g-docweb-display Portlet

Provvedimento del 27 gennaio 2022 [9745823]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9745823]

Provvedimento del 27 gennaio 2022

Registro dei provvedimenti
n. 16 del 27 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

L’Autorità ha ricevuto un reclamo con il quale è stato lamentato che, a seguito della richiesta, effettuata ai sensi dell’art. 15 del Regolamento (UE) 2016/679 avente ad oggetto l’“accesso al/ai fascicolo/i personale/i (Laurea Triennale e Laurea Specialistica) e a tutti i dati in generale relativi alla reclamante” in possesso dell’Università degli Studi della Campania “Luigi Vanvitelli” (di seguito “Università”), sarebbe stato fornito “un accesso parziale”. È stato inoltre rappresentato che l’Università non avrebbe provveduto agli adempimenti previsti dagli artt. 33 e 34 del Regolamento.

2. L’attività istruttoria.

Con nota prot. XX del XX l’Università ha fornito riscontro alla richiesta di informazioni di questo Dipartimento (prot. n. XX del XX) relativa al reclamo in esame.

In particolare, il Direttore generale dell’Università, con dichiarazione della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha rappresentato che:

- “l’Università degli Studi della Campania Luigi Vanvitelli (…) ha adempiuto a quanto previsto dagli artt. 33 e 34 del Regolamento 2016/679. (…) La violazione è relativa allo smarrimento di n. 93 fascicoli studente relativi ai laureati in data XX del CDL in Scienze e tecniche Psicologiche per la Persona e la Comunità e del CDL in Psicologia della Prevenzione e del Disagio Individuale e Relazionale.” (…)

- "Per quanto non sia stato possibile determinare con assoluta certezza data e luogo dello smarrimento, è molto probabile che esso sia avvenuto in occasione del trasferimento dell’Ufficio di Segreteria Studenti (…)”.

- “Per quanto attiene agli obblighi di cui all’art. 34, l’Ateneo ha ritenuto di non dover provvedere ad informare gli interessati in quanto ha ritenuto non insistesse un rischio elevato per i diritti e le libertà delle persone fisiche, in quanto sono stati smarriti esclusivamente i fascicoli cartacei; i dati informatizzati relativi a detti fascicoli sono regolarmente disponibili sul sistema di gestione carriere studenti dell’Ateneo, ragion per cui è possibile per gli interessati ottenere qualsivoglia certificazione necessitino”;

- “Per quanto attiene alle misure di sicurezza adottate dall’Ateneo al fine di proteggere i fascicoli personali degli interessati dalla perdita nonché dall’accesso e dalla divulgazione non autorizzati (artt. 12, 15, 32 e 33 del Regolamento), (…) i fascicoli cartacei dell’Ufficio di Segreteria Studenti di Psicologia sono così conservati:

a) L’archivio corrente è disposto in armadi chiusi a chiave, nei locali dell’Ufficio e distanti dalle aree accessibili al pubblico. Tali locali sono chiusi, al termine dell’orario di apertura, dal personale dell’Ufficio, come da disposizione dell’Amministrazione.

b) L’archivio di deposito è disposto in un locale al piano seminterrato della medesima struttura, chiuso a chiave con porte metalliche. Le chiavi di detto locale sono custodite dal servizio di vigilanza, come da disposizione dell’Amministrazione”.

- “Il Complesso in cui è collocato l’Ufficio è sottoposto a servizio di vigilanza, il cui personale provvede alla verifica della chiusura delle porte di tutti gli Uffici prima della chiusura serale del Complesso. Il complesso è inoltre dotato di radio allarme antiintrusione. Analoghe misure sono previste per tutti gli archivi cartacei dell’Ateneo”.

- "L’Università, (…) dopo aver constatato l’avvenuto smarrimento del fascicolo personale dell’interessata (…), ne dava comunicazione” al legale della reclamante “congiuntamente alla comunicazione di aver effettuato copia degli altri atti richiesti e rassicurando l’interessata sul fatto che l’Università, sulla base dei dati conservati elettronicamente, sia in grado di fornire ogni certificazione relativamente alla carriera universitaria”.

L’Ufficio, a seguito dell’accertamento effettuato sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha accertato lo smarrimento da parte dell’Università di novantatré fascicoli di studenti “relativi ai laureati in data 03.04.2012 del CDL in Scienze e tecniche Psicologiche per la Persona e la Comunità e del CDL in Psicologia della Prevenzione e del Disagio Individuale e Relazionale”. Ciò, sarebbe avvenuto in violazione del principio di “integrità e riservatezza” dei dati in base al quale i dati sono “trattati in maniera da garantire un’adeguata sicurezza” degli stessi “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento) e dell’art. 32 del Regolamento essendo la perdita dei dati personali riconducibile all’assenza delle misure necessarie per garantire un livello di sicurezza adeguato al rischio.

Si è pertanto proceduto alla notifica della violazione prevista dall’art. 166, comma 5, del Codice, all’Università, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando l’Università a inviare al Garante scritti difensivi o documenti (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Si è inoltre chiesto all’Università di chiarire se la perdita dei predetti fascicoli cartacei avesse determinato l’impossibilità per l’interessata di “ottenere copia dei dati personali che la riguardano in relazione all’intera carriera universitaria del corso di laurea triennale”, o se, le modalità indicate dall’Università (accesso con credenziali alla pagina dei servizi web riservata agli studenti, richiesta di certificazioni), fossero in grado di assicurare la disponibilità e l’accesso ai dati personali della reclamante relativi alla laurea triennale, presenti nei fascicoli in esame.

Con nota del XX (prot. n. XX), l’Università ha fatto pervenire le proprie memorie difensive, chiarendo in particolare che:

- “data l'informatizzazione delle procedure di carriera studente, che consente lo svolgimento di tutte le attività di trattamento utilizzando esclusivamente la procedura informatizzata, il personale accede agli archivi solo sporadicamente. A partire dall'Anno Accademico 2003/2004, tutti i fascicoli studente sono interamente informatizzati”;

- “Gli approfondimenti svolti dal personale dell'Università relativamente alla violazione inducono a ritenere che lo smarrimento dei fascicoli sia avvenuto in occasione del trasloco dell'ufficio di Segreteria Studenti di Psicologia alla sede di via Vivaldi alla sede di viale Ellittico in Caserta. Tale ipotesi si basa sul fatto che, sia nella recedente sede, sia nell'attuale sede di viale Ellittico, gli archivi cartacei sono sottoposti a specifiche misure di sicurezza (già esposte con la precedente nota dell'Università con prot. N. XX del XX”;

- “lo smarrimento dei fascicoli non ha determinato l'impossibilità da parte dell'interessata di ottenere copia dei dati personali che la riguardano in relazione all'intera carriera universitaria del corso di laurea triennale. Ferma restando infatti la possibilità di accesso alla piattaforma di gestione studenti dell'università per il recupero dei dati e per le certificazioni, (…) l’Università ha comunque provveduto a consegnare fisicamente all'interessata le copie in formato elettronico di tutti i documenti da lei richiesti. Si ritiene quindi di avere pienamente adempiuto agli obblighi di cui all'art. 15 del Regolamento”.

- “Tutti i 93 fascicoli oggetto della violazione sono stati ricostruiti attraverso la procedura informatica, mediante il controllo delle informazioni utili alla gestione della carriera in particolare le informazioni verificate sono relative a: domanda di immatricolazione , autocertificazioni del diploma di maturità, dichiarazione ISEE, ricevute bancarie di versamento delle tasse universitarie e conferme di conseguimento dei diplomi di scuola secondaria superiore, autocertificati dagli interessati all'atto dell'immatricolazione”;

- “La violazione (…) non riguarda in alcun modo dati di cui agli artt. 9 e 10 del Regolamento. L'Università raccoglie informazioni relative alla salute degli studenti esclusivamente in caso di richiesta da parte dello studente stesso di riduzione delle tasse universitarie in presenza di un handicap. A seguito di un approfondito controllo, non risultano per alcuno degli studenti coinvolti nella violazione richieste in tal senso, per cui nei fascicoli smarriti non ci sono dati di cui all'art. 9 del Regolamento. I dati relativi a condanne penali e reati (art. 10) non sono richiesti agli studenti, e non sono pertanto presenti negli archivi dell'Università”.

- “La violazione è stata notificata all'Autorità via PEC con nota protocollata dall'Università con n. XX del XX, così come prescritto dall'art. 33 del Regolamento”;

- l'informatizzazione spinta delle attività relative alle carriere degli studenti rende davvero minima la necessità di accesso fisico agli archivi cartacei, in quanto la quasi totalità delle operazioni sui dati sono ottenibili dalla procedura informatizzata. Inoltre, a partire dagli studenti immatricolati nell'A.A. 2003/2004 i fascicoli studente sono completamente informatizzati e non esistono copie cartacee degli stessi.”

3. Esito dell’attività istruttoria relativa al reclamo presentato. Normativa applicabile.

Ai sensi del Regolamento europeo, divenuto applicabile dal 25 maggio 2018, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

Il Regolamento, agli artt. 12 e ss, disponendo in materia di “diritti dell’interessato”, prevede il diritto dell’interessato di ottenere dal titolare del trattamento l’accesso ai dati personali e a specifiche informazioni sul trattamento dei dati allo stesso riferiti (art. 15 e Considerando 63 del Regolamento). Ciò, a meno che non ricorra uno dei casi di limitazione dei diritti dell’interessato tassativamente indicati all’art. 23 del Regolamento e all’art. 2-undecies del Codice, i quali non risultano conferenti rispetto alla fattispecie in esame;

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “integrità e riservatezza” in base al quale i dati devono inoltre essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

In attuazione di tale principio, il successivo art. 32 stabilisce che “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Preso atto di quanto rappresentato e documentato nel corso dell’istruttoria dall’Università, con la nota del XX di riscontro alla richiesta di informazioni formulata dall’Autorità, nonché con la memoria difensiva del XX, prodotta a seguito della notifica effettuata dall’Autorità, ai sensi dell’art. 166, comma 5, del Codice dell’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, si osserva quanto segue.

Con riguardo al profilo lamentato dalla reclamante, relativo alla mancata notifica all’Autorità della violazione dei dati personali in esame, ai sensi di quanto previsto dall’art. 33 del Regolamento, si osserva che l’Ateneo ha provveduto a tale adempimento notificando al Garante la predetta violazione con nota del XX.  Come rappresentato anche con la predetta nota, l’Università ha ritenuto, inoltre, di non dover provvedere ad informare gli interessati ai sensi di quanto previsto dall’art. 34 del Regolamento, in quanto “sono stati smarriti esclusivamente i fascicoli cartacei” e “i dati informatizzati relativi a detti fascicoli sono regolarmente disponibili sul sistema di gestione carriere studenti dell’Ateneo, ragion per cui è possibile per gli interessati ottenere qualsivoglia certificazione necessitino”. L’istruttoria avviata dal Dipartimento tecnologie digitali e sicurezza informatica dell’Autorità, a seguito della notifica della violazione al Garante ai sensi dell’art. 33 del Regolamento, si è conclusa con l’archiviazione del fascicolo istruttorio.

Con riferimento, inoltre al diverso profilo relativo alla asserita violazione dell’art. 15 del Regolamento, si rileva che, come evidenziato in atti, l’Università ha fornito, in data XX, riscontro all’istanza presentata dall’interessata “di accesso e richiesta copia ai sensi del GDPR, via PEC in data XX” rappresentando che i dati inerenti la laurea triennale e specialistica della stessa “possono essere consultati sul portale dell’Ateneo mediante l’utilizzo di credenziali per l’accesso al fascicolo personale dello studente”, invitando la reclamante a recarsi in segreteria studenti per ottenere la copia della documentazione. L’Ateneo ha inoltre specificato che “i dati sono trattati sia in modalità cartacea, sia in modalità elettronica (…) in modo da garantire la sicurezza e la riservatezza dei dati stessi in conformità alle normative vigenti”, precisando che “l’informativa è consultabile sul sito dell’Ateneo”; l’Università ha poi allegato alla nota il paragrafo 5.2.3 del Registro dei trattamenti dell’Università e ha chiesto alla reclamante “di fornire maggiori specificazioni relativamente alla natura dei dati richiesti, in ragione dell’estrema complessità della struttura organizzativa universitaria, e comunicando di necessitare degli ulteriori due mesi previsti di cui all’art. 12 c.3 del Regolamento”, nel caso in cui la stessa non fosse in grado di fornire ulteriori dettagli.

L’Università, con nota del XX ha inoltre comunicato al legale dell’interessata di aver predisposto copia degli atti contenuti nel fascicolo relativo alla laurea magistrale conseguita dalla reclamante e della documentazione relativa all’abilitazione all’esercizio della professione di psicologo e di aver presentato denuncia all’autorità competente dell’avvenuto smarrimento del fascicolo cartaceo relativo alla laurea triennale dell’interessata, rassicurando quest’ultima “in merito alla possibilità di prendere visione di tutti gli atti relativi alla carriera universitaria accedendo con le proprie credenziali alla pagina web riservata agli studenti o, in alternativa, facendo richiesta di certificazioni inerenti lo svolgimento della propria carriera universitaria e la relativa chiusura della stessa”.

Con successiva nota del XX il legale della reclamante, rappresentando di avere ricevuto documentazione incompleta, ha chiesto all’Ateneo l’inoltro della documentazione mancante; tale documentazione risulta, sulla base della documentazione in atti, essere stata trasmessa all’interessata con nota dell’Università del XX.

Con specifico riferimento a quanto asserito dal legale della reclamante secondo il quale “la Dott.ssa (…), non ha potuto, né mai più potrà, ottenere copia dei dati personali che la riguardano in relazione all’intera carriera universitaria del corso di laurea triennale” si osserva che, sulla base di quanto dichiarato dall’Università, “lo smarrimento dei fascicoli non ha determinato l'impossibilità da parte dell'interessata di ottenere copia dei dati personali che la riguardano in relazione all'intera carriera universitaria del corso di laurea triennale. Ferma restando infatti la possibilità di accesso alla piattaforma di gestione studenti dell'università per il recupero dei dati e per le certificazioni, questa Università ha comunque provveduto a consegnare fisicamente all'interessata le copie in formato elettronico di tutti i documenti da lei richiesti”.

Pertanto, sulla base degli elementi rappresentati in atti, risulta che l’Università ha fornito riscontro all’istanza di accesso presentato dall’interessata, ai sensi dell’art. 15 del Regolamento consentendo alla stessa di ottenere copia dei dati personali richiesti.

Con riferimento, infine, alla questione riguardante lo smarrimento dei novantatré fascicoli relativi agli studenti, alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Università in relazione allo smarrimento di novantatré fascicoli di studenti “relativi ai laureati in data 03.04.2012 del CDL in Scienze e tecniche Psicologiche per la Persona e la Comunità e del CDL in Psicologia della Prevenzione e del Disagio Individuale e Relazionale” in violazione del principio di “integrità e riservatezza” dei dati (art. 5, par. 1, lett. f) del Regolamento) e dell’art. 32 del Regolamento essendo la perdita dei dati personali riconducibile all’assenza delle misure necessarie per garantire un livello di sicurezza adeguato al rischio.

4. Conclusioni.

Ciò premesso, tenuto conto di quanto sopra richiamato si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso segnalato, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che, in relazione alla vicenda, non emerge alcun comportamento doloso da parte del Titolare del trattamento, essendo la condotta tenuta di natura colposa, legata a un avvenimento riconducibile al trasferimento dell’Ufficio di Segreteria Studenti; che sulla base dei elementi forniti, nonostante l’avvenuto smarrimento di un rilevante numero di fascicoli cartacei relativi agli studenti risulta che le misure tecniche e organizzative messe in atto dall’Università hanno, in concreto, impedito la perdita “definitiva” dei dati personali degli studenti e assicurato il ripristino della disponibilità e l’accesso ai dati personali contenuti nei fascicoli cartacei smarriti; che l’Università, una volta presa coscienza, come da dichiarazione in atti, in data XX, dello smarrimento dei fascicoli ha provveduto a notificare la violazione dei dati personali al Garante e a presentare denuncia presso la locale Stazione dei Carabinieri; che non sono pervenuti reclami o segnalazioni al Garante sull’accaduto e che l’Università ha fornito assicurazioni in merito alle modalità con le quali sono custoditi gli archivi cartacei. L’Università ha inoltre collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. c), d) e f) del Regolamento) e non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) e i) del Regolamento).

Le circostanze del caso concreto inducono pertanto a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

Si ritiene, pertanto, che, relativamente al caso in esame sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per aver violato gli artt. 5, par. 1, lett. f), e 32 del Regolamento e che non vi sono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) e f), del Regolamento, dichiara illecita la condotta tenuta dall’Università degli Studi della Campania “Luigi Vanvitelli”, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Università degli Studi della Campania “Luigi Vanvitelli”, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. f), e 32 del Regolamento come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9745823
Data
27/01/22

Argomenti


Tipologie

Ammonimento