Argomenti Guide

Tutti gli argomenti

Privacy: scuola pubblica per errore dati sanitari, la rimozione su segnalazione non evita la sanzione. Quadro normativo e sentenza

Stampa

Della documentazione “contenente dati personali, anche di carattere sanitario è stata pubblicata nella sezione Amministrazione Trasparente della scuola. L’Istituto scolastico rileva che “per mero errore” […] l’Assistente Amministrativa, nello svolgimento dei compiti di sua spettanza, ha erroneamente attivato la spunta che rendeva visibili i documenti in oggetto”, “a seguito della segnalazione fatta dagli stessi interessati, l’ Istituto ha provveduto immediatamente ad eliminare i dati personali erroneamente diffusi, provvedendo inoltre alla rimozione dai motori di ricerca di tutti i riferimenti che rimandassero ai contenuti online. Il file è stato rimosso dal server Amministrazione trasparente- eliminando la spunta che lo rendeva visibile”. Ciò non è però bastato ad evitare la sanzione.

Il quadro normativo
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati – tra i quali sono ricompresi anche i “dati relativi alla salute” (cfr. art. 9, par. 1, del Regolamento) – se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c) ed e); 9, par. 2, lett. b) e par. 4; 88 del Regolamento).
La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).
In ogni caso, i “dati relativi alla salute”, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento), per effetto delle maggiori garanzie che il Regolamento e il Codice riconoscono in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, par. 4, del Regolamento).
Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Diffusione dei dati personali
In tale quadro, si osserva che, sebbene l’Istituto, dopo la segnalazione da parte dell’interessata, abbia immediatamente provveduto ad eliminare  i dati personali della reclamante e dei suoi familiari diffusi erroneamente, tale pubblicazione è avvenuta, in ogni caso, in assenza di un’idonea base giuridica (ovvero in assenza di una espressa norma di legge o, nei casi previsti dalla legge, di regolamento) e, con riferimento a dati personali particolari, tra cui i dati relativi allo stato di salute del XX della reclamante, in violazione del divieto di diffusione previsto dall’art. 2-septies, comma 8, del Codice.
Non rileva, al fine della esclusione della condotta lesiva, seppure l’istituto abbia riconosciuto sin da subito l’errore commesso, aver posto in essere tutti i comportamenti previsti da quanto disciplinato dal Regolamento, notificando immediatamente ai sensi dell’art. 33 la violazione e cooperando in maniera trasparente con la stessa Autorità. Tali circostanze sono tenute in considerazione al fine dell’ammontare della sanzione.

Conclusioni
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice – seppur meritevoli di considerazione non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si rappresenta, altresì, che la violazione oggetto da parte dell’Istituto, è avvenuta nella piena vigenza delle disposizioni del Regolamento, e che, dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, che nel caso di specie è avvenuta dal XX fino al XX, data in cui il Regolamento era pienamente efficace.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali.

Stampa

Nel prossimo incontro de L’Eco digitale di Eurosogia parleremo di: “Il coding nella scuola del primo ciclo: imparare divertendosi”