g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 4 luglio 2024 [10039592]

Provvedimento del 4 luglio 2024 [10039592]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10039592]

Provvedimento del 4 luglio 2024

Registro dei provvedimenti
n. 403 del 4 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

L’Autorità ha ricevuto un reclamo con il quale il sig. XX ha lamentato che, facendo seguito al risultato di positività al Covid-19 riportato dal proprio figlio a seguito del tampone effettuato presso la “ULSS2 Marca Trevigiana”, una docente del Liceo Statale “Duca degli Abruzzi” di Treviso (di seguito, l’Istituto), avrebbe inviato ai compagni di classe del ragazzo e ai relativi genitori, una comunicazione contenente il provvedimento emesso al riguardo dai Servizi di Igiene e Sanità Pubblica della ASL,  con il quale si rendeva noto alla classe lo stato di positività al Covid-19 del minore stesso.

2. L’attività istruttoria.

Con nota del XX l’Istituto ha fornito riscontro alla richiesta di informazioni formulata dall’Autorità (nota del XX, prot. n. XX), rappresentando, in particolare che:

-  "non era a conoscenza dell’operato del docente che avrebbe divulgato dati personali secondo quanto esposto nel reclamo del sig. XX”;

- “dopo indagine interna, ha identificato nella Prof.ssa (…), la docente che, unitamente al provvedimento emesso dai Servizi di Igiene e Sanità Pubblica della ASL, ha identificato nel figlio del Sig. XX la persona affetta da COVID-19”;

- “il protocollo adottato dalla scuola, d’intesa con il SISP della ASL prevede che il provvedimento (anonimo) venga trasmesso ai membri della classe ed ai genitori”;

- “la Prof.ssa ha ricevuto ad inizio anno adeguata informativa sulla normativa relativa alla privacy”;

- “prontamente, a seguito della (…) segnalazione è stata emessa nei confronti della Prof.ssa (…) una contestazione di addebito per l’avvio di un procedimento disciplinare”;

-  “quanto accaduto è dovuto esclusivamente ad un mero errore materiale per un refuso”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX, (prot. n. XX) all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto l’invio, ai genitori dei compagni di classe dell’interessato, del messaggio di posta elettronica tramite registro elettronico contenente il provvedimento riguardante la “positività” dell’interessato emesso dai Servizi di Igiene e Sanità Pubblica della ASL, ha dato luogo a una “comunicazione” illecita di dati personali, anche relativi alla salute, in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter e 2- sexies del Codice.

L’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive con nota del XX, rappresentando che:

- “Come noto a Codesta Autorità, nel caso di specie l’insegnante della classe 4CA ha rivolto una comunicazione a mezzo registro elettronico inviata esclusivamente ai genitori del gruppo classe nella componente di studenti della stessa”;

- “Il fine della comunicazione voleva presumibilmente essere una legata alla comunicazione di positività di uno compagno di classe positivo al covid, tale comunicazione era stata indicata dal collega Prof. (…) il quale a sua volta comunicava il nome e cognome dello studente positivo al covid, tale comunicazione riguardava anche l’organizzazione della gita programmata già da tempo a cui il ragazzo avrebbe voluto partecipare dopo più di un anno di isolamento”;

- “tale comunicazione è stata cancellata e il suo contenuto non è stato oggetto né di circolari, né di delibere, né di altro documento indirizzato a non specifici destinatari”;

- “a conoscenza del Dirigente o del personale scolastico non è mai giunta notizia che tale comunicazione avesse, successivamente, creato situazioni imbarazzanti o offensive per lo studente”;

- “la comunicazione, che viene allagata alla presente, come si potrà ben comprendere, frutto di un errore legato alla fretta di comunicare agli studenti il caso di positività, all’interno del gruppo classe e non certamente un’azione volontaria da parte della docente. Si può supporre che la situazione di stress psicologico che in quei giorni, era molto presente e sicuramente tale situazione ha contribuito ad abbassare l’attenzione della docente”;

- “ogni anno, per decisione dei vari Dirigenti Scolastici, sono state emanate diverse circolari riguardanti il rispetto della privacy dei soggetti interessati per continuare a sensibilizzare nei docenti lo spirito di osservanza e rispetto della stessa. Si ritiene infatti il caso isolato e soprattutto determinato dalla situazione di stress psicologico a cui tutto il personale scolastico era sottoposto nella situazione emergenziale”;

- “la comunicazione in esame ha avuto natura istantanea e ha già trovato conclusione, aveva finalità organizzative e come indicato dal Decreto Legge 4 febbraio 2022,5 “Misure urgenti in materia di certificazioni verdi COVID-19 e per lo svolgimento in sicurezza delle attività nell'ambito del sistema educativo, scolastico e formativo. (22G00014) (GU Serie Generale n.29 del 04-02-2022)” in linea con l’esercizio della funzione docente ed è stata condivisa con un numero molto contenuto di destinatari”;

- “la comunicazione in esame ha avuto carattere certamente colposo, non risultando alcun elemento a sostegno del dolo della docente, anche dal tenore letterale della comunicazione”;

- “nel caso di specie, nessuna misura tecnica avrebbe potuto attenuare il rischio. In termini generali, si è provveduto ad informare, tramite circolare d’Istituto, che allego al presente documento, per sensibilizzare l’attenzione che ogni docente deve porre nel trattare i dati dei soggetti interessati nello special modo degli studenti”;

- “il Dirigente pro tempore ha richiamato la docente ad una maggiore attenzione al trattamento dei dati esortandola a prendere maggiormente in considerazione, oltre che le regole di trattamento, anche le conseguenze che può avere sugli interessati una comunicazione condivisa con tutti i genitori quand’anche concordata”.

Nel corso dell’audizione, tenutasi in data XX, l’Istituto ha dichiarato che:

-  “ad integrazione di quanto già in atti, rappresento che dal punto di vista dell’interessato non c’è stato alcun impatto negativo registrato successivamente all’evento né si è verificato altro evento simile o uguale. Abbiamo posto in essere le misure dichiarate già nelle memorie difensive, per attutire possibili effetti negativi, quali l’invio a tutti gli interessati di una comunicazione contenente la richiesta di cancellazione delle informazioni riguardanti l’interessato ricevute erroneamente, monitorando, tramite i docenti, l’avvenuta effettiva cancellazione. In termini generali si è provveduto a sensibilizzare tramite circolare d’Istituto, l’attenzione dei docenti nel trattamento dei dati degli studenti; c’è stato un richiamo scritto nei confronti della docente autrice dell’evento. L’evento è avvenuto in pieno Covid, in una situazione complessa anche dal punto di vista organizzativo. Come già evidenziato, il caso è totalmente isolato”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Ai sensi del Regolamento, il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali. (art. 2-ter, commi 1 e 3, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati (art. 5, del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento,  è stato accertato che, a seguito del risultato di positività al Covid-19 riportato dal figlio del reclamante a mezzo del tampone effettuato presso la “ULSS2 Marca Trevigiana”, una docente dell’Istituto ha inviato, ai genitori dei compagni di classe dell’interessato, un messaggio di posta elettronica tramite registro elettronico contenente il provvedimento emesso al riguardo dai Servizi di Igiene e Sanità Pubblica della ASL e informando altresì i predetti soggetti “della positività” dell’interessato.

Al riguardo si osserva che, ai sensi dell’art. 4 par. 1, n. 15 del Regolamento, sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”. Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che lo stato di positività al Covid-19 rappresenti una informazione relativa allo stato di salute dell’alunno al quale tale informazione viene riferita.

Sebbene, dunque, l’invio della comunicazione in questione, contenente informazioni relative allo stato di salute dell’interessato non abbia riguardato soggetti esterni alla comunità scolastica e non abbia determinato una diffusione di dati personali - la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero, determinato o determinabile, di soggetti, ossia tutti i genitori della classe (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una “comunicazione” dei dati personali dell’interessato.

Per tali ragioni l’Istituto ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, paragrafo 1, lett. a) del Regolamento e in assenza di un idoneo presupposto normativo, in violazione degli artt. 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.

4.  Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- la condotta illecita ha riguardato un solo interessato facente parte della comunità scolastica;

- si è trattato di un caso isolato;

- l’Istituto, a seguito dell’episodio verificatosi, ha sensibilizzato nuovamente la docente coinvolta nel caso in esame e tutto il personale docente e di segreteria in relazione alla disciplina sulla protezione dei dati personali;

- l’evento si è verificato nel contesto epidemico che ha comportato anche difficoltà organizzative per l’Istituto;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

- le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Statale “Duca degli Abruzzi” con sede in Via Caccianiga, n. 5, 31100, Treviso - Codice Fiscale 80011400266 descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Statale “Duca degli Abruzzi” quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10039592
Data
04/07/24

Argomenti

Minori Comunicazione a terzi Scuola

Tipologie

Prescrizioni del Garante

Vedi anche (1)