Covid, scuole negano accesso civico per la protezione dei dati personali. Parere Garante della Privacy [PDF]
Un Comitato – costituito da famiglie, professionisti della scuola e studenti attivi nella società civile – identificato in atti, «con l’obiettivo unico di rendere piena trasparenza dello stato di diffusione del CoViD-19 nelle Scuole della Provincia [identificata in atti]» ha inoltrato istanze di accesso civico generalizzato – ai sensi dell’art. 5 comma 2, del d. lgs. n. 33/2013 – a diversi Istituti scolastici finalizzati a ottenere dati sotto la forma di «“report Sars-Cov2” che settimanalmente vengono inviati dalle Scuole della Provincia di Modena al sistema di Sorveglianza Sanitaria»
Lo scrive il Garante per la protezione dei dati personali nel parere su istanza accesso civico del 23 aprile 2021.
Le rilevazioni hanno interessato:
– numero di casi in isolamento
– numero di casi in quarantena
– numero di casi sottoposti a tampone (molecolare o antigenico)
– numero di casi in attesa di esito
– numero di casi con esito positivo
– numero di casi con esito negativo
– numero di classi in isolamento
– numero di classi in quarantena preventiva
– numero di classi focolaio (con casi positivi al tampone successivamente al caso 1) con granularità temporale settimanale con profondità temporale da inizio rilevazione, con dettaglio e gerarchia per singolo circolo/scuola e singolo plesso.
Dagli atti risulta che molti Istituti scolastici interessati hanno negato l’accesso civico con identico provvedimento, per motivi inerenti alla protezione dei dati personali, rappresentando che l’ostensione del complesso delle informazioni richieste, anche se private dei dati direttamente indentificativi dei soggetti interessati, «laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute, consentono di risalire all’identità dei soggetti coinvolti e, quindi, al loro stato di salute».
Il richiedente l’accesso civico ha quindi presentato una richiesta di riesame sui provvedimenti di diniego al RPCT dell’Ufficio Scolastico Regionale per l’Emilia-Romagna (art. 5, comma 7, del d. lgs. n. 33/2013), ritenendole non legittime e insistendo nelle proprie richieste, chiedendo inoltre che venga offerta «la disponibilità a identificare la maniera più comoda di raccogliere le informazioni richieste con l’intento di non gravare sulle attività della Scuola».
Per il Garante occorre effettuare una ponderata analisi della ostensibilità delle informazioni richieste dal Comitato, le quali anche se prive dell’indicazione del nome e del cognome degli alunni interessati, contengono informazioni di dettaglio – divise per singolo circolo/scuola e plesso – riferite al numero di casi in isolamento, in quarantena e sottoposti a tampone (con specificazione della tipologia: molecolare o antigenico); al numero di casi in attesa di esito (con specificazione per singolo caso se con esito positivo o negativo); al numero di classi in isolamento o in quarantena preventiva, al numero di classi focolaio.
I singoli Istituti scolastici destinatari delle richieste di accesso civico – sulla base delle valutazioni effettuate in qualità di titolari del trattamento e nel rispetto del principio di responsabilizzazione/accountability – nei propri provvedimenti di diniego hanno affermato che l’ostensione del complesso delle informazioni richieste, anche se private dei dati direttamente indentificativi dei soggetti interessati, «laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute», possono consentire di risalire all’identità dei soggetti coinvolti.
Sul punto, dagli atti non emergono elementi che consentono a questa Autorità di discostarsi dalla valutazione effettuata dal titolare del trattamento, soprattutto considerando il ristretto ambito di riferimento (circolo/scuola o plesso), la variabilità del numero di casi (che settimanalmente potrebbero essere anche esigui); il particolare regime di pubblicità dei dati ricevuti tramite l’accesso civico e il «raffronto» dei dati richiesti con altre informazioni eventualmente in possesso di terzi che potrebbero consentire – anche a posteriori – l’identificazione indiretta dell’alunno minorenne interessato, con rivelazione a pubblico generalizzato del suo stato di salute o di altri dati delicati riguardanti l’eventuale stato di quarantena/isolamento.
Nel precedente parere del Garante n. 155 del 3/9/2020, adottato su questione analoga, e citato sia dal RPCT che dal soggetto istante, si è concordato con la decisione di una Regione di non fornire dati di dettaglio sull’emergenza sanitaria che possano consentire un’identificazione indiretta dei soggetti interessati e di fornire, invece, in ogni caso – allo scopo di soddisfare le esigenze informative alla base dell’accesso civico e di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – i dati sull’emergenza sanitaria aggregati, su base territoriale più ampia, a livello comunale.
Il Garante ritiene che la predetta soluzione potrebbe non essere utile con particolare riferimento ai dati dei minori iscritti negli Istituti scolastici, considerando – ad esempio – che in comuni molto piccoli potrebbero essere presenti anche singoli istituti/plessi scolastici e l’aggregazione a livello comunale sarebbe sostanzialmente inutile, coincidendo con la singola scuola o plesso.
Parere GarantePrivacy-9582723-1.1
