>>>Leggi l’intervento del Garante<<<
1. I fatti
Un docente di un istituto scolastico superiore aveva presentato un reclamo al Garante per la protezione dei dati personali, lamentando che l’istituto scolastico aveva pubblicato, all’interno di una sezione del registro elettronico dedicata ai docenti, un documento relativo all’orario scolastico definitivo che conteneva, a fianco del nominativo del docente reclamante, il riferimento al fatto che lo stesso fruisse dei benefici derivante dalla legge n. 104 del 1992.
Nello specifico, il riferimento contestato si sostanziava nella indicazione “legge 104 non grave”.
A seguito della ricezione del reclamo, il Garante chiedeva chiarimenti alla scuola, la quale faceva presente al Garante le circostanze in cui si era verificata la pubblicazione del documento.
In particolare, l’istituto scolastico sosteneva che tutti i dipendenti e i collaboratori della scuola erano stati appositamente nominati dall’Istituto quali “soggetti autorizzati al trattamento” ed avevano ricevuto una specifica formazione in materia di privacy, dove era stato chiarito più volte il divieto di pubblicare i dati sensibili degli interessati.
In secondo luogo, la scuola faceva presente che tutto il personale della segreteria era perfettamente edotta della sussistenza di tale divieto e che pertanto la pubblicazione del dato in questione era avvenuta in maniera involontaria. In particolare, il documento contenente l’orario definitivo della scuola era stato pubblicato in una versione (composta da tre fogli, anziché solo dalla prima pagina) che era destinata al solo uso interno del personale di segreteria.
In terzo luogo, l’istituto rilevava come la pubblicazione del documento era avvenuta in una sezione del registro elettronico che era accessibile ai soli docenti e che questi ultimi erano reciprocamente a conoscenza del fatto che alcuni di loro erano destinatari di benefici in base alla Legge 104. In altri termini, secondo la Scuola, pur sostanziandosi in un dato relativo alla salute, l’applicazione dei privilegi ai sensi della citata norma e i relativi motivi di applicabilità erano stati condivisi volontariamente dai docenti interessati con gli altri colleghi (facendo così diventare lecita la loro divulgazione in quanto dati personali resi manifestamente pubblici dall’interessato).
Inoltre, la Scuola rilevava che per poter prendere visione del documento in questione e quindi del riferimento alla legge 104 era necessario compiere una serie di passaggi all’interno dell’applicazione del registro elettronico e che soltanto i docenti potevano comunque accedere a tale informazione.
In conclusione, la scuola rilevava come dal documento non era possibile conoscere il motivo in base al quale erano stati ottenuti dal reclamante i benefici ai sensi della Legge 104 e che la stessa Scuola – non appena venuta a conoscenza della pubblicazione involontaria del riferimento, ha immediatamente provveduto a cancellare il file che lo conteneva.
In considerazione di ciò, il Garante ha ritenuto di proseguire con il procedimento nei confronti dell’Istituto scolastico.
Potrebbero interessarti anche:
- È illecita la pubblicazione di dati personali nell’albo pretorio comunale oltre il termine di 15 giorni previsto dalla normativa sulla pubblicazione degli atti pubblici
- La pubblicazione sul sito web aziendale della ASL dei dati relativi ai soggetti che hanno ottenuto un risarcimento danni dall’azienda sostanzia una illecita diffusione di dati anche relativi alla salute
- È illecita la pubblicazione on-line da parte della Regione di un documento contenente i dati personali di due soggetti creditori della stessa in virtù di una Sentenza esecutiva
2. La decisione del Garante
Preliminarmente il Garante ha ricordato che la disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, nonché che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Dall’istruttoria svolta è emerso che l’Istituto scolastico ha reso disponibile all’interno del registro elettronico riservato ai soli docenti un documento all’interno del quale, a fianco del nominativo di uno dei docenti, era contenuto il riferimento al fatto che quest’ultimo fruisse dei benefici della Legge 104 e altre informazioni relative a vicende personali e familiari o legate al rapporto di lavoro di ciascuno.
Ciò detto, il Garante ha precisato che anche il riferimento alla legge 104 (normativa che disciplina benefici per l’assistenza e l’integrazione sociale e lavorativa di persone disabili o di loro familiari) sostanzia un dato personale relativo alla salute, in quanto permette di ricavare informazioni sullo stato di salute di una persona.
Inoltre, secondo la normativa privacy, i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato.
In considerazione di quanto sopra, il Garante ha ritenuto che la pubblicazione del riferimento alla fruizione dei benefici ex legge 104 all’interno di una sezione del registro elettronico riservata ai docenti, ha permesso ad un numero ampio di soggetti, cioè tutti i docenti dell’istituto, la conoscibilità di dati personali relativi alla salute del reclamante (e di altri colleghi).
Il fatto che tutti i docenti fossero reciprocamente a conoscenza di quali docenti avessero beneficiato della legge 104, in quanto questi ultimi avevano condiviso la loro situazione con gli altri colleghi, è irrilevante e non giustifica la condotta dell’Istituto scolastico.
Pertanto, posto che secondo il Garante tutto il personale della scuola non può essere ritenuto autorizzato a trattare i dati oggetto del procedimento, il fatto che tale dato fosse stato reso conoscibile da tutti i docenti, sostanzia un comportamento del titolare del trattamento non conforme alla normativa in materia di protezione dei dati personali.
Conseguentemente, l’autorità ha sanzionato l’istituto scolastico con una sanzione amministrativa pecuniaria, che – tenendo conto di tutti gli elementi emersi nel corso dell’istruttoria e sopra descritti – è stata liquidata in €. 2.500.
E-book consigliato
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento