Il Garante ammonisce un’università per aver somministrato agli alunni di una classe elementare un test psicologico senza rispettare la normativa privacy.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
I genitori di 18 alunni che frequentavano la classe terza della scuola elementare laziale presentavano un reclamo al Garante per la protezione dei dati personali, lamentando che l’Università di Roma La Sapienza dovesse violato la privacy dei loro figli durante la realizzazione di un progetto di ricerca scientifica.
In particolare, i reclamanti sostenevano che gli alunni avevano ricevuto tre questionari e successivamente avevano sostenuto un colloquio personale con una maestra della scuola e con una ricercatrice dell’Università per raccogliere informazioni relative alla vita sessuale dei giovani partecipanti (nello specifico era stato somministrato il test di nome “Erickson tscc”, volto ad evidenziare possibili situazioni di abusi sessuali fisici subiti dai bambini).
Unitamente ai questionari, venivano somministrati agli studenti anche delle schede per la raccolta dei seguenti dati personali per ogni bambino: sigla (contenente le iniziali del nome del cognome); età e sesso; professione, titolo di studio ed età del padre e della madre; numero di fratelli e sorelle età degli stessi. All’interno di dette schede, inoltre, venivano scritti i medesimi codici identificativi (formato da un numero e due o tre lettere) che erano riportati o tre teste somministrati e completati dagli alunni.
In considerazione del fatto che alcuni bambini erano stati turbati dall’invasività delle domande ricevute durante il progetto di ricerca, ogni genitore aveva formulato alla scuola una richiesta di restituzione del test del proprio figlio, indicando il codice identificativo personale; tuttavia la dirigente scolastica aveva rifiutato l’istanza di accesso e di restituzione del test sostenendo che le informazioni raccolte fossero anonime.
Il garante, quindi, inviava una richiesta di informazioni sia all’università, che alla scuola.
L’università affermava che il progetto di ricerca era stato preceduto da una richiesta di adesione all’istituto scolastico, che aveva approvato il progetto anche tramite il collegio docenti, nonché da una richiesta di consenso ai genitori degli alunni interessati nel trattamento dei dati dei propri figli in modo anonimo e per esclusivi fini di ricerca.
In secondo luogo, l’università sosteneva che ogni test fosse stato esclusivamente siglato senza che fosse possibile riconoscere l’identità dei bambini e al termine della somministrazione di test erano stati creati dei pacchetti di test con la stessa sigla, che li rendeva del tutto anonimi e non associabili ai singoli bambini. In considerazione di ciò, secondo l’università, nessuno avrebbe potuto estrapolare i risultati del test, né tantomeno ricondurre un test ad un singolo alunno.
Infine, l’università precisava che la somministrazione agli alunni dei testi in questione era stata effettuata dagli stessi insegnanti della scuola e la ricercatrice universitaria non aveva mai preso visione delle risposte fornite dagli alunni, nonché che i plichi dei test non erano mai stati consegnati all’università né alla ricercatrice (a causa del ritiro del consenso da parte dei genitori) ed erano rimasti, dopo il loro ritiro, vigilati custoditi all’interno della cassaforte della scuola e successivamente consegnato, sempre sigillati, agli ispettori ministeriali che si erano recati nella scuola per svolgere un’indagine sulla questione.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
20.00 €
2. Università somministra test psicologico senza rispettare normativa privacy: valutazione del Garante
Preliminarmente il garante ha ricordato che per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (il c.d. “interessato”) e che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Mentre si considerano dati personali anche quelli oggetto di una procedura di pseudonimizzazione, a meno che le informazioni aggiuntive necessarie per risalire ad ogni interessato siano conservate separatamente e soggetto a misure tecniche organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Infatti, il dato anonimizzato, al quale non si applica la disciplina in materia di protezione dei dati personali, è tale solo se non consente l’identificazione diretta o indiretta di una persona tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato. In altri termini, affinché vi sia una effettiva anonimizzazione, il processo utilizzato deve impedire che sia possibile isolare una persona in un gruppo, collegare un dato hanno iniziato a dati riferiti a una persona presente in un indistinto insieme di dati, dedurre nuove informazioni riferibili a una persona da un dato anonimizzato.
Inoltre, secondo il garante, la non identificabilità degli interessati deve essere correlata al fatto che non vi sia univocità all’interno della banca dati considerata e non semplicemente al fatto che i dati identificativi dell’interessato non siano intellegibili.
Per poter legittimamente trattare i dati personali (non anonimizzati), il titolare deve fornire agli interessati le informazioni sul trattamento che sono previste dal regolamento europeo per la protezione dei dati personali.
In secondo luogo, il garante ha ricordato che i dati relativi alla salute, alla vita sessuale all’orientamento sessuale, sono classificati come categorie di dati particolari, rispetto ai quali il trattamento e in via generale vietato, a meno che non ricorrano le condizioni previste dal regolamento europeo per la protezione dei dati personali.
Infine, il garante ha ricordato che, nel caso in cui il titolare del trattamento intende effettuare detto trattamento attraverso a un soggetto terzo, deve ricorrere a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche organizzative adeguate per garantire la tutela dei dati personali secondo i requisiti previsti dal citato regolamento europeo e deve disciplinare i rapporti con tali soggetti (nominati responsabili del trattamento) attraverso un contratto o un altro atto giuridico che vincoli il responsabile del trattamento al titolare.
Nel caso di specie, è stato accertato che l’università non ha mai raccolto i test in questione (in quanto sono stati sigillati all’interno della scuola), ma che vi è comunque stato un trattamento da parte della scuola e ha somministrato i test agli alunni, li ha successivamente raccolti e poi archiviati. Inoltre, è stato accertato che i dati contenuti all’interno dei suddetti test, anche se oggetto di forme di codifica, non possono essere considerati anonimi, in quanto le suddette modalità di codifica non sono idonee a rendere effettivamente anonimizzati i dati.
In considerazione alle modalità con cui sono stati trattati dati, quindi, l’università, quale titolare del trattamento (perché ha scelto le modalità e le finalità del trattamento medesimo), avrebbe dovuto fornire specifiche istruzioni alla scuola all’interno di un contratto di un altro atto giuridico con cui la nominava responsabile del trattamento e individuava la durata del trattamento, la natura e la finalità, il tipo di dati personali e le categorie di interessati nonché gli obblighi e diritti del titolare del trattamento. Nel caso di specie, invece, l’università non ha designato la scuola quale responsabile, ne ha fornito alcune istruzioni in merito al trattamento.
In secondo luogo, il garante ha ritenuto che l’università non aveva alcuna legittima condizione di ricerca per lo svolgimento dei trattamenti effettuati attraverso la scuola.
l’Università aveva sì richiesto ai genitori degli alunni interessati di esprimere il loro consenso a che il proprio figlio partecipasse alla ricerca in questione e ad autorizzare l’università all’utilizzo dei dati per fini di ricerca o per eventuali pubblicazioni, tuttavia
Dagli accertamenti eseguiti nel procedimento è emerso che il titolare del trattamento aveva avuto conoscenza della istanza di cancellazione dei propri dati che il reclamante aveva formulato, ma nonostante ciò il titolare non aveva fornito riscontro alla predetta richiesta ed invece aveva provveduto alla cancellazione dei dati solo dopo aver ricevuto la comunicazione di avvio del procedimento sanzionatorio nei suoi confronti da parte del garante. Tale mancato riscontro, secondo quanto dichiarato dalla stessa impresa, era dipeso da una mera svista.
In secondo luogo, dagli accertamenti è emerso che l’impresa non ha spiegato per quale ragione non aveva fornito riscontro alla richiesta di informazioni che gli era stata rivolta dall’ufficio.
Secondo il garante, Le suddette circostanze denotano una non adeguata gestione dei canali di comunicazione da parte del titolare del trattamento, da cui è derivato un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa, oltre che l’impedimento all’interessato di poter correttamente esercitare i suoi diritti in materia di privacy (in particolare, quello di cancellazione dei dati).
A tal proposito, mette conto rilevare che il regolamento europeo per la protezione dei dati personali impone al titolare del trattamento di agevolare l’esercizio dei diritti e in particolare di dare riscontro alle istanze rivolte dall’interessato entro un termine ragionevole e comunque non oltre 30 giorni dalla ricezione dell’istanza.
Nel caso di specie, invece, il titolare del trattamento ha fornito riscontro all’istanza di cancellazione inviata dalla reclamante solo dopo la comunicazione di avvio del procedimento dinanzi al garante.
Analogamente anche la cancellazione dei dati personali della reclamante dal sito Internet è avvenuta solo dopo che il titolare del trattamento ha ricevuto la contestazione da parte del garante (quindi oltre un anno dopo che il reclamante aveva comunicato il recesso dal contratto di mandato). Ciò ha comportato altresì che il titolare del trattamento abbia violato gli accordi contrattuali raggiunti con il reclamante, secondo i quali la cancellazione dei dati personali sarebbe dovuto avvenire immediatamente alla ricezione dell’esercizio del diritto di recesso dal contratto di mandato da parte del reclamante.
Conseguentemente, i dati della reclamante sono stati trattati, all’interno del sito Internet gestito dal titolare, in assenza di una idonea base giuridica (considerato che il contratto di mandato era venuto meno e non vi erano altri motivi che giustificassero il trattamento).
3. La decisione del Garante
In considerazione di tutto quanto sopra, il garante ha ritenuto che il comportamento posto in essere dal titolare abbia violato plurime disposizioni in materia di trattamento dati, sia con riferimento al mancato riscontro all’istanza di esercizio dei diritti da parte dell’interessato, sia con riferimento alla conservazione dei dati personali all’interno del sito Web con conseguente violazione dei principi di finalità, minimizzazione e limitazione del trattamento.
Tante le accertate violazioni, il garante ha ritenuto, da un lato, di dover ingiungere alla società di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste di esercizio dei diritti degli interessati, attraverso il corretto presidio dei canali di comunicazione e in particolare dell’indirizzo pec preposto alla relativa trattazione; dall’altro lato, di dover applicare alla impresa una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione amministrativa pecuniaria, il garante ha preso in considerazione, per quanto riguarda le circostanze aggravanti, la dimensione gravemente colposa della condotta posta in essere dal titolare, tenuto conto che quest’ultimo ha agito con noncuranza rispetto alle iniziali istanza di cancellazione del reclamante alla quale non ha prestato la dovuta attenzione, nonché lo scarso grado di cooperazione con il garante in quanto il titolare non ha tenuto conto delle conseguenze che potevano derivare dal mancato riscontro alla richiesta di informazioni e in quanto non ha neanche fornite spiegazioni in merito al mancato riscontro. Dall’altro lato, per quanto concerne le circostanze attenuanti, il garante ha valutato la natura isolata della condotta, posto che vi è stato un solo reclamo, l’avvenuta cancellazione dei dati personali del reclamante, seppure tardiva, l’assenza di precedenti procedimenti a carico del titolare, la natura comune dei dati trattati nonché infine la complessiva valutazione sulla capacità economica dell’impresa.
In ragione della ponderazione delle suddette circostanze, il garante ha ritenuto idoneo quantificare la sanzione amministrativa nella somma di euro 5.000 (cinquemila).
Scrivi un commento
Accedi per poter inserire un commento