g-docweb-display Portlet

Diffusione sul sito web istituzionale di un istituto scolastico di dati personali, contenuti in graduatorie, eccedenti rispetto a quelli necessari - 6 giugno 2013 [2536184]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[vedi anche newsletter del 16 luglio 2013]

[doc. web n. 2536184]

Diffusione sul sito web istituzionale di un istituto scolastico di dati personali, contenuti in graduatorie, eccedenti rispetto a quelli necessari - 6 giugno 2013

Registro dei provvedimenti
n. 275 del 6 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web (Provv. 2 marzo 2011, in G.U. n. 64 del 19 marzo 2011 e in www.garanteprivacy.it, doc. web n. 1793203);

VISTA la segnalazione con la quale è stata lamentata la diffusione su siti web istituzionali di dati personali contenuti in graduatorie d´istituto, eccedenti rispetto a quelli necessari – con particolare riferimento a codice fiscale, indirizzo e recapito telefonico individuale –, peraltro liberamente reperibili utilizzando i comuni motori di ricerca;

RILEVATO che, da un accertamento preliminare effettuato dall´Ufficio in data 23 maggio 2013, sul sito web istituzionale www.settimogiusti.it facente capo al 7° Circolo Didattico "Egidio Giusti" di Taranto la "Graduatoria di Istituto III Fascia Personale ATA TAEE007009 Data Produzione Graduatoria Provvisoria: 20/02/2012" concernente 3490 interessati e contenente, rispetto a ciascuno, i campi relativi a codice fiscale, indirizzo e recapiti telefonici individuali;

VISTO che in occasione del medesimo accertamento preliminare è stato altresì verificato che le predette graduatorie sono indicizzate in rete tramite i più diffusi motori di ricerca (esterni ai siti degli istituti scolastici) tramite l´inserimento di qualsiasi attributo individuale, come ad esempio le generalità degli interessati o i recapiti telefonici degli stessi;

CONSIDERATO che per "dato personale" si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b), del Codice);

CONSIDERATO che per "diffusione" dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), del Codice);

RITENUTO che la pubblicazione della menzionata graduatoria – prevista dall´art. 5, comma 13, D.M. 13 dicembre 2000, n. 430 (Regolamento recante norme sulle modalità di conferimento delle supplenze al personale amministrativo, tecnico ed ausiliario ai sensi dell´articolo 4 della L. 3 maggio 1999, n. 124) nonché dall´art. 32, l. 18 giugno 2009, n. 69 –, risalente al 23 marzo 2012 e recante in chiaro oltre ai dati identificativi degli interessati, anche informazioni eccedenti e non pertinenti rispetto alla finalità della pubblicazione (art. 11, comma 1, lett. d) del Codice) – segnatamente quelli concernenti il codice fiscale, l´indirizzo e i recapiti telefonici degli interessati –, ha causato un´indebita diffusione di dati personali e, in ragione della sua indicizzabilità da parte dei motori di ricerca, è suscettibile di recare pregiudizio della riservatezza individuale nonché di incrementare nei confronti degli interessati il rischio di abusi, anzitutto con riguardo al fenomeno del c.d. furto d´identità;

RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88 recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (pubblicato in G.U. n. 64 del 19 marzo 2011, e doc. web n. 1793203) in cui è stato precisato, con riferimento a forme di diffusione analoghe a quelle in esame che risulta eccedente "la pubblicazione di dati concernenti il recapito di telefonia fissa o mobile, l´indirizzo dell´abitazione o dell´e-mail, i titoli di studio, il codice fiscale […]" (cfr. i punti B.1 e 5 ; v. pure provvedimento del 2 marzo 2011, in G.U. n. 64 del 19 marzo 2011 e in www.garanteprivacy.it, doc. web n. 1793203);

RILEVATO che anche il Ministero dell´Istruzione, dapprima con la circolare del 7 marzo 2008 (prot. 45/dip./segr.) ha chiarito che "non è consentita la pubblicazione, accanto ai dati strettamente necessari all´individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, domicilio, recapito telefonico poiché la conoscenza da parti di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell´ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari", ribadendo quindi tale orientamento nella circolare del 22 gennaio 2013 (prot. n. AOODGPER510 – Uff. III);

RITENUTA, pertanto, l´illiceità del trattamento effettuato dall´istituto scolastico in ragione dell´avvenuta diffusione dei dati personali sopra menzionati in quanto eccedenti e non pertinenti rispetto alla finalità perseguita (art. 11, comma 1, lett. d), del Codice), atteso che il loro trattamento è finalizzato alla tempestiva presa di contatto degli aspiranti a supplenze temporanee nonché alla gestione del rapporto contrattuale che con gli stessi può instaurarsi;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare al 7° Circolo Didattico "Egidio Giusti", ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet dei dati eccedenti e non pertinenti contenuti nella graduatoria sopra indicata;

CONSIDERATO, inoltre, che risulta indispensabile adottare idonei accorgimenti nella pubblicazione di dette graduatorie, con particolare riferimento alla necessità di rispettare il divieto di diffusione di dati eccedenti e non pertinenti;

CONSIDERATO, in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";

RITENUTO necessario prescrivere al 7° Circolo Didattico "Egidio Giusti", ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di graduatorie in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", con specifico riguardo alla corretta individuazione dei dati personali in esse contenuti, nel rispetto del principio di pertinenza e non eccedenza;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti del 7° Circolo Didattico "Egidio Giusti" di Taranto, rilevata l´illiceità del trattamento dei dati effettuato nei termini indicati in premessa:

1. vieta, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet dei dati personali concernenti il codice fiscale, il domicilio nonché il recapito telefonico degli interessati contenuti nella "Graduatoria di Istituto III Fascia Personale ATA TAEE003002 Data Produzione Graduatoria Definitiva: 23/03/2012";

2. prescrive, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", con specifico riguardo alla corretta individuazione dei dati personali nonché dei tempi di pubblicazione nel rispetto del principio di pertinenza e non eccedenza.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 giugno 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia