Garante per la protezione dei dati personali: Provvedimento n. 1 del 9 gennaio 2020
Fatto
Il 31 agosto 2018 la provincia autonoma di Trento notificava al Garante per la protezione dei dati personali la verificazione di un data breach nel giorno precedente.
In particolare, la provincia faceva presente che, il giorno prima, un circolo di coordinamento del servizio scolastico della provincia aveva inviato una e-mail a 16 famiglie di bambini iscritti all’ anno scolastico che sarebbe iniziato qualche giorno dopo, i cui bambini non risultavano in regola con gli obblighi vaccinali, informandole che, in applicazione della nuova normativa in materia di obblighi vaccinali, non sarebbe stata permessa la frequenza alle scuole di infanzia ai bambini che non risultavano in regola con le vaccinazioni. La provincia precisava, inoltre, che la e-mail in questione non era stata inviata in maniera personalizzata ad ogni singolo genitore, bensì era stata inviata un’ unica e-mail con in copia tutti i 16 destinatari ed erano visibili gli indirizzi e-mail di tutti i genitori destinatari.
Preso atto della notifica del data breach effettuata dallo stesso ufficio scolastico (che si era accorto della violazione), il Garante aveva chiesto chiarimenti su alcuni aspetti e in particolare aveva chiesto alla Provincia autonoma di Trento: chi fosse il titolare del trattamento di cui alla comunicazione in contestazione (posto che la email era stata inviata dall’ ufficio scolastico); quale qualifica avesse la persona che ha inviato la e-mail e quali istruzioni avesse ricevuto; quali fossero le cause che hanno determinato il data breach. Infine, il Garante aveva richiesto all’ente pubblico di informare dell’accaduto le famiglie che avevano ricevuto la e-mail e ad invitarle a mantenere riservate le informazioni che avevano erroneamente ricevuto e a non divulgare né diffondere tali informazioni nonché di far conoscere al Garante le eventuali osservazioni che sarebbero pervenute dalle famiglie e le direttive date dalla Provincia agli Uffici scolastici per evitare che si possa ripetere nuovamente un episodio del genere.
La Provincia, quindi, forniva il proprio riscontro alla richiesta del Garante, evidenziando che:
- titolare del trattamento era la stessa Provincia di Trento;
- il dirigente del servizio scolastico era qualificato come preposto al trattamento;
- la causa che aveva determinato il data breach era stata la urgenza di comunicare alle famiglie i cui bambini non erano in regola con l’obbligo vaccinale che gli stessi non sarebbero stati ammessi alla frequenza delle scuole, che sarebbe iniziata pochi giorni dopo (tale urgenza aveva determinato l’errore nell’invio);
- la Provincia aveva comunicato l’evento alle famiglie coinvolte con Raccomandata a.r.e le aveva invitate alla riservatezza sui dati che avevano appreso e aveva loro evidenziato il divieto di comunicare e/o diffondere tali dati;
- le famiglie coinvolte non avevano inviato alcuna osservazione, né comunque alcuna risposta alla Provincia.
Nonostante i chiarimenti resi dall’ Ente pubblico, il Garante ha ritenuto che non ci fossero gli estremi per archiviare il procedimento, che è così proseguito fino alla emissione della decisione oggetto di commento.
Volume consigliato
La decisione del Garante
Il Garante, ritenendo appunto non soddisfacenti le giustificazioni date dalla Provincia negli ulteriori scritti difensivi inviati dall’ Ente pubblico durante il procedimento, ha ritenuto illecito il comportamento della Provincia e dell’ Ufficio scolastico con l’invio della e-mail in questione e conseguentemente ha ammonito l’ Ente pubblico.
L’ Autorità di controllo ha evidenziato come le informazioni contenute all’interno della e-mail inviata dall’ Ufficio scolastico sono configurabili come “dati relativi alla salute di minori”, in quanto tra i bambini non in regola con l’obbligo vaccinale potrebbero esserci minori che erano esonerati dall’obbligo vaccinale oppure il cui obbligo era stato differito perché detti bambini erano soggetti a qualche malattia (temporanea o permanente).
Ciò precisato, il Garante ha aggiunto che la normativa in materia di protezione dei dati personali (e precisamente il Regolamento europeo) vieta in generale il trattamento di dati relativi alla salute e che il trattamento è ammesso soltanto in alcuni casi eccezionali previsti dalla stessa normativa e comunque in presenza di una idonea base giuridica. Infine, il Garante ha ricordato come qualsiasi trattamento di dati debba comunque essere effettuato nel rispetto dei principi previsti dalla normativa, fra i quali quelli di integrità e riservatezza dei dati (secondo cui deve essere garantita un’ adeguata sicurezza dei dati, anche attraverso idonee misure tecniche e organizzative, per evitare che i dati possano essere oggetto di accessi non autorizzati o che gli stessi vengano persi o distrutti accidentalmente) nonché di minimizzazione dei dati (secondo cui i dati trattati devono comunque essere pertinenti e soprattutto non devono eccedere rispetto a quanto necessario per raggiungere le finalità per cui viene fatto il trattamento).
Gli scritti difensivi formulati dalla Provincia nel procedimento in esame non sono stati ritenuto soddisfacenti dal Garante a superare le violazioni addebitate. In particolare, l’ Ente pubblico aveva rilevato che: la e-mail era stata inviata ai genitori dei bambini che non erano in regola con l’obbligo vaccinale e non a quelli i cui bambini erano stati esonerati da detto obbligo o lo stesso era stato differito per motivi di malattia; gli interessati, dei cui dati si trattava, non avevano subito alcun pregiudizio alla reputazione né di carattere economico, né comunque avevano subito altri danni o rischi dignificativi ai propri diritti e libertà, come dimostrava il fatto che a cinque mesi di distanza nessuno di tali soggetti aveva fatto alcuna recriminazione o richiesta alla Provincia né addirittura aveva neanche risposto alla comunicazione con cui l’ Ente pubblico li aveva informati del data breach; infine, era il primo ed isolato evento di data breach che si era verificato e si trattava inoltre di un evento “istantaneo”, che non si protrae nel tempo, e connesso ad un errore della persona che aveva mandato la e-mail (e non a dolo di quest’ultima).
Secondo il Garante, infatti, i dati in questione (cioè l’informazione che i bambini non erano in regola con gli obblighi vaccinali) sono comunque qualificabili come dati relativi alla salute, poiché non si può escludere il fatto che tali bambini fossero esonerati dall’obbligo vaccinale o avessero avuto un rinvio dovuti a un loro stato di malattia temporaneo o permanente e l’invio di tali dati in una mail in copia conoscenza a 16 destinatari costituisce un trattamento di tali dati che non è giustificato da alcun motivo e non ha alla base alcun presupposto normativo. Infine, il Garante ha evidenziato che tale trattamento illegittimo si sarebbe facilmente potuto evitare inviando le e-mail in copia conoscenza nascosta (in modo che ogni destinatario della comunicazione non avrebbe potuto vedere chi fossero gli altri destinatari della stessa).
Infine, il Garante ha applicato la semplice sanzione dell’ ammonimento nei confronti della Provincia di Trento a fronte del trattamento illecito di cui sopra, ritenendo che nel caso di specie – seppure il trattamento era illecito e effettuato senza una idonea base giuridica – l’ evento si è verificato solo una volta e per un comportamento colposo della persona che ha inviato la mail ed inoltre l’ Ente pubblico immediatamente dopo la violazione ha preso delle iniziative volte a limitare i danni e a evitare che l’ evento possa verificarsi di nuovo.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento