“Manca copia vaccini”, scuola affigge elenco bambini con dati relativi ai minori. Garante privacy: salate sanzioni pecuniarie

Un fatto di cronaca ha interessato anche l’Autorità per la privacy con il provvedimento doc. web n. 9445324 del 2 luglio 2020 dopo alcune segnalazioni in ordine all’affissione, all’ingresso di una scuola di taluni elenchi contenenti “nomi di minori, date di nascita, indirizzi di residenza, numeri di telefono e la dicitura “manca copia vaccini”. La scuola si era difesa sostenendo che “gli elenchi (…) erano stati affissi per mero errore materiale, senza alcuna autorizzazione e firma del Dirigente; di aver “provveduto a far rimuovere gli stessi” e di aver “accertato che la dicitura inserita a matita su tali elenchi (“manca copia vaccini”) non si riferiva in alcun modo ai bambini ivi indicati i quali risultano in realtà in regola con gli obblighi vaccinali”; valutando altresì l’adozione di procedimenti disciplinari. Ciò non è bastato per evitare la sanzione.

Divulgare dati relativi dei minori in modo scorretto è illecito

L’Ufficio, sulla base dalle verifiche compiute e degli elementi acquisiti, anche attraverso la documentazione inviata dall’Istituto scolastico e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, “ha accertato che il predetto Istituto Comprensivo, affiggendo sulla porta di ingresso della scuola i suddetti elenchi relativi a minori, recanti in chiaro oltre ai dati identificativi degli alunni, anche indicazioni relative alla data di nascita, all’indirizzo e ai numeri di telefono degli stessi, ha effettuato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali, consistente nella divulgazione di dati e informazioni personali relativi a minori in assenza di un idoneo presupposto normativo per la diffusione dei predetti dati, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice che invece ammette la predetta possibilità da parte di soggetti pubblici solo quando la diffusione è prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Non risulta invece comprovata la diffusione di dati relativi alla salute dei minori in quanto, come rappresentato dal Dirigente scolastico, la dicitura inserita a matita “manca copia vaccini”, non si riferiva ai bambini elencati nella lista che risultavano, invece, in regola con gli obblighi vaccinali”.

Il dato personale in ambito pubblico

In via preliminare, osserva il Garante nel suo provvedimento, ai sensi della disciplina in materia, “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» (art. 4, par. 1, n. 1, del Regolamento). Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (ibidem). Il trattamento di dati personali effettuato in ambito pubblico è lecito solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e)). In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c)”.

Diffondere dati dei minori mediante affissione alla porta è sanzionabile

Conclude il Garante accertando “ l’illiceità del trattamento di dati personali effettuato dall’Istituto (…), per aver diffuso, mediante affissione sulla porta di ingresso della scuola dell’infanzia di Otranto, alcuni elenchi contenenti dati personali di soggetti minorenni. Tale diffusione è avvenuta in violazione della normativa a tutela dei dati personali e, specificamente: a) in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1, lett. a) e c) del Regolamento; b) in assenza di un idoneo presupposto normativo per la pubblicazione dei predetti dati personali, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice”, ordinando alla scuola di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel provvedimento”

Preparazione concorsi, TFA e punteggio in graduatoria con CFIScuola!