Pubblicazioni su registro elettronico: rischi per la privacy

È illecita la pubblicazione sul registro elettronico di un elenco di studenti con l’indicazione delle sigle BES, DSA o Alunno H.

1. Il fatto

I genitori di alcuni alunni frequentanti una scuola statale secondaria di primo grado aveva presentato reclamo al Garante per la protezione dei dati personali, lamentando che, all’interno del registro elettronico scolastico, era stata pubblicata una circolare che conteneva un elenco di alunni, divisi per classe, che avevano richiesto la frequenza delle lezioni in presenza o mediante didattica a distanza e che in corrispondenza del nominativo di alcuni di detti alunni, figli dei reclamanti, erano stati inseriti gli acronimi BES, DSA o ALUNNO H.
Esaminato il reclamo, il Garante avviava il procedimento per l’adozione dei provvedimenti sanzionatori nei confronti della scuola, in quanto riteneva che la indicazione dei suddetti acronimi in associazione ai nominativi dei figli dei reclamanti configurasse un dato personale relativo alla salute e la pubblicazione di detti dati nel registro elettronico, seppure in un’area riservata non accessibile a chiunque, sostanziasse una comunicazione a terzi di detti dati personali.
Pertanto, il Garante invitava la scuola a inviare le proprie memorie difensive.
La scuola si difendeva sostenendo, in primo luogo, che i dati in questione erano stati comunicati per mero errore ad una platea determinata di persone, che era costituita soltanto dai genitori della stessa classe che frequentavano i figli dei reclamanti e che conoscevano già le esigenze di “natura speciale” dei figli dei reclamanti.
In secondo luogo, la scuola sosteneva che comunque la pubblicazione di tali dati era avvenuta soltanto per 18 ore (comprese le ore notturne).
In terzo luogo, la scuola evidenziava che l’evento era avvenuto durante la pandemia da Covid-19, allorquando la segreteria era estremamente impegnata per gestire – per la prima volta nella storia della scuola italiana – l’organizzazione della didattica a distanza, e la pubblicazione della circolare in questione era avvenuta per un mero errore umano dipeso dalla suddetta situazione.
Infine, la scuola affermava che l’uso degli acronimi in questione aveva impedito alle famiglie di conoscere dati personali relativi alla salute degli alunni interessati, che erano comprensibili soltanto dal personale della scuola.
Potrebbero interessarti anche:

• La tutela giuridica del diritto alla privacy
• Viola la privacy il protocollo HTTP per l’accesso al sito per trattamento dati

2. Le valutazioni del Garante

Preliminarmente, il Garante, con riguardo alle modalità di gestione di informazioni dei privati cittadini da parte di un ente pubblico, ha ricordato che i soggetti pubblici possono lecitamente compiere trattamenti di dati personali soltanto quando è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Inoltre, detti soggetti possono comunicare dati personali solo se tale operazione è prevista da norma di legge o Regolamento, a condizione che siano comunque rispettati i principi dettati in materia di trattamento e diffusione dei dati personali, principalmente in base al principio di minimizzazione, il quale impone che il trattamento sia limitato ai soli dati ritenuti indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati.
Dall’istruttoria svolta, il Garante ha quindi accertato che la scuola ha inserito nella sezione del registro elettronico scolastico riservata alle comunicazioni, gli elenchi, divisi per classe, degli alunni che avevano richiesto la frequenza delle lezioni in presenza o tramite didattica a distanza, inserendo, accanto ai nominativi di alcuni alunni, il riferimento alle categorie BES, DSA o ALUNNO H.
Secondo il Garante dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, bensì qualsiasi informazione da cui si possa desumere, anche solo indirettamente, lo stato di salute dei soggetti interessati, compresa la prestazione di servizi di assistenza sanitaria.
Ebbene, nel caso in esame, anche il solo riferimento al termine “ALUNNO H”, notoriamente utilizzato in ambito scolastico per indicare gli alunni con disabilità, consente di ricavare informazioni sullo stato di salute di una persona a cui tale termine viene attribuito.
Allo stesso modo, anche l’uso dell’acronimo “DSA” indica i disturbi specifici di apprendimento (come la dislessia, la disgrafia, la disortografia e la discalculia), attribuendo agli studenti il diritto di fruire di appositi provvedimenti dispensativi e compensativi di flessibilità didattica, e pertanto consente di ricavare informazioni sullo stato di salute di una persona.
Per quanto riguarda, infine, l’acronimo “BES” (Bisogni Educativi Speciali), questo indica un’area di “svantaggio scolastico”, che ricomprende problematiche di diverso ordine, riconducibili, fondamentalmente, a “tre grandi sotto-categorie: quella della disabilità; quella dei disturbi evolutivi specifici e quella dello svantaggio socio-economico, linguistico, culturale”. Pertanto, anche l’indicazione dell’acronimo BES accanto ai nominativi degli interessati fornisce informazioni personali nonché informazioni relative alla salute degli stessi.
Ritenuto, quindi, che l’utilizzo degli acronimi in questione costituisce un dato personale relativo alla salute, il Garante ha valutato che la messa a disposizione dell’elenco in questione, contenente detti acronimi accanto ad alcuni nominati, all’interno di una sezione riservata del registro elettronico sostanzia una comunicazione di tali dati a soggetti terzi, cioè tutti i genitori degli alunni della classe di riferimento dell’alunno cui era associato l’acronimo.
Tale comunicazione ha quindi reso conoscibile a terzi, senza alcuna giustificazione, i dati relativi alla salute dei figli dei reclamanti, senza che possa avere alcun rilievo il fatto che tali soggetti terzi fossero già a conoscenza dello stato di salute degli interessati. 

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dall’istituto scolastico sostanzi una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha deciso di comminare una sanzione amministrativa pecuniaria a carico della scuola.
Per quanto concerne la quantificazione di detta sanzione pecuniaria, il Garante ha tenuto in considerazione, da un lato, che i dati in questione erano particolarmente delicati e relativi a soggetti minori di età; dall’altro lato, ha valutato la natura colposa della condotta (in quanto la pubblicazione è avvenuta per errore durante il periodo emergenziale in cui le scuole erano soggette a notevoli aggravi di lavoro), che il documento è stato reso accessibile ad un numero limitato di persone e per poche ore, nonché il fatto che la scuola abbia tempestivamente provveduto a cessare la condotta illecita non appena si è resa conto dell’errore.
In considerazione di tutto quanto sopra, il Garante ha irrogato una sanzione di euro 3.000 (tremila).

>>>Per approfondire<<<
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete.