Argomenti Guide

Tutti gli argomenti

Graduatorie personale docente: quali dati possono essere resi pubblici sul sito della scuola? Il rischio della violazione della privacy

Stampa

Si avvicina il tempo della pubblicazione delle graduatorie, fatto fondamentale per la vita della scuola, ed è il caso di richiamare un recente intervento del Garante della Privacy con il quale sanzionava una scuola, per non aver rispettato la normativa vigente in materia. Normativa non semplice di facile lettura. In sostanza è bene attenersi a pubblicare in fatto di graduatorie il minimo indispensabile per evitare di incorrere in situazioni di illegittimità.

Il fatto

L’Autorità ha ricevuto un reclamo in ordine alla diffusione sul sito web istituzionale di una scuola di graduatorie relative a personale docente di III fascia, contenenti dati personali del reclamante che dall’istruttoria risultava visibile e liberamente scaricabile dal sito web istituzionale del predetto Istituto, all’url: https://… ed è stato riscontrato che oltre ai dati personali indicati dal reclamante, erano contenute ulteriori informazioni di carattere personale relative a circa 2000 docenti, non necessarie rispetto alle finalità sottese alla pubblicazione, tra le quali i recapiti telefonici, l’indirizzo di residenza, gli indirizzi e-mail, i codici di preferenza nonché i dati relativi alla salute di taluni interessati. L’Ufficio ha infatti rilevato che, nei campi denominati “Prefer. 1” “Prefer. 2” “Prefer. 3” “Prefer. 4” risultavano indicate alcune sigle alfabetiche tra cui la lettera “S” che individua la categoria degli “invalidi e mutilati civili”. Gli interessati per i quali è stata individuata la presenza della sigla “S” erano circa 25. Si pronuncia con il provvedimento contenuto nel Registro dei provvedimenti n. 51 dell’11 febbraio 2021.

Normativa applicabile

Ai sensi del Regolamento europeo, divenuto applicabile dal 25 maggio 2018, il trattamento di dati personali effettuato da soggetti pubblici, anche quando operano nell’ambito di procedure concorsuali e selettive del personale, è lecito, solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e)).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali (come la pubblicazione in Internet), in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c)).

In ogni caso, resta assolutamente vietata la diffusione di dati relativi alla salute (art. 9, parr. 1, 2 e 4, del Regolamento, art. 2-septies, comma 8, del Codice, ossia di “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15; considerando n. 35 del Regolamento).

Con particolare riferimento alla pubblicazione delle graduatorie, inoltre, il Garante nel provvedimento n. 134 del 15 maggio 2014, recante le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in www.gpdp.it, doc. web n. 3134436, in corso di aggiornamento) ha chiarito che “devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati” e che “Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l´indirizzo di residenza o di posta elettronica, il codice fiscale, l´indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio)”. In maniera analoga il Garante si era espresso nel provvedimento n. 23 del 14 giugno 2007, recante “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”(in www.gpdp.it, doc. web n. 1417809) evidenziando che: “Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale.”

Pubblicare nelle graduatorie dati contenenti mail, C.F, residenza, numero di telefono, codici di preferenza e sulla salute è illegittimo

Dall’accertamento compiuto dal Garante sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio ha accertato che l’Istituto scolastico, pubblicando sul sito web istituzionale le suddette graduatorie (comprensive, tra l’altro, di codice fiscale, indirizzo di residenza, numero di telefono fisso e mobile, indirizzo e-mail, codici di preferenza, dati relativi alla salute degli interessati), ha determinato una divulgazione di dati personali relativi ai soggetti riportati nelle predette graduatorie, in assenza di un idoneo presupposto normativo, ai sensi dell’art. 2-ter, commi 1 e 3 del Codice, in riferimento all’art. 6 par. 1, lett. c) ed e), del Regolamento, che invece ammette la predetta possibilità, da parte di soggetti pubblici, solo quando la diffusione è prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, nonché la diffusione di dati relativi alla salute di taluni interessati in violazione dell’art. 9, parr. 1, 2 e 4, del Regolamento, nonché dell’art. 2-septies, comma 8, del Codice. La diffusione dei dati personali sopra descritti è avvenuta, inoltre, in maniera non conforme al rispetto dei principi di “liceità” e “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento europeo. (cfr., con riguardo alla pubblicazione di dati non pertinenti contenuti in graduatorie scolastiche, i provvedimenti del 6 giugno 2013, nn. 274, 275 e 276, doc. web n. 2535862, 2536184, 2536409)
Risulta accertato inoltre che, nelle stesse graduatorie, fossero contenuti dati relativi alla salute di circa 25 docenti. L’indicazione della lettera “S” accanto ai nominativi degli interessati, infatti, fornisce informazioni relative allo stato di salute degli stessi, ancorché attraverso la consultazione dell’allegato 6 al decreto del MIUR del 1° aprile 2014, n. 235, in violazione del generale divieto di diffusione dei dati sulla salute (art. 2-septies del Codice; art. 9 del Regolamento; cfr., in particolare, il consolidato orientamento del Garante, ancorché con riguardo al quadro normativo previgente, Provv. 4 febbraio 2016, n. 35, doc. web n. 4727305 e 4912481; Provv. 1° giugno 2016, n. 244, doc. web n. 5260571, e i provvedimenti ivi citati, nonché, da ultimo Provv. 30 gennaio 2020, n. 21, doc. web. n. 9283014, Provv. 6 febbraio 2020 n. 27 doc. web. n. 9283029, Provv. 12 marzo 2020 n. 50 doc. web n. 9365159).

Stampa

Corso di perfezionamento in Metodologia CLIL: acquisisci i 60 CFU con Mnemosine, Ente accreditato Miur