nell’attuale anno scolastico”

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla AUSL di Bologna nella documentazione in atti e nelle memorie difensive, si osserva che:

si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento);

i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”), “raccolti per finalità determinate, esplicite e legittime” («limitazione della finalità»), nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principio di «minimizzazione dei dati) (art. 5, par. 1, lett. a), b) e c), del Regolamento);

sin dalla dichiarazione dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottati molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati personali effettuato nell’ambito degli interventi relativi alla predetta emergenza sanitaria. Le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento europeo per il perseguimento di motivi di interesse pubblico nel settore della sanità pubblica (cfr. art. 9, par. 2, lett. i), del Regolamento). Il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi e dei limiti applicabili al trattamento, di cui all’art. 5 del Regolamento in parte sopra richiamati;

con specifico riferimento all’attività di sorveglianza sanitaria cui si riferiscono i trattamenti di dati personali in esame, la normativa allo stato vigente, prevede che l’operatore di sanità pubblica, al fine di determinare le misure di contenimento del contagio più opportune, sia chiamato a ricostruire la filiera dei “contatti stretti” del soggetto risultato positivo al COVID 19 (art. 3, comma 6, d.P.C.M. 8 marzo 2020, Circolare n. 5443 del Ministero della salute del 22 febbraio 2020, e successive modificazioni e integrazioni, d.P.C.M. del 13 ottobre 2020, art.6, comma 5, Circolari del Ministero della salute del 29 maggio 2020, del 18 giugno 2020, del 31 gennaio 2021, del 6 maggio 2021). La disciplina di settore infatti affida ai Dipartimenti di prevenzione delle aziende sanitarie locali il compito di ricostruire la filiera dei contatti stretti del soggetto contagiato, senza prevedere la raccolta preventiva dei dati dei soggetti che eventualmente possono essere coinvolti in tali attività di contact tracing. In particolare, si rappresenta infatti che le indicazioni fornite dal Ministero della salute al riguardo, nel descrivere le “fasi chiave” delle attività di contact tracing, prevedono la raccolta di informazioni relative ai contatti stretti del contagiato solo successivamente all’individuazione del caso confermato Covid 19 (cfr., in tal senso, in particolare, circolari del Ministero della salute del 19 maggio 2020, del 18 giugno 2020, del 31 gennaio 2021 e del 6 maggio 2021). I dipartimenti di prevenzione delle aziende sanitarie sono tenuti quindi a raccogliere, presso soggetti pubblici e privati, i dati necessari allo svolgimento delle attività di contact tracing solo a seguito del verificarsi di un caso accertato di Covid-19;

con specifico riferimento alle attività di contact tracing relative al contesto scolastico, la disciplina emergenziale di settore non prevede, in tale ambito, come del resto anche in altri contesti caratterizzati da una significativa aggregazione sociale (es. ambiente lavorativo, ospedaliero), la raccolta preventiva dei dati dei soggetti che frequentano uno specifico ambiente sociale volta alla costituzione di una banca dati da utilizzare nel caso in cui tra tali soggetti sia accertata una positività al Covid-19; ciò, anche in considerazione del fatto che l’attività di contact tracing si fonda proprio sulla necessità di ricostruire la filiera dei reali contatti stretti del soggetto contagiato. Una raccolta preventiva dei soggetti appartenenti alla comunità scolastica non garantirebbe, infatti, di individuare quelli che sono realmente venuti a contatto stretto con il soggetto positivo in un determinato periodo (si pensi ad esempio alle eventuali assenze del personale scolastico o degli alunni o a possibili contatti stretti in ambiente scolastico con persone non precedentemente censite). Le disposizioni sopra richiamate prevedono, infatti, un’attività di indagine caso per caso, al fine di individuare, nel periodo di possibile contagiosità del soggetto affetto da Covid-19 e tenendo conto delle caratteristiche dell’episodio di contatto (es. durata dell’esposizione, compresenza in locali aperti o chiusi), le persone che verosimilmente sono state esposte al contagio. Tali indagini sono ritenute prodromiche all’adozione, da parte dei predetti dipartimenti di prevenzione, delle previste misure di sanità pubblica (es. isolamento, richiesta di tampone naso faringeo) da adottare nei confronti dei reali contatti stretti del contagiato. Al riguardo, si evidenzia che anche le disposizioni nazionali emanate in vista della ripresa dell’attività didattica (a.s. 2021/2022), nell’individuare specifici interventi per la riapertura in sicurezza delle scuole, hanno previsto specifiche “Misure di intervento ipotizzabili in relazione agli scenari di circolazione” tra le quali non è previsto che le aziende sanitarie locali raccolgano preventivamente i dati personali dei soggetti frequentanti l’ambiente scolastico (cfr. Indicazioni strategiche ad interim per la prevenzione e il controllo delle infezioni da SARS-CoV-2 in ambito scolastico (a.s. 2021-2022) del 1° settembre 2021, documento congiunto Ministero della salute, Istituto superiore di sanità, Inail);

con specifico riferimento alla disciplina dettata dall’art. 17-bis del d.l. n. 18/2020, richiamata dalla Azienda nelle memorie in atti, tale disposizione prevede, da un lato, che le amministrazioni pubbliche possano effettuare tutti i trattamenti di dati personali che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza sanitaria determinata dal diffondersi del Covid-19, dall’altro, che siano, comunque, adottate le misure necessarie a garantire il rispetto dei citati principi previsti dall’art. 5 del Regolamento, secondo cui i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»), “raccolti per finalità determinate, esplicite e legittime” («limitazione della finalità») e, comunque, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principio di minimizzazione dei dati);

la raccolta dei dati degli studenti e del personale impiegato nei plessi scolastici di ogni ordine e grado della Provincia di Bologna, finalizzata alla creazione di una banca dati eventualmente da utilizzare per ricostruire in modo più celere i soggetti da sottoporre a possibili “disposizioni di isolamento/quarantena e monitoraggio degli esiti dei test diagnostici eseguiti su tutto il territorio dell'AUSL”, non può essere ritenuta ammissibile ai sensi del richiamato art. 17-bis del d.l. n. 18/2020. Ciò in quanto la raccolta preventiva dei predetti dati ai fini di un eventuale utilizzo degli stessi per finalità di contact tracing non risulta “indispensabil(e) ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto” (art. 17 bis, comma 2, d.l. n. 18/2020). Più nello specifico, la raccolta preventiva dei dati di oltre 500 docenti e di più di 15.000 studenti non risulta necessaria ad assicurare l’attività di contact tracing, atteso che la stessa deve essere effettuata caso per caso, individuando i soggetti che realmente -e non solo ipoteticamente- abbiano avuto almeno un contatto stretto con il contagiato nel periodo di possibile contagiosità dello stesso. I dati forniti in atti dalla AUSL di Bologna, secondo cui tra i circa 16.000 interessati censiti nella predetta banca dati solo meno di un quarto (circa 4000, tra personale docente e studenti) è stato poi effettivamente esposto al contagio da Covid 19 e, quindi, coinvolto nelle attività di contact tracing, dimostrano che la predetta raccolta di dati è risultata anche non proporzionata rispetto alle finalità perseguite;

la suddetta raccolta di dati personali ha violato anche il principio di trasparenza, non essendo stato documentato in atti che agli interessati siano stati forniti gli elementi informativi di cui agli artt. 13 e 14 del Regolamento. Al riguardo, si rappresenta che il legislatore, nel contesto emergenziale in atto, ha previsto che i soggetti che operano in tale ambito, ivi comprese le strutture pubbliche e private del Servizio sanitario nazionale, possano “omettere di fornire l'informativa” di cui al predetto articolo 13 “o fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione” (art. 17-bis, comma 5, D.L. 17/03/2020, n. 18). Allo stato degli atti non risulta che l’AUSL di Bologna abbia inteso avvalersi di tale disposizione nella raccolta dei dati e abbia comunicato agli interessati la suddetta limitazione;

in merito al parere tecnico dell’Ufficio scolastico regionale per l’Emilia Romagna dell’8 febbraio 2021, citato dalla predetta Azienda a sostegno della suddetta raccolta di dati personali, si precisa che in tale documento il predetto Ufficio scolastico, dopo aver rivolto a tutti i dirigenti delle istituzioni scolastiche dell’Emilia Romagna indicazioni circa l’uso della mascherina a scuola e la gestione dei lavoratori fragili nel contesto pandemico, ha richiamato quanto indicato nell’articolo 2-ter del Codice e nel citato art. 17-bis del d.l. n. 18/2021 in merito alla possibilità per gli istituti scolastici di comunicare alle Asl del territorio i “dati personali, non sensibili, delle persone iscritte o in servizio a vario titolo presso le scuole” “per l’aggiornamento dell’anagrafe sanitaria” e non anche per le suddette attività di contact tracing;

sul punto, si precisa che le indicazioni fornite dal Garante nella FAQ presente sul sito dell’Autorità che è stata richiamata dalla predetta Azienda non si riferisce all’attività di contact tracing, cui attiene il procedimento in esame, bensì all’attività di prevenzione, ovvero di screening, che le strutture sanitarie territorialmente competenti possono promuovere nei contesti a rischio contagio, come quello scolastico, a prescindere dalla presenza di un caso accertato di Covid-19 (https://www.gpdp.it/temi/coronavirus/faq);

con specifico riferimento alle attività di screening, la normativa di settore prevede espressamente che i dipartimenti di prevenzione delle aziende sanitarie possano avviare specifiche campagne di screening rivolte a determinate categorie di soggetti o in contesti che presentano un maggiore rischio di contagio e di diffusione del virus, come quello scolastico (artt. 7 e ss., d.lgs. n. 502/92). Fermo restando che anche l’adesione alla campagna di screening per Covid-19 è facoltativa, i dipartimenti di prevenzione possono raggiungere le categorie di interessati con diverse modalità, quali ad esempio la pubblicizzazione di giornate o specifiche strutture dedicate allo screening tra le quali o la consegna, tramite l’istituto scolastico, a tutti gli alunni e al personale scolastico di inviti ad aderire alla campagna di screening. In caso di riscontro della positività sierologica al Covid-19, l’operatore sanitario che ha effettuato il test indirizzerà l’interessato verso il percorso diagnostico e terapeutico più opportuno e informerà il Dipartimento di prevenzione deputato a disporre le eventuali misure di contenimento del virus ritenute necessarie (art. 3, comma 6, d.P.C.M. 8 marzo 2020; Circolare n. 5443 del Ministero della salute del 22 febbraio 2020 e successive modificazioni e integrazioni). Il Garante ha nel tempo evidenziato che , nel rispetto dei principi di protezione dei dati personali sopra richiamati, le aziende sanitarie devono preferire la realizzazione di campagne di screening in ambito scolastico che non comportino una raccolta preventiva dei dati personali della platea dei soggetti interessati (ad es. acquisendo il numero dei soggetti afferenti ad un contesto scolastico per organizzare la realizzazione della operazioni di testing) (cfr. relazione annuale del Garante per l’anno 2005, pag. 33). La raccolta dei dati personali deve essere infatti limitata ai casi in cui sia indispensabile conoscere l’identità dei destinatari della comunicazione al fine di effettuare la campagna di prevenzione atteso che, come sopra ricordato, la normativa di settore, adottata in relazione allo stato di emergenza in corso, prevede che i dipartimenti di prevenzione delle aziende sanitarie possano raccogliere, presso soggetti pubblici e privati, tutti i dati necessari allo svolgimento delle attività di contact tracing solo a seguito del verificarsi di un caso accertato di Covid-19. In tali casi, la comunicazione dei nominativi è consentita, fino al termine dello stato di emergenza, ai sensi e nei limiti di quanto previsto dall’art. 17-bis, comma 2, d.l. n. 18/2020;

gli istituti scolastici, sulla base delle citate indicazioni fornite dall’Ufficio scolastico regionale, hanno comunicato alla predetta AUSL, ai sensi del richiamato art. 17-bis, gli elenchi degli alunni e del personale scolastico per rispondere all’esigenza manifestata dall’Azienda di “ottimizzare le azioni di contenimento del contagio, tra cui contact- tracing, eventuali disposizioni di isolamento/quarantena e monitoraggio degli esiti dei test diagnostici eseguiti su tutto il territorio dell'AUSL, diagnosi precoce e monitoraggio epidemiologico”. A seguito di tale comunicazione, secondo quanto dichiarato in atti, i predetti dati sono stati effettivamente trattati per finalità di contact tracing e di screening. Con riferimento alla prima finalità, essendo il trattamento effettuato per motivi di interesse pubblico nel settore della sanità pubblica lo stesso deve essere effettuato sulla base del diritto nazionale che, allo stato, come sopra evidenziato, non prevede una raccolta preventiva dei dati dei soggetti frequentanti l’ambiente scolastico. In merito alla finalità di testing della comunità scolastica non risulta comprovata, nei documenti in atti, l’indispensabilità di acquisire gli elenchi degli studenti e dei lavoratori della scuola per realizzare le suddette attività di screening, atteso che l’adesione a tali attività è facoltativa e che le stesse sono state poi effettivamente realizzate inviando personale sanitario delle Aziende sanitarie presso le scuole che ha offerto test per Covid-19 gratuiti a tutti gli studenti e i lavoratori presenti. Tale attività poteva essere efficacemente realizzata anche senza conoscere i dati personali dei soggetti che si sarebbero potuti sottoporre al test, limitandosi ad acquisire l’informazione relativa al numero dei soggetti che potevano essere interessati dall’attività di screening, eventualmente divisi per età (dati necessari per la scelta e l’approvigionamento della tipologia di test). Al riguardo, si evidenzia che, anche recentemente, il Ministero della salute e l’Istituto superiore di sanità, nel definire le modalità di scelta ed esecuzione dei test di screening in ambito scolastico, non hanno previsto di regola la raccolta preventiva dei dati personali della platea degli interessati coinvolti dalla campagna di testing (cfr. Indicazioni strategiche ad interim per la prevenzione e il controllo delle infezioni da SARS-CoV-2 in ambito scolastico (a.s. 2021-2022) del 1° settembre 2021 documento congiunto Ministero della salute, Istituto superiore di sanità, Inail).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Azienda Unità Sanitaria Locale di Bologna, consistente nella raccolta preventiva dei dati personali di circa 16.000 interessati, tra studenti e lavoratori del settore scolastico, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b) e c), 6, 13 e 14 del Regolamento.

Ciò premesso, tenuto conto che:

i fatti oggetti del reclamo sono avvenuti nell’ambito delle attività di sanità pubblica poste in essere dall’Azienda in un momento particolarmente critico dell’attuale contesto emergenziale;

la predetta banca dati non è stata implementata con l’indicazione degli esiti diagnostici, nonché di ogni altra informazione relativa allo stato di salute degli interessati;

le precedenti violazioni commesse dalla AUSL di Bologna non sono pertinenti al trattamento dei dati in esame, in quanto non attengono a trattamenti effettuati per finalità di sanità pubblica nell’ambito dello stato di emergenza da Covid-19;

i soggetti che hanno avuto accesso ai dati della predetta banca dati sono soggetti autorizzati al trattamento;

l’Autorità è venuta a conoscenza dell’evento a seguito di un solo reclamo da parte di un genitore di un alunno frequentante un istituto scolastico nella Provincia di Bologna;

l’Azienda ha, fin da subito, dimostrato un elevato grado di cooperazione, fornendo anche assicurazioni in merito alla circostanza che, al termine del presente procedimento istruttorio, i dati saranno distrutti e che non si intende procedere alla raccolta di analoghi elenchi nell’attuale anno scolastico;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato previsioni del Regolamento contenute negli artt. 5, e 32 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la AUSL di Bologna ha assicurato che i predetti dati saranno distrutti al termine del procedimento istruttorio e che non saranno effettuate analoghe raccolte di informazioni nel corrente anno scolastico, non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato alla Azienda Unità Sanitaria di Bologna, con sede legale in via Castiglione, 29 - 40124 BOLOGNA, P.I. e Cod. Fisc. 02406911202, per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 1, lett. a), b) e c), 6, 13 e 14 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta AUSL di Bologna, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), b) e c), 6, 13 e 14 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 novembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei