g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 27 febbraio 2025 [10126123]

Provvedimento del 27 febbraio 2025 [10126123]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10126123]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n.  115 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità da un avvocato, in nome e per conto della sig.ra XX e del sig.XX, è stata lamentata la pubblicazione, ad opera di una docente della scuola primaria dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio (di seguito, l’Istituto), sul registro elettronico, del Piano educativo individualizzato (PEI) del figlio dei reclamanti.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare:

- “in data XX ricevo comunicazione da parte dell’avvocato […] di "segnalazione violazione regolamento privacy per illegittima diffusione dati sanitari del minore […]";

- “il legale afferma che “in data XX si è verificato un grave episodio di diffusione di dati sensibili giacché nella chat di classe, l’insegnante […] ha postato il Piano Educativo Individuale del figlio dei miei assistiti diffondendo dati sensibili che dovevano rimanere riservati in quanto afferenti allo stato di salute psicofisica del minore ed alle sue problematiche”;

- “venuta solo allora a conoscenza dell’episodio, avvio procedura interna di indagine con prot. ris. N. XX del XX, notando però che lo screenshot finito sulla chat ed allegato dall’Avvocato, è relativo alla pagina di accesso sul registro del genitore dell’alunno”;

- “alla richiesta di chiarimenti, la Docente prontamente produce relazione acquisita con prot. ris. n.XX del XX. Di seguito i fatti accertati. In data XX, durante l’incontro di programmazione settimanale, la […], docente di sostegno di […] della classe IIIE, inseriva all’interno del registro elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore (…). Dalla tendina richiamava la voce alunni e docenti, inseriva il nome dell’alunno interessato ed erroneamente anche la classe (…), di conseguenza il PEI, è risultato visibile a tutti i genitori della IIIE. Questo avveniva intorno alle ore 18.00. Subito dopo la docente incontra la collega di classe che aveva già ricevuto la telefonata della [… reclamante] e si rende conto di aver commesso un errore; pertanto, alle 18.22 corregge la visualizzazione (…). In quel lasso di tempo, il genitore di […] ha visionato il registro, avvisato la signora […] e postato lo screenshot della pagina sulla chat di classe. (…). Nessuno, compreso la docente, ha ritenuto opportuno avvisare la scrivente o i miei collaboratori”;

- “è accertato che la docente […] ha commesso l’errore nella gestione della visualizzazione del documento, la diffusione dei dati è avvenuta dentro il registro, nell’ambito della classe del minore, non sulla chat dove l’informazione è stata divulgata dal citato genitore della classe. Avendo avuto notizia dell’infrazione 90 giorni dopo l’evento, la richiesta del file delle visualizzazioni al gestore del Registro elettronico comportava un esborso consistente in quanto istanza proveniente dall’Istituto e non da Autorità preposta; pertanto, non è stato possibile verificare se il documento fosse stato scaricato da qualche genitore. I dati personali violati erano costituiti dai codici della disabilità riportati in una sezione del PEI”;

- “la condivisione del PEI, con il genitore avviene nell’ambito della normativa a tutela della disabilità in particolare del XX del XX. La scelta del registro, come strumento rapido di condivisione, è relativa al processo di digitalizzazione dell’Amministrazione, la visibilità dei singoli documenti, è riservata esclusivamente ai docenti e ai genitori degli alunni interessati. Al Gestore del Registro, in occasione del rinnovo del contratto, viene dato l’incarico del trattamento dati”;

- “nessuna certificazione relativa a dati sanitari è stata e viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei codici i format dei PEI e PDP e a vietare la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale”;

- “nel merito dell’illegittima diffusione dei dati avvenuta in data XX, è stato già coinvolto il Responsabile della Protezione dei dati designato dell’Istituto, […], con il quale sono state concordate le misure correttive”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione del PEI del figlio dei reclamanti e quello predisposto per un altro alunno, contenenti dati personali, anche relativi alla salute degli interessati, seppure avvenuta in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:

- “In data XX giunge reclamo da parte dell’Avvocato […] in merito alla diffusione di dati sensibili, il PEI, dell’alunno […] della classe IIIE primaria, nella chat di classe da parte dell’insegnante di sostegno […] avvenuta il giorno XX. Da indagini interne, avviate con prot. n. XX del XX, risulta che la diffusione dei dati da parte della docente non è avvenuta sulla chat di classe, ma all’interno del Registro in un’area riservata. La violazione contestata è durata un breve lasso di tempo, circa 22 minuti. Non si ha la prova che il documento sia stato scaricato in quanto lo screenshot allegato dall’Avvocato, prova soltanto la visibilità del documento nel Registro, ma non rivela il contenuto. Non è possibile, a distanza di così tanto tempo, ottenere il file log dal gestore del registro per verificare se e chi ha scaricato il PEI. Poiché il documento si trovava all’interno di un’area riservata del Registro, la visibilità era possibile solo ai genitori della classe IIIE, formata da 21 alunni. È impossibile determinare se in quei 22 minuti tutti abbiano fatto accesso al registro. Poiché non si ha prova riguardo l’apertura del documento da parte di soggetti terzi, la diffusione dei dati certa riguarda l’informazione che l’alunno […] ha un PEI, informazione nota a tutta la classe in quanto allo stesso era stata assegnata la docente di sostegno”;

- “la docente, per mero errore materiale, inserendo all’interno del Registro Elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore […], fleggava non solo il nome dell’alunno interessato, ma anche la classe, di conseguenza il PEI, contrariamente alle intenzioni della docente, risultava visibile a tutti i genitori della IIIE. Dalla condotta della docente, supplente temporanea, non emerge nessuna intenzionalità di diffondere i dati del proprio alunno, ma solo un’imprudenza dovuta all’inesperienza e alla scarsa conoscenza del mezzo informatico. Supportata dai colleghi, ha immediatamente posto rimedio all’errore tanto che dopo solo 22 minuti la visualizzazione è stata corretta senza provocare nessun danno altrui”;

- è stata effettuata la “correzione immediata della visualizzazione sul Registro togliendo il flag alla classe. Contatto contestuale con la famiglia da parte della docente per scusarsi dell’accaduto. Disponibilità dell’Istituto ad incontrare la famiglia che ha sempre disdetto gli appuntamenti senza giustificare i motivi. Si osserva altresì che la discrasia è avvenuta il XX e, inspiegabilmente, la contestazione è stata effettuata il XX (oltre due mesi dopo l’accaduto). Appare evidente il carattere pretestuoso della richiesta che, a mente dell’art. 11, comma 1, lettera c del Regolamento n.1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, avrebbe potuto comportare l’archiviazione del reclamo”;

- “Nessuna certificazione relativa a dati particolari viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei dati riconducibili alla salute i format dei PEI al fine di minimizzare l’uso dei dati particolari. Viene vietata la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale. Il PEI viene consegnato brevi manu al genitore interessato. Essendoci all’Interno dell’Istituto un continuo movimento di personale temporaneo, si è programmato di reiterare la formazione sul trattamento dei dati personali”;

- “L’Istituto si è dotato, da tempo, del Compendio per le attività di trattamento dei dati personali e del Registro dei trattamenti predisposti insieme al DPO”;

- “innanzi tutto ribadire quanto stabilito dall’art. 11, comma 1, lettera c del Regolamento n.1/2019 in riferimento all’evidente carattere pretestuoso del reclamo: infatti, la violazione lamentata è accaduta il XX, la segnalazione alla scuola viene effettuata il XX – dopo due mesi dall’accaduto! -, quando la discrasia lamentata era stata sanata immediatamente (dopo 22 minuti) senza che nessun danno fosse stato arrecato all’alunno titolare del PEI. Si deve, inoltre, evidenziare che la diffusione dei dati, (di cui oltretutto non si ha certezza!) sarebbe avvenuta interessando soltanto gli appartenenti alla classe frequentata dall’alunno titolare del PEI che erano già a conoscenza della condizione dell’alunno in questione. In secondo luogo, giova qui ricordare che l’art. 83 del Regolamento (UE) 2016/679 correlato con il Codice in materia di protezione dei dati personali vigente, al comma 2, detta le condizioni generali per infliggere le sanzioni amministrative pecuniarie e così rappresenta la necessità che per ogni singolo caso si debba tener conto dei seguenti elementi:

a. “…Si osserva che vi è stata solo una presunta parte lesa ed il livello del danno subito è da ritenersi inesistente per l’immediato intervento da parte della docente che inopinatamente aveva creato il problema.

b. È evidente il carattere colposo della violazione, oltretutto commessa da una docente.

c. Come più volte detto, immediatamente sono state adottate misure che hanno reso inesistente qualsivoglia danno potesse derivare dalla discrasia commessa

d. Le misure tecniche e organizzative messe in atto da tempo fino ad ora hanno evitato il ripetersi di infrazioni equivalenti

e. Non si sono verificate precedenti violazioni commesse dal titolare o dal responsabile del trattamento dei dati

f. Non vi è stato bisogno di richiedere la cooperazione dell’Autorità di controllo in quanto, in modo autonomo, l’Istituzione aveva già posto rimedio alla discrasia (il problema è stato risolto dopo 22 minuti dall’accaduto e non si è più ripetuto)

h. Si presume che l’Autorità di controllo abbia preso conoscenza della violazione dai genitori dell’alunno interessato al Pei. Dalla Nota GPDP.Ufficio.Protocollo.XX, pervenuta all’istituzione ad XX, si evince che l’Autorità ha preso conoscenza mesi dopo di una violazione commessa diversi mesi prima.

i. Non sono stati mai disposti provvedimenti di cui all’art. 58 paragrafo 2 Regolamento del titolare del trattamento o del Responsabile del trattamento in quanto, non si sono mai in precedenza evidenziati violazioni di qualsivoglia tipo

j. L’Istituto è dotato di Compendio per le attività di trattamento dei dati personali e di Registro dei trattamenti”.

Nel corso dell’audizione tenutasi in data XX la dirigente scolastica dell’Istituto ha, altresì, dichiarato:

- “sono in servizio dal XX e ho condiviso con l’allora dirigente in servizio e il dpo gli elementi da fornire;

- l’evento si è verificato il XX, la dirigente è avvenuta a conoscenza dell’accaduto solo il XX quando ha ricevuto la nota del legale della famiglia dell’interessato, si è attivata subito consultando il dpo e verificando le conseguenze della pubblicazione; altresì ha sentito la docente interessata che ha relazione per iscritto le circostanze dell’evento verificatosi;

- Il documento è stato erroneamente pubblicato dalla docente che ha inserito la spunta di flag che ha determinato la visibilità del documento a tutti i genitori;

- La visibilità della comunicazione a tutti i genitori è stata disattivata dopo circa 20 minuti;

- L’unico genitore che ha letto la comunicazione ha condiviso uno screenshot dell’avviso di pubblicazione del documento a tutti gli altri genitori nella chat di classe senza tuttavia scaricarlo;

- In seguito un genitore dell’interessato ha avvisato le docenti dell’accaduto e pertanto la docente di sostegno ha provveduto subito a rimuovere l’avviso inserito;

- Ricevuta la nota del legale la dirigente ha invitato il legale e la famiglia ad incontrarsi per parlare delle conseguenze di tale comunicazione errata, ma tale incontro non è mai avvenuto perché la famiglia non ha mai aderito a tale invito;

- Insieme al dpo l’allora dirigente ha rivisto e modificato la modulistica e la modalità di condivisione del PEI con le famiglie coinvolte che non avviene più mediante RE ma esclusivamente in modalità cartacea;

- Nel mese di XX la dirigente è venuta a conoscenza che la famiglia dell’interessato ha proposto reclamo al Garante, dopo cioè circa 9 mesi dal verificarsi dell’evento;

- Non risulta che qualcuno abbia avuto modo di visualizzare o scaricare il documento, non è giunta nessuna segnalazione al riguardo;

- Era noto a tutta la classe che era stata nominata un’insegnate di sostegno per affiancare un alunno con disabilità”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha reso disponibile, nella sezione del registro elettronico accessibile a tutti i genitori della classe 3,  sez. F della scuola primaria dell’Istituto,  il Programma educativo individualizzato riguardante i ragazzi con disabilità (PEI) elaborato per il figlio dei reclamanti.

Tale documento sarebbe stato visibile sul registro elettronico per circa ventidue minuti, in quanto successivamente l’insegnate avrebbe modificato le modalità di visualizzazione e avrebbe limitato la visibilità dello stesso ai soli genitori dell’alunno interessato.

L’immagine/screenshot dell’avviso di visibilità del Pei sul registro sarebbe stato, inoltre, pubblicata dal genitore di un alunno della 3 sez. F sulla chat di classe senza tuttavia scaricare e condividere il documento nella chat.

Con riguardo al profilo relativo alla messa a disposizione sulla chat di classe del richiamato documento, si evidenzia che la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere.

Con riguardo al diverso profilo relativo alla messa a disposizione dei due PEI sul registro elettronico da parte dell’insegnante si osserva quanto segue.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994) e comprende una pluralità di informazioni relative alla condizione di disabilità del ragazzo per il quale tale documento è predisposto tra cui una apposita  sezione dedicata ai dati relativi alla Diagnosi funzionale.

Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta in un’area riservata del registro elettronico, non accessibile a chiunque e tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, essendo tale area riservata accessibile a tutti i genitori della classe di riferimento (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute degli interessati.

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “gli appartenenti alla classe frequentata dall’alunno titolare del PEI (…) erano già a conoscenza della condizione dell’alunno in questione”.

Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’evento si è verificato in quanto la docente per un mero errore materiale ha inserito la spunta di un flag che ha determinato la visibilità del documento a tutti i genitori della classe;

- la visibilità della comunicazione a tutti i genitori è stata disattivata dopo appena 22 minuti;

- i genitori della classe, mediante pubblicazione nella chat dello screenshot inerente alla pubblicazione del PEI, sono venuti a conoscenza della disponibilità del PEI sul registro elettronico ma non risulta invece comprovato che i genitori abbiano effettivamente preso visione del contenuto del PEI stesso, pertanto, la comunicazione dei dati riguarda l’informazione che il reclamante ha un PEI, senza conoscere il contenuto dello stesso;

- la dirigente scolastica ha invitato la famiglia ad incontrarsi per parlare di quanto accaduto ma la famiglia non ha mai aderito all’invito;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019. con conseguente annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio, con sede in via Marco Aurelio, 2 - 00012 Guidonia Montecelio (Roma) - Codice Fiscale: 86003270583, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale Don Lorenzo Milani quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei
 

Scheda

Doc-Web
10126123
Data
27/02/25

Argomenti

Dati sanitari Scuola Studenti

Tipologie

Prescrizioni del Garante

Vedi anche (8)