Illegittima la diffusione dei nominativi degli studenti: la decisione del Garante n. 288 del 2023
Rilevata illiceità del trattamento di dati personali effettuato dall'istituto grazie alla segnalazione in ordine alla pubblicazione, sul sito web istituzionale, degli elenchi nominativi relativi alla composizione delle classi prime per l'anno scolastico 2022/2023.
La pubblicazione sul sito istituzionale degli elenchi nominativi ha dato luogo a una "diffusione" di dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5 e 6 del Regolamento e 2-ter e del Codice e qualificata come "violazione minore" ai sensi del cons. 148 del Regolamento e delle "Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679.
Sufficiente ammonire il titolare del trattamento, considerata la condotta e cessata la pubblicazione dei dati personali.
Il fatto
Un istituto tecnico superiore è stato considerato responsabile di illegittima condotta per aver pubblicato sul sito istituzionale (in apposita sezione del sito web) liberamente accessibile a tutti gli elenchi nominativi delle classi prime per l'a.s. 2022/2023 (Provvedimento del 6 luglio 2023).
L'Ufficio scolastico ha fatto pervenire le proprie difese all'Autorità ribadendo che: "La pubblicazione sul sito istituzionale (…), degli elenchi dei nominativi relativi alla composizione delle classi prime è avvenuta in seguito ad una insistente pressione delle famiglie volta a conoscere l'appartenenza della classe del proprio figlio/figlia" e che è stata rimossa in tempi molto rapidi.
In questi casi, l'unica alternativa giustificata per rendere noti i nominativi degli alunni solo a chi di dovere è quella di utilizzare l'indirizzo e-mail fornito dalla famiglia in fase di iscrizione alle classi successive, oppure renderlo visibile nell'area documenti riservati del registro elettronico, al quale accedono soltanto gli alunni della classe di riferimento.
Su questo punto, la scuola ha risposto negativamente per "palese carenza di organico tale da rendere difficoltosa la riuscita dell'invio mail in modo celere ed elevato numero di nuclei famigliari di diversa struttura culturale/sociale tale da rendere in molti casi estremamente complesso il procedimento di attivazione del portale del registro" (entrambe giustificazioni inidonee).
Normativa di riferimento
Il Garante, in collaborazione con il Ministero dell'Istruzione, è intervenuto con una specifica FAQ in merito alla questione relativa alla pubblicazione, sul sito internet degli istituti scolastici, di elenchi nominativi relativi alla composizione delle classi, fornendo specifiche indicazioni alle scuole in merito alle corrette modalità per assicurare la conoscibilità delle predette informazioni agli alunni e alle famiglie, nel rispetto della disciplina in materia di protezione dei dati personali.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il "Regolamento"), definisce "dato personale", "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")", "si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale" (art. 4, par. 1, n. 1, del Regolamento). E, secondo l'art. 4, n. 12 del Regolamento, costituisce violazione di dati personali ogni "violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati" perché, del resto, se non affrontata in modo adeguato e tempestivo può provocare danni fisici, materiali e immateriali (come la discriminazione, il furto o l'usurpazione di identità).
Il trattamento di dati personali rimane lecito solo "per adempiere un obbligo legale al quale è soggetto il titolare del trattamento" e "per l'esecuzione di un compito di interesse pubblico" (art. 6, paragrafo 1, lett. c).
Di conseguenza per la scuola in specie è stata rilevata l'illiceità in violazione degli artt. 5 e 6 del Regolamento nonché dell'art. 2 -ter del Codice.
Si evidenziano ulteriori strumenti utili per rafforzare la formazione sulla privacy e prevenire episodi simili, come la già citata FAQ del Garante in collaborazione con il Ministero dell'Istruzione, intervenuto in merito alla questione (www.gpdp.it), il Vademecum dell'edizione 2023 (La scuola a prova di privacy), il quale ricorda "In un contesto in cui l'innovazione tecnologica rivoluziona i processi formativi – dall'uso del web ai tablet su cui consultare i libri, dai sistemi di messaggistica e i social media al registro elettronico – resta centrale la necessità di riaffermare quotidianamente, anche in ambito scolastico, quei principi di civiltà e rispetto, come la riservatezza e la dignità della persona, che devono sempre essere al centro della formazione di ogni cittadino di oggi e di domani" e le nuove Linee Guida, trattasi questa di un'occasione per le amministrazioni scolastiche, non solo di prendere visione degli aggiornamenti relativamente al nuovo compito del DPO di compilare il registro delle violazioni privacy, ma anche di stimolare la partecipazione agli appositi programmi di formazione rivolti al personale scolastico in tema di obblighi di privacy e sicurezza, nonché a consultare periodicamente la documentazione relativa.
Effetti della decisione
Essendo una scuola statale di ridotte dimensioni, con una scarsa presenza di organico ma anche di violazioni precedenti e che ha provveduto in tempi rapidi a rimuovere il documento con i dati (tra l'altro non categorie particolari di dati personali cfr. art. 9 del Regolamento) dal sito, la violazione privacy non prevede nessuna sanzione pecuniaria, quanto invece una serie di condizioni obbligatorie, alcune delle quali già svolte, come appunto, dimostrare collaborazione con il Garante Privacy.
Pertanto il caso è stato qualificato come "violazione minore" degli artt. 5 e 6 del Regolamento e 2-ter e del Codice ai sensi del cons. 148 del Regolamento e delle "Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679".