g-docweb-display Portlet

Provvedimento del 12 marzo 2020 [9365159]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9365159]

Provvedimento del 12 marzo 2020

Registro dei provvedimenti
n. 50 del 12 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX in relazione alla pubblicazione, sul sito web del Liceo classico statale “Umberto I” di Napoli, di due documenti riguardanti graduatorie relative al personale amministrativo, tecnico e ausiliario (di seguito ATA), contenenti anche l’indicazione dei propri dati personali quali il codice fiscale, l’indirizzo di residenza e il numero di cellulare. Tali dati personali sarebbero stati rinvenibili anche sui comuni motori di ricerca.

2. L’attività istruttoria

Dall’accertamento preliminare effettuato dall’Ufficio in data 19 giugno 2019, è emerso che le predette graduatorie, previste dall’art. 5, comma 13, del Decreto del Ministro della Pubblica Istruzione 13 dicembre 2000, n. 430 (Regolamento recante norme sulle modalità di conferimento delle supplenze al personale amministrativo, tecnico ed ausiliario ai sensi dell´articolo 4 della Legge 3 maggio 1999, n. 124) e dall’art. 32, l. 18 giugno 2009, n. 69, risultavano visibili e liberamente scaricabili all’url: http://.... Tali graduatorie, pur non contenendo, al momento dell’accertamento, tutte le informazioni evidenziate dal reclamante, recavano l’indicazione del codice fiscale del personale ATA incluso nelle stesse.

Le ulteriori informazioni relative al reclamante (indirizzo e numero di cellulare) risultavano, tuttavia, ancora visualizzabili tra i risultati della ricerca effettuata tramite il motore di ricerca Google e, in particolare, all’indirizzo: https://....

Al riguardo, il Liceo classico ha fornito riscontro alla richiesta di informazioni di questa Autorità (nota prot. n. XX) con la nota prot. n. XX, rappresentando, fra l’altro, che:

- “si è provveduto ad effettuare le dovute correzioni informatiche. Presso l’Istituto non sono presenti docenti con competenze tecnico informatiche per cui si è costretti ad affidare questi compiti a fornitori di servizi esterni all’Ente. Nel caso in questione, la comunicazione con l’ente esterno che gestisce il nostro sito web è risultata laboriosa e per questo la procedura è andata a rilento. Nonostante le difficoltà evidenziate, ad oggi le operazioni di bonifica dei link si sono concluse con successo. Il file (…) è stato rimosso dal filesystem e, quindi, non è più raggiungibile in alcun modo.”

- In merito, (…) alla seconda segnalazione (…) riguardante la richiesta di rimozione del numero di cellulare ecc. dall'indice di Google si è provveduto ad informare il sig. XX che la rimozione deve essere richiesta direttamente a Google tramite lo strumento "Modulo di richiesta per la rimozione delle informazioni personali”.

L’Ufficio, sulla base dalle verifiche compiute e degli elementi acquisiti, anche attraverso la documentazione inviata dall’Istituto scolastico, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha accertato che il Liceo, pubblicando sul sito web istituzionale, all’url: http://...., le graduatorie di Istituto relative al personale ATA, recanti in chiaro oltre ai dati identificativi degli interessati, anche informazioni personali non necessarie rispetto alle finalità perseguite con la pubblicazione, quali il codice fiscale, ha causato un’indebita diffusione di dati personali che, anche in ragione della indicizzabilità da parte dei motori di ricerca, è suscettibile di recare pregiudizio alla riservatezza individuale e di incrementare il rischio di abusi.

Pertanto, si è proceduto alla notifica delle violazioni effettuate, prevista dall’art. 166, comma 5, del Codice, all’Istituto scolastico, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento e invitando il predetto Liceo a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito dall’Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio ha ritenuto che la pubblicazione delle predette graduatorie sia avvenuta in violazione della normativa a tutela dei dati personali, determinando un trattamento di dati personali:

a) non conforme ai principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;

b) in assenza di un presupposto normativo per la pubblicazione di taluni dati personali quali codice fiscale in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art.  2-ter, commi 1 e 3, del Codice;

Con nota del XX (prot. n. XX) il Liceo classico ha fatto pervenire le proprie memorie difensive, e ha dichiarato, in particolare che:

- “la pubblicazione segnalata dal reclamante (…) è stata frutto di un mero scambio di files sfortunatamente avvenuto in sede di consegna del file al service esterno, (…) per la pubblicazione sul web”;

- l’ “Istituto si è immediatamente adoperato per la rimozione del file dal sito istituzionale e, di concerto con il Responsabile per la protezione dei dati, ha dato seguito a tutte quelle iniziative che potessero evitare l’anomala diffusione dei dati sensibili nel web, prendendo contatti con i motori di ricerca, tra cui Google;

- “(…) Si è adottato un criterio di cifratura dei file destinati alla pubblicazione, in modo da essere immediatamente riconoscibili e non confondibili con quelli originari comprensivi di dati sensibili”.

3. Esito dell’istruttoria relativa al reclamo presentato. Normativa applicabile

Ai sensi della disciplina in materia, “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” (art. 4, par. 1, n. 1, del Regolamento). Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (ibidem).

Il trattamento di dati personali effettuato in ambito pubblico è lecito solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c ed e).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali (come la pubblicazione in Internet) in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c).

Il Garante, inoltre, nel provvedimento nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (adottate il 15 maggio 2014, doc. web n. 3134436) con riferimento alla pubblicità degli esiti delle prove concorsuali e delle graduatorie finali ha peraltro evidenziato che “devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati. Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l´indirizzo di residenza o di posta elettronica, il codice fiscale, l´indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio), né quelli concernenti le condizioni di salute degli interessati (cfr. art. 22, comma 8, del Codice), ivi compresi i riferimenti a condizioni di invalidità, disabilità o handicap fisici e/o psichici” (cfr. parte seconda par. 3.b.).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice e considerato che, con riferimento al caso di specie, le memorie difensive prodotte dall’Istituto non hanno prodotto elementi tali da determinare l’archiviazione del procedimento, si confermano le valutazioni preliminari dell’Ufficio, e si rileva l’illiceità del trattamento di dati personali effettuato dal predetto Liceo, per aver diffuso, tramite la pubblicazione sul sito web istituzionale, all’url: http://....,le graduatorie relative al personale ATA (circa 8000 soggetti), recanti in chiaro, oltre ai dati identificativi degli interessati, anche dati personali non necessari (codice fiscale) rispetto alle finalità perseguite con la pubblicazione della graduatoria, riguardanti il reclamante e tutti i soggetti inseriti nelle predette graduatorie, determinando un’indebita diffusione di dati personali (cfr. con riguardo alla pubblicazione di dati non pertinenti contenuti in graduatorie scolastiche, Provv. 6 giugno 2013, n. 275, doc. web n. 2536184, 2536409 e 2535862).

La predetta diffusione di dati si è protratta almeno fino alla verifica effettuata dall’Ufficio, in data XX 2019.

Tale pubblicazione è avvenuta in violazione della normativa a tutela dei dati personali e, specificamente:

a) in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1, lett. a) e c) del Regolamento;

b) in assenza di un presupposto normativo per la pubblicazione di taluni dati personali quali il codice fiscale, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice.

In tale quadro, va considerato che la condotta ha esaurito i suoi effetti, atteso che l’Istituto scolastico ha dichiarato di aver provveduto a rimuovere le graduatorie dal sito della scuola (v. nota del XX), circostanza verificata dall’Ufficio, e che, sulla base degli atti, l’episodio risulta essere un caso isolato determinato da un comportamento sicuramente colposo e dovuto anche alle particolari difficoltà organizzative nelle quali versa l’Istituto stesso, si ritiene di dover qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2 e del considerando 148 del Regolamento e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento.

Pertanto si ritiene che, relativamente al caso in esame, sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, tenuto altresì in considerazione che il soggetto destinatario del provvedimento è un Istituto scolastico pubblico; che l’Istituto ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; che è stata avviata una serie di azioni volte a implementare le misure tecniche e organizzative e che, infine, non risultano eventuali precedenti violazioni del Regolamento pertinenti commesse dal Liceo classico.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Liceo classico statale “Umberto I”, Piazza G. Amendola 6, 80121 Napoli, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, c) ed e), par. 2 e par. 3, lett. b) del Regolamento; art. 2-ter commi 1 e 3 del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, ammonisce il Liceo classico statale “Umberto I” di Napoli, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, c) ed e), par. 2 e par. 3, lett. b) del Regolamento; art. 2-ter commi 1 e 3 del Codice, avendo provveduto a impedire la diffusione dei dati personali di cui in motivazione solo a seguito della richiesta di informazioni formulata dall’Ufficio;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia