g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ammonimento
  4. Provvedimento del 13 aprile 2023 [9902516]

Provvedimento del 13 aprile 2023 [9902516]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9902516]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 185 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

L’Autorità ha ricevuto un reclamo dal sig.XX in ordine alla pubblicazione, nella sezione XX del sito web istituzionale dell’Istituto Comprensivo "Giovanni Falcone e Paolo Borsellino" di Gavorrano (GR), della nota n. XX del XX, recante gli elenchi nominativi relativi agli alunni ammessi alla frequenza del tempo pieno della scuola primaria presso il plesso di Scarlino Scalo dell’Istituto medesimo.

2. L’attività istruttoria.

Con nota del XX, rispondendo alla richiesta di informazioni formulata dall’Autorità, il dirigente scolastico dell’Istituto, ha rappresentato che:

- “La pubblicazione è avvenuta ritenendo di “adempiere un obbligo legale al quale è soggetto il titolare del trattamento”, come previsto dal Regolamento (UE) 2016/679 e ritenendo di non “arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati” (Art. 2-ter del Codice Privacy)”;

- “preso atto della segnalata F.A.Q., in cui il Garante e il Ministero dell’Istruzione forniscono precise disposizioni operative in merito” si è tempestivamente provveduto a:

- Rimuovere la pubblicazione del documento dal sito istituzionale;

- Comunicare alle famiglie degli studenti inclusi nell’elenco in parola, tramite email individuale, utilizzando il campo “copia conoscenza nascosta” (ccn), la ammissione alla frequenza del Tempo Pieno nel plesso di Scarlino Scalo;

- Comunicare alle famiglie degli studenti non ammessi, sempre con le stesse modalità, la possibilità di iscriversi al Tempo pieno nel Plesso di Scarlino Capoluogo”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del 7 settembre, all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito istituzionale della nota n. XX del XX recante gli elenchi nominativi relativi agli alunni ammessi alla frequenza del tempo pieno della scuola primaria presso il plesso di Scarlino Scalo dell’Istituto, ha dato luogo a una “diffusione” di dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter del Codice.

L’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive con nota del XX (prot. n. XX), ribadendo che:

-  "La pubblicazione è avvenuta ritenendo di “adempiere un obbligo legale al quale è soggetto il titolare del trattamento”, come previsto dal Regolamento (UE) 2016/679 e ritenendo di non “arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati”;

- “In data XX, a seguito della segnalazione (dell’) Autorità, si è provveduto a:

- Rimuovere tempestivamente la pubblicazione del documento dal sito istituzionale;

- Comunicare alle famiglie degli studenti inclusi nell’elenco in parola, tramite email individuale, utilizzando il campo “copia conoscenza nascosta” (ccn), la ammissione alla frequenza del Tempo Pieno nel plesso di Scarlino Scalo;

- Comunicare alle famiglie degli studenti non ammessi, sempre con le stesse modalità, la possibilità di iscriversi al Tempo pieno nel Plesso di Scarlino Capoluogo;

e specificando che:

- Al fine di prevenire eventi come quello contestato si è provveduto a impartire precise istruzioni al personale dipendente e si è programmato un corso di formazione destinato al personale di segreteria che, tenuto conto del continuo turn over del personale scolastico, si svolgerà nel mese di XX, non appena l’organico della Segreteria sarà nuovamente al completo.

- La violazione contestata non riguarda né dati “particolari” né, tantomeno, dati sensibili.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

Il Regolamento prevede inoltre che il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”  o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, di seguito, il “Codice”).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” di dati personali (come la pubblicazione online) e nella “comunicazione” sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Istituto ha pubblicato sul sito web istituzionale, nella sezione XX e, in particolare, all’url https://..., il decreto del dirigente scolastico n. XX del XX recante l’elenco nominativo e l’indicazione della classe di riferimento degli alunni ammessi, per l’a.s. 2022/23, alla frequenza del tempo pieno della scuola primaria presso il plesso di Scarlino Scalo dell’Istituto Comprensivo.

In via preliminare si evidenzia che, affinché uno specifico trattamento di dati personali possa essere lecitamente effettuato da parte di un soggetto pubblico, tale trattamento deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e deve trovare il proprio fondamento in una disposizione che abbia le caratteristiche di cui all’art. 2-ter del Codice.

In tale ambito l’amministrazione pubblica è tenuta a verificare, anche per i dati comuni, l’esistenza di una norma di legge, regolamento o di atti amministrativi generali che legittimino la pubblicazione dei dati personali degli interessati.

Al riguardo si rappresenta che l’Istituto scolastico non ha indicato alcuna specifica base giuridica idonea a legittimare la diffusione dei dati personali del reclamante.
Risultano inoltre inidonee le motivazioni addotte dall’Ufficio Scolastico in base alle quali la pubblicazione del provvedimento in esame sarebbe “avvenuta ritenendo di “adempiere un obbligo legale al quale è soggetto il titolare del trattamento”, come previsto dal Regolamento (UE) 2016/679 e ritenendo di non “arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati” (Art. 2-ter del Codice Privacy)” ben potendo tale eventuale obiettivo essere perseguito, conformemente alle disposizioni vigenti, con modalità meno invasive per il diritto alla riservatezza degli interessati.

Con specifico riferimento alla questione prospettata con il reclamo, si evidenzia, inoltre, che il Garante, in collaborazione con il Ministero dell’Istruzione, è intervenuto con una specifica FAQ in merito alla questione relativa alla pubblicazione, sul sito internet degli istituti scolastici, di elenchi nominativi relativi alla composizione delle classi, fornendo specifiche  indicazioni  alle scuole in merito alle corrette modalità per assicurare la conoscibilità delle predette informazioni agli alunni e alle famiglie, nel rispetto della disciplina in materia di protezione dei dati personali (cfr. FAQ relative ai trattamenti dei dati personali nel contesto scolastico nel quadro dell’emergenza sanitaria, disponibili sul sito web dell’Autorità all’indirizzo www.gpdp.it doc. web n. 9337010, e, in particolare, FAQ n. 10, elaborata in collaborazione con il Ministero e disponibile anche in https://...).

Con la predetta FAQ è stato chiarito che la diffusione dei dati relativi alla composizione delle classi sul sito web degli istituti scolastici non è consentita in quanto tale operazione di trattamento è lecita solo nei casi previsti dal richiamato art. 2-ter del Codice. “Pertanto, le istituzioni scolastiche che intendano garantire in via preventiva la conoscibilità di tali dati dovranno utilizzare modalità idonee ad assicurare la tutela dei dati personali e i diritti degli interessati. A tal fine i nominativi degli studenti distinti per classe potranno essere resi noti per le classi prime delle scuole di ogni ordine e grado, tramite apposita comunicazione all'indirizzo e-mail fornito dalla famiglia in fase di iscrizione all'a.s. (…), mentre per le classi successive, ove ritenuto necessario, l’elenco degli alunni potrà essere reso disponibile nell'area documentale riservata del registro elettronico a cui accedono tutti gli studenti della classe di riferimento. In caso di comunicazione tramite e-mail, dovrà essere prestata particolare attenzione a inviare la stessa a ciascun destinatario con un messaggio personalizzato oppure a inviarla utilizzando il campo denominato “copia conoscenza nascosta” (ccn) al fine di non divulgare gli indirizzi e-mail forniti dalle famiglie”.

Alla luce delle considerazioni che precedono, la pubblicazione nella sezione XX del sito web istituzionale dell’Istituto Comprensivo del provvedimento del dirigente scolastico n. XX del XX, recante l’indicazione dei nominativi degli alunni  ammessi, per l’a.s. 2022/23, alla frequenza del tempo pieno della scuola primaria presso il plesso di Scarlino Scalo dell’Istituto e l’indicazione della classe di assegnazione degli stessi, ha reso conoscibili ad una pluralità indeterminata di soggetti, informazioni relative al figlio del reclamante e ad altri interessati determinando in tal modo una “diffusione” illecita di dati personali, in violazione degli artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice (sul punto v. anche provv. n. 383 del 6 dicembre 2012, doc. web n. 2217211 e provv. n. 170 del 19 marzo 2015, doc. web n. 4000105).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice.

Ciò premesso, tenuto conto che:

il titolare del trattamento è un istituto scolastico e che trattasi, pertanto, di un soggetto di ridotte dimensioni

la condotta illecita è stata determinata dall’erronea convinzione che l’istituto fosse tenuto ad effettuare la pubblicazione del predetto documento per “adempiere un obbligo legale al quale è soggetto il titolare del trattamento”;

si è trattato di un caso isolato e l’Istituto ha provveduto, in tempi brevi a rimuove il provvedimento dal sito web;

l’Istituto, in conseguenza dell’episodio verificatosi, ha provveduto a impartire precise istruzioni al personale dipendente e ha programmato un corso di formazione destinato al personale di segreteria;

il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

si tratta di un istituto scolastico

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice.
Considerato che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione dei dati personali relativi al reclamante è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo Statale “Giovanni Falcone e Paolo Borsellino” di Gavorrano (GR) descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale “Giovanni Falcone e Paolo Borsellino” di Gavorrano (GR) quale titolare del trattamento in questione, per aver violato gli artt. 5 e 6 del Regolamento e 2-ter del Codice, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9902516
Data
13/04/23

Argomenti

Minori Scuola

Tipologie

Ammonimento

Vedi anche (9)