Indice
>>> Leggi il provvedimento n. 290 del 1 settembre 2022<<<
1. I fatti
Una reclamante lamentava al Garante per la protezione dei dati personali che il liceo presso il quale lavorava aveva pubblicato sulla propria pagina web e sul portale scolastico utilizzato con funzione di registro elettronico una circolare in cui erano indicate le ferie estive dei collaboratori scolastici con allegato il prospetto del piano ferie in cui era indicato, in corrispondenza del suo nominativo e di altri colleghi, il riferimento numerico “104” (che secondo la reclamante identificava i dipendenti che hanno ottenuto i benefici di cui alla legge n. 104 del 1992).
Il Garante apriva quindi il procedimento nei confronti dell’istituto scolastico e lo invitava a fornire le proprie difese in merito agli addebiti mossi dalla reclamante.
L’istituto scolastico, in primo luogo, evidenziava come, normalmente, il piano ferie dei collaboratori scolastici viene pubblicato solo nell’area del registro elettronico ad accesso riservato, in modo che soltanto i lavoratori che dispongono delle credenziali di accesso possono prendere visione della comunicazione. Tuttavia, nel caso di specie, la circolare – che era stata qualificata come interna – era stata considerata, per mero errore umano, come una circolare normale e quindi era stata pubblicata sulla pagina internet e sul portale d’istituto del registro elettronico.
In secondo luogo, la scuola evidenziava che non era stato divulgato il motivo per cui la reclamante aveva ottenuto i benefici di cui alla legge 104 e quindi non vi era stata la pubblicazione di un vero e proprio dato sanitario, ma solo di un riferimento numerico da cui si poteva semplicemente dedurre genericamente una qualche invalidità della persona.
In terzo luogo, la scuola rappresentava che il personale di segreteria era sempre stato adeguatamente formato sulla materia della privacy e che l’errore materiale si era verificato comunque a causa della forte pressione su detto personale dovuta alle esigenze si tracciare i contatti dei dipendenti durante l’emergenza COVID.
In conclusione, l’istituto scolastico evidenziava come il file era stato pubblicato in un’area del registro elettronico riservata soltanto agli insegnanti per un periodo di tempo di 14 giorni e che la reclamante non avesse mai segnalato la circostanza al dirigente scolastico, né avesse mai chiesto la rimozione della circolare; dal canto suo, la scuola, una volta venuta a conoscenza della pubblicazione del dato personale, a seguito del reclamo presentato al Garante aveva immediatamente rimosso la circolare, che comunque era stata presa in visione soltanto da otto persone (per come risultava dal report degli accessi complessivi di presa visione del documento).
Potrebbero interessarti anche
- Il parere del Garante privacy sul decreto per l’attuazione del processo amministrativo telematico
- La privacy nella Pubblica Amministrazione e la sua tutela
- Il Modello 231, lo smart working e information security in tempo di covid
2. Le valutazioni del garante
Il Garante ha preliminarmente evidenziato che la pubblicazione sul sito web dell’istituto scolastico della circolare contenente il piano ferie del personale collaboratore scolastico e l’indicazione “104” costituisce una diffusione di dati personali, anche relativi alla salute, degli interessati; mentre la messa a disposizione di detto documento all’interno del registro elettronico sostanzia una comunicazione di dati personali (in quanto il registro elettronico non è accessibile a chiunque).
La normativa in materia di privacy prevede che i soggetti pubblici, qualora siano datori di lavoro, possono trattare i dati personali dei propri dipendenti quando ciò è necessario per gestire il rapporto di lavoro o per adempiere a obblighi o compiti previsti dalla normativa di settore, ma che comunque i dati debbono essere trattati con appropriate garanzie. Per quanto riguarda i dati relativi alla salute di una persona e che rivelino informazioni relative al suo stato di salute, in generale, non possono essere diffusi; ma anche in questo caso, qualora sussistano le eccezioni normativamente previste per cui ne è ammesso il trattamento, il datore di lavoro è tenuto a rispettare i principi generali in materia di privacy.
Ciò premesso, il Garante, passando all’esame del caso concreto, ha evidenziato che i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non sono legittimati a trattare detti dati, quali soggetti autorizzati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte.
Tale principio è contenuto anche in un recente provvedimento del Garante stesso, secondo cui, qualora nel predisporre i turni di servizio dei dipendenti, il datore di lavoro metta a disposizione di soggetti diversi dall’interessato (come per esempio i colleghi) i dati relativi alle presenze e alle assenze dal servizio dei dipendenti, il datore non deve indicare in maniera esplicita i motivi dell’assenza da cui si possano ricavare dati personali dell’interessato appartenenti alle categorie particolari previste dal GDPR (come i dati sanitari o i permessi sindacali), ciò neanche attraverso l’uso di acronimi o sigle.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che il fatto che la circolare contenente i dati relativi ai giorni e alle cause di assenza dal servizio del personale scolastico e i dati relativi all’uso dei benefici della legge 104/1992, sia stata messa a disposizione in un’area del registro elettronico riservata, anche se non sostanzia una diffusione dei dati, comunque sostanzia una comunicazione di detti dati. Ciò in quanto gli stessi erano conoscibili da un numero determinato o determinabile, ma comunque ampio, di soggetti: cioè tutti i colleghi della reclamante.
Invece, i dati in questione avrebbero dovuto essere portati a conoscenza del solo personale di segreteria autorizzato all’accesso e al trattamento dei dati medesimi.
Pertanto, la condotta dell’istituto scolastico ha fatto si che tutti i dipendenti potessero conoscere le situazioni personali, familiari o comunque relativi al rapporto di lavoro degli altri dipendenti e informazioni relative al loro stato di salute o dei loro familiari. A tale ultimo proposito, il Garante ha ricordato che è irrilevante il fatto che sia stato comunicato soltanto il riferimento alla legge 104 senza alcuna indicazione del motivo per cui la stessa era stata ottenuta, in quanto anche tale indicazione permette comunque al destinatario di ricavare informazioni sullo stato di salute di una persona.
Conseguentemente, il Garante ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria, che ha quantificato, tenuto conto della gravità della violazione (relativa ai dati relativi alla salute) e della condotta “riparatoria” dell’istituto scolastico, nell’importo di €. 4.000 (quattromila).
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento