g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 28 settembre 2023 [9947479]

Provvedimento del 28 settembre 2023 [9947479]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9947479]

Provvedimento del 28 settembre 2023

Registro dei provvedimenti
n. 422 del 28 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

L’Autorità ha ricevuto un reclamo con il quale la sig.ra XX ha rappresentato che, facendo seguito ad una richiesta di accesso alla documentazione amministrativa presentata dalla stessa all’Istituto Scolastico Comprensivo Statale “Vittorino da Feltre - Nicola Zingarelli” di Foggia, ai sensi della l. n. 241 del 7 agosto 1990, in relazione ai criteri utilizzati per la formazione delle classi prime in esubero per l’anno scolastico XX, sarebbe stata inviata ai soggetti controinteressati individuati ai sensi dell’art. 3 del d.P.R. n. 184 del 12 aprile 2006, copia dell’istanza di accesso recante, oltre al nominativo della reclamante, anche ulteriori dati personali quali il numero di telefono della stessa e sarebbe altresì stata allegata all’istanza copia del documento di identità dell’interessata. La reclamante, successivamente, sarebbe stata contattata tramite il numero di cellulare riportato nell’istanza di accesso “anche da persone non conosciute che la informavano della ricezione dell’email e ne chiedevano chiarimenti”.

2. L’attività istruttoria.

Con nota del XX (Prot. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, il dirigente scolastico dell’Istituto, ha rappresentato, in particolare, che:

- “la comunicazione ai controinteressati non può che ricondursi all’adempimento di un obbligo di legge estremamente chiaro fissato dalla legge. Infatti l’art. 3 comma 1 del DPR 184/2006 (…) prescrive che “la pubblica amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, di cui all'articolo 22, comma 1, lettera c), della legge, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. I soggetti controinteressati sono individuati tenuto anche conto del contenuto degli atti connessi, di cui all'articolo 7, comma 2”;

- “Una volta individuati i controinteressati, la legge impone la notifica di "copia" dell'atto, senza precisare altro. Tale invio risponde alle esigenze di garanzia alla riservatezza dei controinteressati, nella fattispecie dei voti riportati dai propri figli alla selezione per l'accesso al corso di inglese potenziato. Appare pretestuosa, in altre parole, la doglianza relativa alla violazione della riservatezza sul numero di telefono, atteso che lo stesso è parte integrante dell'atto notificato ai controinteressati alla tutela di un altro diritto, e non è stato diffuso "inopinatamente a tutti" come ha riportato in maniera provocatoria nella Sua comunicazione, ma solo ad una ristretta cerchia di persone, individuate come meritevoli di tutela secondo l'art. 22 comma 1 lettera c) del provvedimento in questione”;

- “Il dato normativo è chiaro nel ritenere che al controinteressato vada fornita la “copia” dell’istanza pervenuta all’amministrazione e la norma non fa alcun riferimento alla possibilità e facoltà per l’amministrazione di intervenire sul contenuto della copia per modificarla, facendone venir meno l’autenticità, rispetto a quanto inviato dall’Istante. Nel momento in cui si formula una istanza di accesso agli atti contenenti dati personali di terzi inevitabilmente ci si assume il rischio che i propri dati siano trasmessi ai controinteressati come lo stesso istante sempre sulla base di legge può acquisire i dati dei controinteressati oggetto della richiesta”;

- “questa amministrazione ha ritenuto che non potesse in alcun modo intervenire sul modulo consegnato dall’istante apportando delle modifiche al principale scopo di garantire al controinteressato di poter comprendere l’oggetto e la provenienza dell’istanza e dunque esercitare pienamente il suo eventuale diritto di opporsi alla richiesta”;

- “Come si evince chiaramente dalle affermazioni degli interessati, l’oggetto delle telefonate è stato connesso alla procedura e dunque non si è trattato di telefonate che possano aver arrecato disturbo trattandosi di contatti che, seppur inopportuni, sarebbero stati inevitabili anche alla luce del fatto che la Sig.ra XX è anche docente della Scuola “Da Feltre – Zingarelli” e dunque è un soggetto molto conosciuto nell’ambito della comunità scolastica. Nessun contatto di altra natura vi è stato, né la XX ha potuto verificare che i suoi dati personali siano stati trattati per altre finalità o comunicati a soggetti terzi;

- “Inoltre, nella copia trasmessa al soggetto controinteressato non erano indicati “dati sensibili”, che avrebbero sicuro comportato un dovuto bilanciamento di interessi tra diritto di privacy e diritto del controinteressato di conoscere specificatamente chi era il proprio contraddittore. Tra l’altro il documento di identità non contiene dati di natura particolare. A tal proposito, non si rintraccia nella normativa un obbligo di epurazione di dati ed elementi dalla copia di istanza di accesso che perviene alle pubbliche amministrazioni”;

- “Tra l’altro, nel caso di specie non si sta discutendo di una istanza di accesso generalizzato la cui diffusione è inevitabilmente più ampia, bensì di un’istanza di accesso documentale per cui la richiesta dell’Istante è stata comunicata in via circoscritta solo ai soggetti direttamente coinvolti nella vicenda che, se dunque a loro volta avessero fatto istanza di accesso documentali, avrebbero comunque acquisito i dati della Sig.ra (…)”;

- “Nel caso di specie il documento di identità allegato alla istanza è assolutamente illeggibile e dunque inutilizzabile. Infatti, sia se si procede a stampare la copia del documento piuttosto che a provare di usarlo digitalmente non è assolutamente identificabile sia l’immagine del soggetto che soprattutto non sono leggibili i suoi dati. Per cui tale comunicazione non ha in alcun modo posto a rischio l’istante perché in alcun modo si sarebbe potuto utilizzare il documento anche eventualmente per motivi illeciti da parte di chi lo ha ricevuto”;

- “Pertanto, la Scuola, nel contemperamento degli interessi in gioco, ha ritenuto opportuno dare prevalenza alla integrità del documento da inviarsi ai controinteressati anche alla luce del dato letterale dell’art. 3 del DPR 184/2006 nonchè della previsione dell’art. 476 del codice penale in materia di “falsità materiale commessa dal pubblico ufficiale in atti pubblici” il quale recita che “Il pubblico ufficiale, che, nell'esercizio delle sue funzioni, forma, in tutto o in parte, un atto falso o altera un atto vero, è punito con la reclusione da uno a sei anni”. Nel caso di specie ci si deve chiedere se l’intervento sulla istanza al fine di oscurare dei dati di cui si contesta l’illegittimo trattamento potesse configurare anche una responsabilità di natura penale in capo alla sottoscritta in quanto si andava ad alterare un documento amministrativo”.
Alla luce dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX, ha accertato che l’Istituto trasmettendo ai controinteressati copia integrale del documento di riconoscimento della reclamante e copia dell’istanza di accesso comprensiva di talune informazioni quali il numero di telefono e l’indirizzo e-mail della stessa, non necessari rispetto alla finalità del trattamento, ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali in violazione degli artt.  5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art. 2-ter del Codice. Con la medesima nota sono state notificate all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, le violazioni effettuate comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive con nota del XX rappresentando in particolare che:

- “La sig.ra (…) ha inviato con pec , in data XX, un’Istanza di accesso agli atti nel corpo della quale la stessa chiedeva: a) la graduatoria degli alunni con punteggio test di inglese del corso potenziato per la selezione delle future classi prime; b) verbale del corso potenziato con indicazione criteri di assegnazioni alle classi; c) verbale del corso F con criteri di assegnazione degli alunni; a tale richiesta era allegata come previsto dalla legge la copia del documento di identità dell’Istante”;

- “L’Istante motivava la richiesta in quanto “madre dell’alunno (…) partecipante alla selezione/formazione della XX (inglese potenziato). Visione degli atti riguardanti l’assegnazione degli alunni alle classi prime in esubero per uso di differenti criteri di assegnazione/selezione”;

- “Poiché l’istanza di accesso agli atti avrebbe comportato la potenziale comunicazione alla Sig.ra (…) di documenti contenenti dati personali di soggetti controinteressati alla richiesta, la Scuola inviava “alle famiglie degli alunni che hanno partecipato alla prova di ingresso per l’ammissione ai corsi di inglese potenziato” una comunicazione avente ad oggetto “Istanza di accesso agli atti ai sensi della legge 241/1990 – notifica ai controinteressati ai sensi dell’art.3 del DPR 184/2006” nel corpo della quale si precisava che “Ai sensi dell’art. 7 e dell’art. 22, comma 1, lettera b) della legge 7 agosto 1990, n. 241, e dell’art. 3 del D.P.R. 12 aprile 2006, n. 184, si trasmette copia della richiesta di accesso pervenuta a questo istituto in data XX. Eventuali osservazioni scritte o documenti in merito possono essere presentati a questa scuola entro 10 giorni dal ricevimento della presente nota”;

- “Con PEC del XX il marito della Sigra (…), il Sig. (…), precisava che “Posto che sia stato legittimo informare i controinteressati, a parere dello scrivente, l’aver divulgato dati riservati inopinatamente a tutti, ha creato non pochi disagi e fastidi”;

- “Con PEC prot. n. XX del XX la Scuola, a mezzo della sottoscritta Dirigente, riscontrava la suddetta nota precisando che “l'art. 3 comma 1 del DPR 184/2006 così recita: “1. Fermo quanto previsto dall’articolo 5, la pubblica amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, di cui all’articolo 22, comma 1, lettera c), della legge, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. I soggetti controinteressati sono individuati tenuto anche conto del contenuto degli atti connessi, di cui all'articolo 7, comma 2.". Una volta individuati i controinteressati, la legge impone la notifica di "copia" dell'atto, senza precisare altro. Tale invio risponde alle esigenze di garanzia alla riservatezza dei controinteressati, nella fattispecie dei voti riportati dai propri figli alla selezione per l'accesso al corso di inglese potenziato. Appare pretestuosa, in altre parole, la doglianza relativa alla violazione della riservatezza sul numero di telefono, atteso che lo stesso è parte integrante dell'atto notificato ai controinteressati alla tutela di un altro diritto, e non è stato diffuso "inopinatamente a tutti" come ha riportato in maniera provocatoria nella Sua comunicazione, ma solo ad una ristretta cerchia di persone, individuate come meritevoli di tutela secondo l'art.22 comma 1 lettera c) del provvedimento in questione”;

- “Con verbale prot. n. XX del XX l’istanza di accesso agli atti è stata evasa mediante la consegna alla Sig.ra (…) della documentazione richiesta”;

- “La presunta violazione ha coinvolto un solo interessato. Non è mai capitato in alcuna altra circostanza che sia stata comunicata a terzi la copia del documento di identità di un interessato al trattamento, né questa amministrazione ha subito o è stata coinvolta in altre situazioni o procedure di contestazione in merito alla corretta gestione di dati personali. Pur ribadendo che si è ritenuto di operare nella piena legittimità si tratta di una presunta violazione commessa nella convinzione di adempiere ad un obbligo normativo. È pertanto evidente che si tratta di una lievissima violazione a seguito della quale il documento di identità, comunque illeggibile, è finito nella disponibilità di un gruppo limitato di soggetti (destinatari della comunicazione in quanto controinteressati alla richiesta) di cui diversi conoscevano già il soggetto interessato a cui il documento si riferiva e dunque i suoi dati personali”;

- “È evidente il carattere colposo della presunta violazione contestata. Nessuna premeditazione e volontà di violazione vi è stata in capo al titolare del trattamento e agli autorizzati coinvolti nella vicenda. La procedura è stata ispirata alla totale buona fede di adempiere ad un obbligo normativo. Inoltre si ribadisce che la copia della carta di identità risulta del tutto illeggibile, per cui di fatto non c’è stata comunicazione di dati personali quali fotografia, numero del documento, altezza, firma autografa. Questi dati, elencati nella nota prot.n. XX del Garante risultano del tutto illeggibili e quindi è legittimo presumere che difficilmente potrebbero essere utilizzati da persone non autorizzate”;

- “Non appena si è venuto a conoscenza della contestazione, il titolare del trattamento ha proceduto a rafforzare ulteriormente il controllo sulla corretta gestione dei flussi documentali”;

- “questa amministrazione ha sempre prestato molta attenzione alla disciplina del trattamento dei dati personali e a porre in essere tutti gli adempimenti previsti dal GDPR al fine di assicurare la massima protezione dei dati attraverso l’adozione di tutte le misure tecniche ed organizzative necessarie”;

- “Questa amministrazione ha sempre dimostrato e lo ribadisce in questa sede la massima collaborazione e cooperazione sia con l’autorità che con l’interessata. Più volte si è contattato l’interessata per rassicurarla in merito al fatto che nessun ulteriore trattamento era stata effettuato con i propri dati e sull’affidabilità delle dichiarazioni del controinteressato in merito alla distruzione della copia, si ribadisce, illeggibile del documento di identità”;

- “I dati personali coinvolti nella presunta violazione rientrano nella categoria di dati comuni e non in quella dei dati particolari e/o giudiziari. Infatti, al controinteressato sono stati inviati i dati anagrafici del soggetto istante (tra l’altro comunque conosciuto da questo soggetto trattandosi di colleghi). La fotografia del documento di identità e gli ulteriori dati presenti su tale documento, pur non rientrando nella categoria dei dati particolari, non erano assolutamente leggibili e dunque tale documento non poteva essere utilizzato per alcuna altra finalità”;

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) è “dato personale” “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

Il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”  o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali (di seguito, il “Codice”).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, del Codice).

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c) del Regolamento).

3.2 la trasmissione della copia integrale del documento di riconoscimento.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che l’Istituto trasmettendo ai controinteressati la copia integrale del documento di riconoscimento della reclamante nonché copia dell’istanza di accesso comprensiva di informazioni personali riguardanti la reclamante quali il numero di cellulare e l’indirizzo e-mail, ha effettuato una comunicazione a soggetti terzi di dati e informazioni personali ivi contenuti.

In tale quadro, il trattamento di dati personali effettuato non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la trasmissione della copia integrale del documento di riconoscimento della reclamante non è prevista dalla normativa statale in materia di accesso ai documenti amministrativi e risulta, di conseguenza, priva di idonei presupposti normativi, in violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art. 2-ter, del Codice.

Inoltre, sebbene il soggetto controinteressato possa conoscere l’identità del soggetto istante, gli ulteriori dati personali contenuti nel documento di riconoscimento di cui è stata fornita copia nella sua interezza (fotografia, numero del documento di identità, altezza, firma autografa) nonché i dati personali contenuti nell’istanza di accesso quali il numero di telefono e l’indirizzo e-mail personali della reclamante, risultano non necessari rispetto alla finalità del trattamento correlato al procedimento di accesso ai documenti, in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.

Al riguardo si osserva che l’Istituto scolastico ha confermato l’avvenuta trasmissione ai soggetti identificati come controinteressati della copia integrale del documento d’identità del reclamante e delle informazioni riguardanti il numero di cellulare e l’indirizzo e-mail contenute nell’istanza di accesso.

L’Istituto ha rappresentato tuttavia che “la comunicazione ai controinteressati non può che ricondursi all’adempimento di un obbligo di legge estremamente chiaro fissato dalla legge. Infatti l’art. 3 comma 1 del DPR 184/2006 (…) prescrive che “la pubblica amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, di cui all'articolo 22, comma 1, lettera c), della legge, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. L’Istituto ha inoltre rappresentato che “Il dato normativo è chiaro nel ritenere che al controinteressato vada fornita la “copia” dell’istanza pervenuta all’amministrazione e la norma non fa alcun riferimento alla possibilità e facoltà per l’amministrazione di intervenire sul contenuto della copia per modificarla, facendone venir meno l’autenticità, rispetto a quanto inviato dall’Istante”. Sempre secondo l’Istituto “non si rintraccia nella normativa un obbligo di epurazione di dati ed elementi dalla copia di istanza di accesso che perviene alle pubbliche amministrazioni”. Inoltre, “il documento di identità non contiene dati di natura particolare”.

Al riguardo, tuttavia, occorre rappresentare che non è stato contestato all’Istituto di avere comunicato l’identità del reclamante ai soggetti controinteressati nel procedimento di accesso agli atti – condotta non censurabile ai sensi della disciplina in materia di accesso ai documenti amministrativi, tenuto anche conto che reclamante e controinteressato sono entrambi “parti” del procedimento amministrativo riguardante l’accesso agli atti, quanto il fatto che l’amministrazione non si è limitata a quanto previsto dalla disciplina di settore inviando la mera istanza di accesso, ma – senza che ciò fosse previsto da alcuna disposizione normativa – ha trasmesso anche la copia del documento d’identità integrale del reclamante a soggetti terzi (anche se controinteressati nel procedimento di accesso) e ha fornito altresì agli stessi soggetti informazioni personali contenute nell’istanza di accesso, quali il numero di telefono e l’indirizzo e-mail. Tale trasmissione risulta non necessaria per lo scopo previsto dalla normativa (ossia quello di presentare un’eventuale opposizione all’accesso), ed ha determinato una comunicazione da parte dell’Istituto a soggetti terzi di ulteriori dati personali contenuti nel documento di riconoscimento e nell’istanza di accesso (es.: fotografia, numero del documento di identità, altezza, colore occhi e capelli, professione, firma autografa, numero di telefono, e-mail) priva di idonei presupposti normativi che sono, sproporzionati rispetto alla finalità del trattamento, in violazione del principio di minimizzazione dei dati.

Sotto tale profilo, pur prendendo atto che Istituto ha ritenuto di operare nella piena legittimità (…) e “nella convinzione di adempiere ad un obbligo normativo” e che il documento d’identità non contiene “dati particolari e/o giudiziari” ai sensi degli artt. 9 e 10 del Regolamento, non è accoglibile l’eccezione per la quale “Il dato normativo è chiaro nel ritenere che al controinteressato vada fornita la “copia” dell’istanza pervenuta all’amministrazione e la norma non fa alcun riferimento alla possibilità e facoltà per l’amministrazione di intervenire sul contenuto della copia per modificarla, facendone venir meno l’autenticità, rispetto a quanto inviato dall’Istante” e “non si rintraccia nella normativa un obbligo di epurazione di dati ed elementi dalla copia di istanza di accesso che perviene alle pubbliche amministrazioni”. Ciò in quanto l’obbligo di proteggere i dati personali, anche in relazione al procedimento di accesso, deriva direttamente dal Regolamento e dal Codice, che sanciscono il dovere per tutti i titolari del trattamento di rispettare specifiche regole fra cui, in primo luogo, i principi generali (art. 5 del Regolamento) come quello di “minimizzazione dei dati” nonché i presupposti di liceità del trattamento (art. 6 del Regolamento) e la regola per la quale la “comunicazione” di dati personali da parte di soggetti pubblici è ammessa solo se prevista “da una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter, commi 1-4, del Codice).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, pur meritevoli di considerazione ai fini della valutazione della condotta, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva la non conformità alla disciplina in materia di protezione dei dati personali della condotta tenuta dall’Istituto scolastico in quanto, trasmettendo la copia integrale del documento di riconoscimento del reclamante ai controinteressati e trasmettendo inoltre a questi la copia integrale dell’istanza di accesso comprensiva di dati non necessari per lo scopo previsto dalla legge, ha effettuato una comunicazione di dati personali non prevista dalla normativa, priva, di conseguenza, di idonei presupposti normativi e la comunicazione di informazioni non necessarie rispetto alla finalità del trattamento, in violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento nonché dell’art. 2-ter, del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico pubblico;

- si è trattato di un caso isolato effettuato nell’erroneo convincimento che la comunicazione fosse prevista dalla normativa di settore;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria e ha proceduto a “rafforzare il controllo sulla corretta gestione dei flussi documentali”;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

- le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento nonché dell’art. 2-ter del Codice

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto Scolastico Comprensivo Statale Vittorino da Feltre - Nicola Zingarelli di Foggia descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento nonché dell’art. 2-ter del Codice;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Scolastico Comprensivo Statale Vittorino da Feltre - Nicola Zingarelli quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento nonché dell’art. 2-ter del Codice come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 settembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9947479
Data
28/09/23

Argomenti

Minori Scuola

Tipologie

Prescrizioni del Garante

Vedi anche (9)