Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Istituto Comprensivo di Uggiano La Chiesa - 2 luglio 2020 [9445324]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9445324
Data:
02/07/20
Argomenti:
Dati sanitari , Scuola , Trasparenza amministrativa
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9445324]

Ordinanza ingiunzione nei confronti di Istituto Comprensivo di Uggiano La Chiesa - 2 luglio 2020

Registro dei provvedimenti
n. 117 del 2 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore prof.ssa Licia Califano;

PREMESSO

1. Introduzione.

L’Autorità ha ricevuto talune segnalazioni in ordine all’affissione, all’ingresso dell’Istituto comprensivo statale di Uggiano la Chiesa, di taluni elenchi contenenti “nomi di minori, date di nascita, indirizzi di residenza, numeri di telefono e la dicitura “manca copia vaccini”. Sulla medesima questione sono apparse alcune notizie della stampa locale.

2. L’attività istruttoria.

L’Istituto scolastico ha fornito riscontro alla richiesta di informazioni di questa Autorità (nota prot. n. XX del XX) con la nota del XX.
Nello specifico, il Dirigente scolastico, ha rappresentato, tra l’altro, che:

- “gli elenchi (…) erano stati affissi per mero errore materiale, senza alcuna autorizzazione e firma del Dirigente;

- di aver “provveduto a far rimuovere gli stessi” e di aver “accertato che la dicitura inserita a matita su tali elenchi (“manca copia vaccini”) non si riferiva in alcun modo ai bambini ivi indicati i quali risultano in realtà in regola con gli obblighi vaccinali”;

- “Si stanno valutando altresì opportuni provvedimenti disciplinari da avviare nei confronti di chi ha messo in atto la suindicata violazione e a prevedere un ulteriore corso di formazione in accordo con il DPO, oltre a quello già effettuato in data 08.10.2018 con tutto il personale, al fine di sottolineare nuovamente gli aspetti delicati in ordine al trattamento dei dati personali”.

L’Ufficio, sulla base dalle verifiche compiute e degli elementi acquisiti, anche attraverso la documentazione inviata dall’Istituto scolastico e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha accertato che il predetto Istituto Comprensivo, affiggendo sulla porta di ingresso della scuola dell’infanzia di Otranto i suddetti elenchi relativi a minori, recanti in chiaro oltre ai dati identificativi degli alunni, anche indicazioni relative alla data di nascita, all’indirizzo e ai numeri di telefono degli stessi, ha effettuato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali, consistente nella divulgazione di dati e informazioni personali relativi a minori in assenza di un idoneo presupposto normativo  per la diffusione dei predetti dati, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice che invece ammette la predetta possibilità da parte di soggetti pubblici solo quando la diffusione è prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

Non risulta invece comprovata la diffusione di dati relativi alla salute dei minori in quanto, come rappresentato dal Dirigente scolastico, la dicitura inserita a matita “manca copia vaccini”, non si riferiva ai bambini elencati nella lista che risultavano, invece, in regola con gli obblighi vaccinali.

Si è così proceduto alla notifica delle violazioni effettuate, prevista dall’art. 166, comma 5, del Codice, all’Istituto scolastico, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento e invitando il predetto Istituto a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito dall’Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio ha ritenuto che la diffusione dei predetti elenchi sia avvenuta in violazione della normativa a tutela dei dati personali e, in particolare:

a) in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;

b) in assenza di un idoneo presupposto normativo per la diffusione dei predetti dati personali, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art. 2-ter, commi 1 e 3, del Codice;

Con nota del XX, l’Istituto comprensivo ha fatto pervenire le proprie memorie difensive, e ha dichiarato, in particolare che:

a) “con riferimento alla natura, alla gravità e alla durata della violazione posta in essere dall’Istituzione Scolastica si precisa che la stessa ha erroneamente affisso alla porta interna dell’ingresso della scuola degli elenchi contenenti dati personali (nome e cognome, date di nascita, indirizzi di residenza, numero di telefono) degli alunni”;

b) “(…) i suindicati elenchi sono stati tempestivamente rimossi non appena è giunta al sottoscritto la notizia dell’affissione. Pertanto la durata della violazione è stata piuttosto limitata nel tempo posto che gli elenchi sono rimasti affissi all’interno della Scuola solo 3 o 4 giorni”;

c) “Gli stessi, infatti, sono stati rimossi il giorno stesso in cui è stata appresa la notizia (ossia sabato, giorno in cui le attività didattiche sono sospese). Sono state successivamente convocate tutte le famiglie coinvolte in tale evento, le maestre nonché tutto il personale al fine di informare tutti rispetto alla situazione venutosi a creare nella intera comunità educante”.

3. Esito dell’istruttoria relativa al reclamo presentato. Normativa applicabile.

In via preliminare si rappresenta che, ai sensi della disciplina in materia, “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» (art. 4, par. 1, n. 1, del Regolamento). Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (ibidem).

Il trattamento di dati personali effettuato in ambito pubblico è lecito solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e)).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c).

4. Conclusioni.

Alla luce delle considerazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice e considerato che, con riferimento al caso di specie, le memorie difensive prodotte dall’Istituto non hanno prodotto elementi tali da determinare l’archiviazione del procedimento, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto Comprensivo di Uggiano La Chiesa, per aver diffuso, mediante affissione sulla porta di ingresso della scuola dell’infanzia di Otranto, alcuni elenchi contenenti dati personali di soggetti minorenni.

Tale diffusione è avvenuta in violazione della normativa a tutela dei dati personali e, specificamente:

a) in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1, lett. a) e c) del Regolamento;

b) in assenza di un idoneo presupposto normativo per la pubblicazione dei predetti dati personali, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice;

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Istituto ha dichiarato di aver provveduto a rimuovere gli elenchi dal portone della scuola (v. nota del XX), non ricorrono i presupposti per l’adozione di ulteriori misure correttive ai sensi dell’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 Regolamento).

La violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) e art. 2-ter commi 1 e 3, causata dalla condotta posta in essere dall’Istituto Comprensivo di Uggiano La Chiesa, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i); 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso» e, in tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personale, pur essendo riferita ad un esiguo numero di soggetti e avendo avuto una durata temporale limitata (due/tre giorni), ha avuto a oggetto la diffusione di dati personali relativi a soggetti particolarmente vulnerabili quali i minori.

Di contro è stato considerato: il carattere colposo della violazione, in quanto la diffusione dei citati dati personali è stata dovuta ad un mero errore e che le predette informazioni sarebbero state affisse sul portone d’ingresso interno della scuola; che l’Istituto si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; che sono state avviate dall’Istituto azioni volte a implementare nuove misure organizzative. Non risultano, inoltre, eventuali precedenti violazioni del Regolamento pertinenti commesse dal richiamato Istituto scolastico.

In ragione dei suddetti elementi, valutati nel loro complesso si ritiene di dover determinare ai sensi dell’art. 83, par. 2, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del Regolamento; art. 2-ter commi 1 e 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

In relazione alle specifiche circostanze del presente caso, considerato che l’operazione effettuata è particolarmente invasiva della sfera di riservatezza degli interessati, peraltro minori di età, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), del Regolamento e 144 del Codice dichiara l’illiceità del trattamento di dati personali effettuato dall’Istituto Comprensivo di Uggiano La Chiesa, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), del Regolamento, e art. 2-ter, commi 1 e 3, del Codice, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, all’ Istituto Comprensivo Statale di Uggiano La Chiesa, con sede legale in Via S. Pertini, 1, 73020 Uggiano La Chiesa (LE) – C.F. 92012650757, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

al medesimo Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia