Provvedimento del 6 luglio 2023 [9920274]
Provvedimento del 6 luglio 2023 [9920274]
Condividi[doc. web n. 9920274]
Provvedimento del 6 luglio 2023
Registro dei provvedimenti
n. 288 del 6 luglio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. La segnalazione.
L’Autorità ha ricevuto una segnalazione in ordine alla pubblicazione, sul sito web istituzionale dell’Istituto di Istruzione Superiore Statale "Alessandro Volta" di Sassuolo (MO) degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023.
2. L’attività istruttoria.
Con nota del XX, rispondendo alla richiesta di informazioni formulata dall’Autorità, il dirigente scolastico dell’Istituto, ha rappresentato, che:
- “La pubblicazione sul sito istituzionale (…), degli elenchi dei nominativi relativi alla composizione delle classi prime è avvenuta in seguito ad una insistente pressione delle famiglie volta a conoscere l’appartenenza della classe del proprio figlio/figlia. Questo istituto per riscontrare le esigenze rappresentate dalle famiglie si è attivato immediatamente”;
- “valga considerare l’elevato numero di nuclei famigliari in questione e la diversa struttura culturale/sociale degli stessi, tale da rendere in molti casi estremamente complesso il procedimento di attivazione del portale del registro elettronico”;
- “L’Istituto, posta la suddetta situazione e la palese carenza di organico, in forza in quel periodo lavorativo, non riusciva a predisporre l’invio di mail in modo celere; perciò intraprendeva una strada risolutiva che fosse la più veloce e la più efficiente per riscontrare le esigenze rappresentate dei propri iscritti”;
- “La pubblicazione sul sito è stata poi rimossa in tempi molto rapidi”;
- “L’Istituto si è da subito attivato per ovviare all’accaduto e rafforzare le procedure e la formazione utile a evitare che episodi simili si ripetano”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX) all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito istituzionale degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023 ha dato luogo a una “diffusione” di dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5 e 6 del Regolamento e 2-ter e del Codice.
L’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
L’Istituto ha fatto pervenire le proprie memorie difensive con nota del XX (prot. n. XX), ribadendo che:
- “A partire dal mese di luglio XX, (la scuola aveva ricevuto) una moltitudine di solleciti e pressioni dalle famiglie dei nuovi iscritti che richiedevano di venire a conoscenza, nel più breve tempo possibile, dell'avvenuta iscrizione dei propri figli presso l'istituto e la conferma della classe/indirizzo scelto”;
- “l'istituto si trovava in una gravosa carenza di organico, (…) molte professionalità dell'Istituto (sia docenti che personale amministrativo) erano occupate nelle pratiche necessarie allo svolgimento degli esami di stato in corso”;
- L'utenza dell'istituto scolastico, (…) è medio/bassa, spesso poco strutturata sia dal punto di vista culturale che economico e perlopiù ubicata nei diversi comuni limitrofi e montani”;
- “in buona sostanza, la carenza di organico ha reso non attuabile, concretamente, l'attivazione del registro elettronico, che avrebbe necessitato che una o più risorse venissero adibite all'incombente”;
- "In quel frangente, la scuola ha ritenuto che, inserendo la composizione delle classi sul sito, in area riservata, le famiglie avrebbero potuto, in modo semplice ed immediato, senza fare appello a particolari competenze informatiche (…) spesso del tutto assenti, senza spostarsi da un luogo all'altro, (…) conoscere le informazioni richieste;
- “L'istituto scolastico in seguito alla segnalazione provvedeva immediatamente, il giorno stesso, a rimuovere i suddetti elenchi dal sito”;
- “Tutto il personale partecipa alla formazione privacy con regolarità ed efficienza, nonostante ciò, la Scrivente ha ritenuto di rafforzare la suddetta formazione e le procedure di controllo”.
Nel corso dell’audizione tenutasi in data XX l’Istituto scolastico ha dichiarato che:
- “il sito è strutturato in modo che i contenuti non sono immediatamente accessibili a tutti e non sono indicizzabili mediante ricerca effettuata tramite i comuni motori di ricerca”
- “i documenti non sono stati pubblicati in home page (…), sono stati pubblicati in una specifica sezione del sito web;
- tale “specifica sezione del sito web (…), se pur denominata (nelle memorie difensive) “area riservata”, non è accessibile soltanto mediante inserimento di specifiche credenziali di accesso” ma risulta liberamente accessibile;
- “i dati pubblicati sono solo il nome e cognome degli interessati e tale pubblicazione non ha arrecato danni ma al contrario le famiglie sono state agevolate. La procedura ha consentito alle stesse di avere conoscenza degli esiti della procedura di iscrizione agevolandole.”
3. Esito dell’attività istruttoria.
3.1 Normativa applicabile.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).
Il Regolamento prevede inoltre che il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, di seguito, il “Codice”).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” di dati personali (come la pubblicazione online) e nella “comunicazione” sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).
Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Istituto ha pubblicato sul sito web istituzionale, in una sezione liberamente accessibile, gli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023.
In via preliminare si evidenzia che, affinché uno specifico trattamento di dati personali possa essere lecitamente effettuato da parte di un soggetto pubblico, tale trattamento deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e deve trovare il proprio fondamento in una disposizione che abbia le caratteristiche di cui all’art. 2-ter del Codice.
In tale ambito l’amministrazione pubblica è tenuta a verificare, anche per i dati comuni, l’esistenza di una norma di legge o di regolamento che legittimi la pubblicazione dei dati personali degli interessati.
Al riguardo si rappresenta che l’Istituto scolastico non ha indicato alcuna specifica base giuridica idonea a legittimare la diffusione dei dati personali degli alunni interessati.
Risultano inoltre inidonee le motivazioni addotte dall’Ufficio Scolastico in base alle quali la pubblicazione dei predetti elenchi “è avvenuta in seguito ad una insistente pressione delle famiglie volta a conoscere l’appartenenza della classe del proprio figlio/figlia” ben potendo l’istituto perseguire tale eventuale obiettivo, conformemente alle disposizioni vigenti, con modalità meno invasive per il diritto alla riservatezza degli interessati.
Né può essere ritenuto sufficiente a giustificare la condotta dell’Istituto quanto asserito dall’Istituto in merito al fatto che l’elevato numero di nuclei famigliari in questione e la diversa struttura culturale/sociale degli stessi”, nonché “la carenza di organico” hanno reso “non attuabile, concretamente, l'attivazione del registro elettronico”:
Con specifico riferimento alla questione prospettata con la segnalazione, si evidenzia, inoltre, che il Garante, in collaborazione con il Ministero dell’Istruzione, è intervenuto con una specifica FAQ in merito alla questione relativa alla pubblicazione, sul sito internet degli istituti scolastici, di elenchi nominativi relativi alla composizione delle classi, fornendo specifiche indicazioni alle scuole in merito alle corrette modalità per assicurare la conoscibilità delle predette informazioni agli alunni e alle famiglie, nel rispetto della disciplina in materia di protezione dei dati personali (cfr. FAQ relative ai trattamenti dei dati personali nel contesto scolastico nel quadro dell’emergenza sanitaria, disponibili sul sito web dell’Autorità all’indirizzo www.gpdp.it doc. web n. 9337010, e, in particolare, FAQ n. 10, elaborata in collaborazione con il Ministero e disponibile anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html, vedi anche il Vademecum La scuola a prova di privacy, edizione 2023, doc. web 9887111).
Con la predetta FAQ è stato chiarito che la diffusione dei dati relativi alla composizione delle classi sul sito web degli istituti scolastici non è consentita in quanto tale operazione di trattamento è lecita solo nei casi previsti dal richiamato art. 2-ter del Codice. “Pertanto, le istituzioni scolastiche che intendano garantire in via preventiva la conoscibilità di tali dati dovranno utilizzare modalità idonee ad assicurare la tutela dei dati personali e i diritti degli interessati. A tal fine i nominativi degli studenti distinti per classe potranno essere resi noti per le classi prime delle scuole di ogni ordine e grado, tramite apposita comunicazione all'indirizzo e-mail fornito dalla famiglia in fase di iscrizione all'a.s. (…), mentre per le classi successive, ove ritenuto necessario, l’elenco degli alunni potrà essere reso disponibile nell'area documentale riservata del registro elettronico a cui accedono tutti gli studenti della classe di riferimento. In caso di comunicazione tramite e-mail, dovrà essere prestata particolare attenzione a inviare la stessa a ciascun destinatario con un messaggio personalizzato oppure a inviarla utilizzando il campo denominato “copia conoscenza nascosta” (ccn) al fine di non divulgare gli indirizzi e-mail forniti dalle famiglie”.
Alla luce delle considerazioni che precedono, la pubblicazione sul sito web istituzionale della scuola degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023, ha di fatto reso conoscibili ad una pluralità indeterminata di soggetti, informazioni relative agli alunni compresi nell’elenco determinando in tal modo una “diffusione” illecita di dati personali, in violazione degli artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice (sul punto v. anche provv. n. 383 del 6 dicembre 2012, doc. web n. 2217211 e provv. n. 170 del 19 marzo 2015, doc. web n. 4000105).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non
ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio, e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice.
Ciò premesso, tenuto conto che:
- Si tratta di un istituto scolastico statale di ridotte dimensioni;
- l’Istituto ha provveduto, in tempi brevi a rimuove il documento dal sito web;
- il trattamento non ha riguardo categorie particolari di dati personali (cfr. art. 9 del Regolamento);
- l’Istituto si è subito attivato per rafforzare le procedure di controllo e la formazione del proprio personale al fine di evitare che episodi simili a quello occorso si ripetano in futuro;
- il titolare del trattamento ha prestato ampia collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
Le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice.
Considerato che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione dei dati personali relativi al reclamante è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto di Istruzione Superiore "Alessandro Volta" di Sassuolo (MO) descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto di Istruzione Superiore "Alessandro Volta" di Sassuolo (MO) quale titolare del trattamento in questione, per aver violato gli artt. 5 e 6 del Regolamento e 2-ter del Codice, come sopra descritto;
- ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 6 luglio 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
