g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Istituto Comprensivo Statale Crucoli Torretta - 9 luglio 2020 [9451734]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9451734]

Ordinanza ingiunzione nei confronti di Istituto Comprensivo Statale Crucoli Torretta - 9 luglio 2020

Registro dei provvedimenti
n. 140 del 9 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Introduzione.

L’Autorità ha ricevuto talune segnalazioni con le quali è stato rappresentato che l’Istituto Comprensivo Statale “Crucoli Torretta” di Crucoli, avrebbe reso pubblica, mediante diffusione sul sito web istituzionale, una graduatoria relativa agli studenti che hanno presentato domanda per partecipare all’XX, pubblicando una serie di informazioni relative agli stessi tra cui “dati relativi alla dispersione, alle insufficienze, all’isee, alla disabilità ecc.”.

2.  L’attività istruttoria.

Dall’istruttoria preliminare effettuata dall’Ufficio in data XX è emerso che le predette graduatorie, risultavano visibili e liberamente scaricabili all’url: https://... e, in particolare all’indirizzo: https://...

Al riguardo, l’Istituto scolastico ha fornito riscontro alla richiesta di informazioni di questa Autorità (nota prot. n. XX del XX) con la nota prot. n. XX del XX.

Nello specifico, in risposta alla richiesta di informazioni di questo Dipartimento, il dirigente scolastico dell’Istituto, ha rappresentato, in particolare, che:

- L’Assistente amministrativo “sig. (…), nell’ambito dell’espletamento del servizio riferito all’incarico (…), ha erroneamente pubblicato sul sito della scuola ed all’albo pretorio, le graduatorie provvisorie e definitive riferite al reclutamento degli alunni partecipanti al sopra citato Progetto POR Calabria, elaborate in fase procedurale e da tenersi esclusivamente agli atti d’ufficio perché contenenti dei dati sensibili riferiti agli alunni partecipanti e relativi alla situazione economica, all’insufficiente situazione didattico-educativa ed alla disabilità (…) e anziché pubblicare, correttamente, le graduatorie contenenti solo il punteggio finale assegnato ad ogni alunno (…)”;

- “le graduatorie (…) sono state sostituite sul sito web dell’Istituto (…) con le graduatorie contenenti solo il punteggio totale attribuito agli allievi (…).

L’Ufficio, sulla base dalle verifiche compiute e degli elementi acquisiti, anche attraverso la documentazione inviata dall’Istituto scolastico, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha accertato che la scuola, pubblicando sul sito web istituzionale, al richiamato  all’url: https://... e, in particolare all’indirizzo: https://.., le graduatorie relative agli studenti partecipanti alla richiamata selezione, recanti in chiaro informazioni personali non necessarie rispetto alle finalità perseguite con la pubblicazione, tra le quali l’indicazione del punteggio ottenuto dagli alunni in base a taluni indici quali: dispersione scolastica, insufficienze, Isee nonché dati relativi alla salute di un interessato, ha determinato un’indebita diffusione di dati personali.

Pertanto, si è proceduto alla notifica delle violazioni effettuate, prevista dall’art. 166, comma 5, del Codice, all’Istituto scolastico, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento e invitando il predetto Istituto a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito dall’Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio ha ritenuto che la pubblicazione delle predette graduatorie sia avvenuta in violazione della normativa a tutela dei dati personali, determinando un trattamento di dati personali:

a) non conforme ai principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;

b) in assenza di un presupposto normativo, per la pubblicazione di informazioni personali non necessarie rispetto alle finalità perseguite con la pubblicazione, tra le quali l’indicazione del punteggio ottenuto dagli alunni in base a taluni indici quali: dispersione scolastica, insufficienze, Isee nonché dati relativi alla salute di un interessato, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art.  2-ter, commi 1 e 3, del Codice;

c) in violazione del divieto di diffusione di dati relativi alla salute (art. 9, parr. 1, 2, 4, del Regolamento di cui all’art. 2-septies, comma 8, del Codice).

Con nota del XX (prot. n. XX) il Dirigente scolastico reggente ha fatto pervenire le memorie difensive, specificando, in particolare che: Gli elementi di valutazione specifici ed obiettivi in rapporto alle violazioni contestate vengono forniti dalla dichiarazione del D.S. reggente a.s. 2018/2019 prof. XX, dal Dott. XX che al momento della violazione ricopriva l’incarico di RDP e dalla documentazione presente agli atti che è stata già trasmessa dall’I.C. di Crucoli al Garante in riscontro alla richiesta di informazioni:

- “nell’ambito della selezione degli allievi partecipanti al Progetto POR Calabria in esame, erano state prodotte, sulla base delle domande dei genitori due graduatorie: la prima elaborata in fase procedurale e da tenersi esclusivamente agli atti d’ufficio contenente dati sensibili riferiti agli alunni partecipanti relativi alla situazione economica, all’insufficiente situazione didattico - educativa ed alla disabilità e che è stata propedeutica alla definizione del punteggio totale da attribuire a ciascun allievo; la seconda, da pubblicare all’albo pretorio era quella contenente il solo punteggio totale assegnato ad ogni alunno partecipante, priva pertanto delle colonne relative ai punteggi parziali attribuiti per ciascuna delle variabili riferite al rischio dispersione scolastica, alla situazione reddituale ed alla disabilità” Dagli atti risulta un errore nella pubblicazione della graduatoria ,  redatta in duplice versione , in una di queste venivano indicati dati sensibili e questa per errore è stata pubblicata. (come da dichiarazione allegata dell’Assistente Amministrativo (…)).  Inoltre, nella dichiarazione del D.S. reggente a.s. 2018/2019 (…): “la pubblicazione della prima graduatoria al posto della seconda, non debba essere considerata un atto colposo di volontaria violazione della privacy ma sia stato solo un mero errore materiale dovuto anche all’enorme carico di lavoro amministrativo derivante dalla situazione di sotto e di conseguente   presenza di un DSGA incaricato della reggenza, dell’Istituto Scolastico Comprensivo di Crucoli”;

- Facendo seguito alla comunicazione a mezzo PEC del Garante della Privacy (…) il RDP (…) in data XX ha fornito a mezzo PEC le indicazioni per la rettifica atte ad adeguare il trattamento dei dati ai criteri di liceità e minimizzazione, e in data XX dal sito dell’Istituto è stata rimossa la graduatoria nella quale erano presenti categorie di dati particolari;

- Il D.S. reggente a.s. 2018/2019 (…)  sottolinea che: “In riferimento all’art. 83 paragrafo 2 lettere f), i) e j) del Regolamento, che ha provveduto ad avviare, tempestivamente, un formale procedimento disciplinare nei confronti del suddetto assistente amministrativo (…) chiuso e sanzionato con un richiamo verbale trasmesso anche all’USR Calabria”;

- l’Istituto in seguito alla comunicazione a mezzo PEC del Garante della Privacy del XX (…) ha prodotto le notizie richieste con risposta scritta al Garante trasmessa in data XX XX e ha provveduto alla rimozione della graduatoria;

3. Esito dell’istruttoria relativa al reclamo presentato. Normativa applicabile.

Ai sensi della disciplina in materia, “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” (art. 4, par. 1, n. 1, del Regolamento). Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (ibidem).

Il trattamento di dati personali effettuato in ambito pubblico è lecito solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e)).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali (come la pubblicazione in Internet) in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c).

In ogni caso, resta assolutamente vietata la diffusione di dati relativi alla salute (art. 9, parr. 1, 2 e 4, del Regolamento, art. 2-septies, comma 8, del Codice,), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35, del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, e considerato che, con riferimento al caso di specie, le memorie difensive prodotte dall’Istituto non hanno prodotto elementi tali da determinare l’archiviazione del procedimento, si confermano le valutazioni preliminari dell’Ufficio, e si rileva l’illiceità del trattamento di dati personali effettuato dal Istituto comprensivo statale “Crucoli Torretta” per aver diffuso, tramite la pubblicazione sul sito web istituzionale, le graduatorie relative agli studenti partecipanti alla richiamata selezione, recanti in chiaro informazioni personali non necessarie rispetto alle finalità perseguite con la pubblicazione, tra cui l’indicazione del punteggio ottenuto dagli alunni in base a taluni indici quali: dispersione scolastica, insufficienze, Isee nonché dati relativi alla salute di un interessato, determinando in tal modo un’indebita diffusione di dati personali.

Tale pubblicazione è avvenuta quindi in violazione della normativa a tutela dei dati personali e, specificamente:

a) in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1,” (par. 1, lett. a) e c) del Regolamento;

b) in assenza di un presupposto normativo per la pubblicazione di informazioni personali non necessarie rispetto alle finalità perseguite con la pubblicazione, tra cui l’indicazione del punteggio ottenuto dagli alunni in base a taluni indici quali: dispersione scolastica, insufficienze, Isee nonché dati relativi alla salute di un interessato, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art.  2-ter, commi 1 e 3, del Codice;

c) in violazione del divieto di diffusione di dati relativi alla salute (art. 9, parr. 1, 2, 4, del Regolamento e art. 2-septies, comma 8, del Codice).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Istituto scolastico ha dichiarato di aver provveduto a rimuovere la graduatoria dal sito della scuola, circostanza verificata dall’Ufficio, non ricorrono i presupposti per l’adozione di misure correttive, di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 Regolamento)

La violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2, 4, del Regolamento; artt. 2-ter commi 1 e 3 e 2-septies, comma 8, del Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i); 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso» e, in tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha avuto a oggetto la diffusione dei dati personali non necessari rispetto alle finalità sottese alla pubblicazione delle graduatorie tra cui l’indicazione del punteggio ottenuto dagli alunni in base a taluni indici quali: dispersione scolastica, insufficienze, Isee nonché dati relativi alla salute di un interessato. Tali informazioni, pur non fornendo direttamente indicazioni relative al livello di difficoltà scolastica in cui versano i minori, all’indicatore Isee e alla salute dei soggetti riportati nella graduatoria, rivelano, in ogni caso, che taluni dei minori iscritti nelle suddette graduatorie incontrano difficoltà scolastiche, economiche e problemi di salute. La diffusione inoltre, pur essendo riferita a un esiguo numero di soggetti, ha riguardato persone particolarmente vulnerabili quali i minori.

Di contro è stato considerato: il carattere colposo della condotta in quanto la pubblicazione è da imputarsi ad un mero errore di un assistente amministrativo; che l’Istituto si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni e ha quindi collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; che l’istituto scolastico ha avviato una serie di azioni volte a implementare le misure tecniche e organizzative. Non risultano, inoltre, eventuali precedenti violazioni del Regolamento pertinenti commesse della scuola.

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di dover determinare ai sensi dell’art. 83, par. 2, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del Regolamento; 9, parr. 1, 2, 4, del Regolamento, artt. 2-ter commi 1 e 3 e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

In relazione alle specifiche circostanze del presente caso, si ritiene altresì, anche in considerazione della particolare vulnerabilità degli interessati coinvolti; della tipologia di dati oggetto di illecita diffusione; che debba applicarsi la sanzione accessoria della pubblicazione del presente provvedimento sul sito web del Garante, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

Dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, e 144 del Codice, l’illiceità del trattamento di dati personali effettuato dall’Istituto Comprensivo Statale “Crucoli Torretta”, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, c) ed e), par. 2 e par. 3, lett. b); art. 9, parr. 1, 2, 4, del Regolamento; artt. 2-ter commi 1 e 3 e 2-septies, comma 8, del Codice, nei termini di cui in motivazione;

ORDINA

all’Istituto Comprensivo Statale “Crucoli Torretta”, con sede legale in Via Nicholas Green snc, 88812 - Crucoli (KR)  – C.F. 91021270797,  in persona del legale rappresentante pro-tempore, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

al medesimo Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia