Scuole

Scuola invia dati PEI di un alunno con disabilità ad una famiglia omonima, si è trattato di un errore. Ecco cosa ha detto il Garante per la Privacy

Di Avv. Marco Barone
WhatsApp
Telegram

Con segnalazione presentata all’Autorità, una signora ha lamentato che una scuola avrebbe inviato in più occasioni, al proprio indirizzo e-mail  i “Programmi educativi individualizzati” riguardanti i ragazzi con disabilità (PEI) riferiti a taluni alunni della scuola, pur non avendo con l’Istituto alcun tipo di rapporto o collaborazione. Tali e-mail recherebbero in chiaro gli indirizzi e-mail dei destinatari, compreso quello della segnalante e i nominativi degli alunni interessati. La segnalante ha, inoltre, rappresentato che l’Istituto avrebbe fornito riscontro alla richiesta di chiarimenti presentata, rappresentando che l’invio della predetta documentazione era dovuto ad un caso di omonimia con una docente.

Il fatto

L’Assistente Amministrativa, incaricata del trattamento dei dati personali per l’area Didattica, inviava erroneamente ad altro destinatario, comunicazione di convocazione del PEI di un alunno. Le comunicazioni via email, oggetto di erroneo invio, erano necessarie per fissare gli appuntamenti con i genitori degli alunni interessati per illustrare i PEI. Dette comunicazioni riportavano i nomi degli alunni e le date degli incontri. Nessun contenuto riguardo allo stato di salute dell’interessato. La scuola nelle sue memorie difensive faceva presente che si era trattato di un errore di una comunicazione ad un indirizzo mail di un destinatario diverso dal corretto destinatario per un errore dovuto all’auto completamento del sistema gestionale utilizzato all’epoca dei fatti, di cui la scrivente non era a conoscenza in quanto all’epoca dei fatti la posta era affidata al DSGA e quindi ad un assistente amministrativo; non ero a conoscenza nemmeno del reclamo presentato.

La normativa applicabile

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

Inviare dati sensibili con mailing list in chiaro è illecito

Al riguardo si evidenzia che il Garante, anche se con riferimento all’utilizzo di liste per l’invio di più e-mail o sms per finalità promozionali, ha avuto modo di chiarire che l’invio di messaggi di posta elettronica “con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari” della e-mail. Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione “ccn” (ossia l’inoltro per conoscenza in “copia conoscenza nascosta”), gli indirizzi di posta utilizzati per l’invio” di e-mail (Cfr. punto 5 delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, consultabili sul sito internet www.garanteprivacy.it, doc. web n. 2542348). Alla luce delle considerazioni che precedono, l’Istituto scolastico, inviando secondo le suddette modalità, le convocazioni delle riunioni del Gruppo di lavoro Operativo per l’inclusione scolastica contenenti dati personali relativi alla salute degli alunni ivi riportati e l’indicazione in chiaro degli indirizzi di posta elettronica dei destinatari delle note stesse e della segnalante, ha dato luogo a una “comunicazione” di dati personali e di categorie particolari di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice). Ciò ha comportato la violazione della normativa in materia con una sanzione di 1000 euro . Citato provvedimento del Garante per la privacy 767 del 12 dicembre 2024 [doc. web n. 10099052]

WhatsApp
Telegram

Corsi

Tutti i corsi

Orizzonte Scuola PLUS

Scopri tutti i contenuti PLUS
Iscriviti alla newsletter di OrizzonteScuola

Ricevi ogni sera nella tua casella di posta una e-mail con tutti gli aggiornamenti del network di orizzontescuola.it

Altri contenuti che potrebbero interessarti

MESSAGGIO SPONSORIZZATO

Interpelli per le supplenze, le scuole iniziano a pubblicare. Ti informiamo noi quando una scuola cerca un supplente e inviamo la tua candidatura. Il nuovo sistema di Interpelli Smart