Pubblicazione dell’assenza del personale docente: violazione privacy

È illecita la pubblicazione on line da parte di una scuola dei dati relativi all’assenza in servizio del personale docente.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti

Il Garante per la protezione dei dati personali riceveva un reclamo da parte di una docente di un istituto comprensivo scolastico, con cui la stessa lamentava che la scuola avesse pubblicato sul proprio sito web istituzionale n. 37 determinazioni dirigenziali riguardanti aspetti organizzativi legati alla continuità didattica e alla gestione del rapporto di lavoro con la stessa (e con altri 3 docenti), indicando in particolare i giorni di assenza dal servizio effettuati dalla reclamante e da altro personale scolastico nonché alcuni dati personali degli stessi.
A fronte della richiesta da parte del Garante di fornire chiarimenti sulla vicenda e successivamente, dopo l’apertura del procedimento sanzionatorio, scritti difensivi in merito, l’istituto scolastico rappresentava che lo stesso procede con la sostituzione del personale docente conferendo delle supplenze brevi a partire dal primo giorno di assenza e che, per conferire la supplenza, avvia – mediante una determina dirigenziale – un apposito procedimento amministrativo ai sensi della Legge 241/90 il cui atto conclusivo deve per legge essere pubblicato sull’albo on line ai fini dell’efficacia giuridica del procedimento stesso. Infatti, ai sensi della legge sulla trasparenza della pubblica amministrazione, le determinazioni dirigenziali devono essere pubblicate obbligatoriamente on line.
In secondo luogo, l’istituto scolastico faceva presente che, in applicazione del principio di responsabilizzazione previsto dal Regolamento Europeo per la protezione dei dati personali (GDPR) a carico del titolare del trattamento, nel caso di specie detto istituto aveva valutato i dati minimi necessari da riportare all’interno delle determinazioni oggetto di reclamo, ritenendo di escludere da detti atti le causali di assenza e altre informazioni da cui si potessero ricavare categorie di dati particolari degli interessati (quali permessi sindacali o dati sanitari), ma – per mero errore materiale riconducibile ad un difetto di comunicazione tra l’Ufficio di Dirigenza e gli assistenti amministrativi che erano stati incaricati della pubblicazione, non erano stati rimossi il nome e cognome e le date di assenza dei docenti.
Infine, l’istituto dava conto di aver provveduto a rimuovere dal sito web le determinazioni in questione non appena ricevuto il reclamo.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

2. Pubblicazione dell’assenza del personale docente: valutazione del Garante

Preliminarmente, il Garante ha ricordato che i soggetti pubblici, anche nell’ambito del contesto lavorativo, possono trattare dati personali degli interessati, anche relativi a categorie particolari, soltanto se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri oppure quando il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Per quanto riguarda, poi, la diffusione dei dati personali (come la pubblicazione degli stessi su internet), i soggetti pubblici possono compiere tale operazione solo quando è prevista da una norma di legge o (nei casi previsti dalla legge) da una norma di regolamento.
Inoltre, anche nel caso in cui il soggetto pubblico sia legittimato a compiere le predette operazioni di trattamento, deve comunque rispettare le disposizioni del GDPR e in particolare i principi di liceità, correttezza e trasparenza nonché di minimizzazione, in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Nel caso di specie, è emerso che l’istituto ha pubblicato sul sito web istituzionale 37 determinazioni dirigenziali in cui erano presenti informazioni relative alla sostituzione e ai giorni di assenza dal servizio della reclamante e di altro personale scolastico, con l’indicazione altresì del nome e del cognome dei suddetti soggetti.
Secondo il Garante, la pubblicazione sul sito web istituzionale di dati personali, in assenza di un idoneo presupposto normativo, determina una diffusione illecita di dati: proprio come avviene nel caso di pubblicazione online di atti o documenti contenenti dati personali relativi ai giorni e alle causali di assenza dal servizio da parte di Istituti scolastici.
L’istituto non ha indicato una specifica norma (di legge o regolamento) che preveda la pubblicazione on line delle determinazioni relative alle brevi e saltuarie supplenze conferite per sostituire il personale docente assente e il generico riferimento agli obblighi di trasparenza non può ritenersi sufficiente a giustificare l’avvenuta pubblicazione da parte della scuola delle delibere in questione.
Infatti, secondo il Garante, la presenza di un regime di pubblicità di atti e documenti non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali in essi contenuti, né una deroga ai principi in materia di protezione dei dati personali; ciò in quanto anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati.
Pertanto, l’istituto scolastico non avrebbe dovuto riportare nelle delibere pubblicate alcun dato personale della reclamante o di altro personale docente, provvedendo invece a inserire gli “omissis” al loro posto o comunque ad anonimizzare detti dati.

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla scuola, consistente nella pubblicazione online sul proprio sito web istituzionale di informazioni relative all’assenza dal servizio della reclamante e di altri dipendenti, abbia dato luogo ad una diffusione dei dati personali in assenza di un idoneo presupposto di liceità e pertanto una condotta illecita.
Conseguentemente, il Garante, tenuto conto che l’istituto aveva già provveduto a rimuovere le delibere in questione, ha ritenuto di dover comminare soltanto una sanzione amministrativa pecuniaria a carico della scuola.
Per quanto concerne la sua quantificazione, il Garante ha valutato – dal punto di vista delle circostanze aggravanti – che gli interessati sono particolarmente vulnerabili nel contesto lavorativo e che pertanto i rischi per i diritti e libertà degli stessi sono molto probabili e gravi, nonché che i dati diffusi riguardavano le assenze effettuate dal personale docente durante l’anno scolastico e che la violazione si è protratta per un arco temporale esteso.
Dal punto di vista delle circostanze attenuanti, invece, il Garante ha valutato che l’istituto scolastico non aveva compiuto precedenti violazioni pertinenti e che ha collaborato con l’Autorità nel corso del procedimento, provvedendo a rimuovere le delibere subito dopo la ricezione del reclamo. 
Conseguentemente alla valutazione di tali elementi, il Garante ha quantificato la sanzione in €. 2.000 (duemila).