2. Università somministra test psicologico senza rispettare normativa privacy: valutazione del Garante



Preliminarmente il garante ha ricordato che per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (il c.d. “interessato”) e che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Mentre si considerano dati personali anche quelli oggetto di una procedura di pseudonimizzazione, a meno che le informazioni aggiuntive necessarie per risalire ad ogni interessato siano conservate separatamente e soggetto a misure tecniche organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Infatti, il dato anonimizzato, al quale non si applica la disciplina in materia di protezione dei dati personali, è tale solo se non consente l’identificazione diretta o indiretta di una persona tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato. In altri termini, affinché vi sia una effettiva anonimizzazione, il processo utilizzato deve impedire che sia possibile isolare una persona in un gruppo, collegare un dato hanno iniziato a dati riferiti a una persona presente in un indistinto insieme di dati, dedurre nuove informazioni riferibili a una persona da un dato anonimizzato.

Inoltre, secondo il garante, la non identificabilità degli interessati deve essere correlata al fatto che non vi sia univocità all’interno della banca dati considerata e non semplicemente al fatto che i dati identificativi dell’interessato non siano intellegibili.

Per poter legittimamente trattare i dati personali (non anonimizzati), il titolare deve fornire agli interessati le informazioni sul trattamento che sono previste dal regolamento europeo per la protezione dei dati personali.

In secondo luogo, il garante ha ricordato che i dati relativi alla salute, alla vita sessuale all’orientamento sessuale, sono classificati come categorie di dati particolari, rispetto ai quali il trattamento e in via generale vietato, a meno che non ricorrano le condizioni previste dal regolamento europeo per la protezione dei dati personali.

Infine, il garante ha ricordato che, nel caso in cui il titolare del trattamento intende effettuare detto trattamento attraverso a un soggetto terzo, deve ricorrere a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche organizzative adeguate per garantire la tutela dei dati personali secondo i requisiti previsti dal citato regolamento europeo e deve disciplinare i rapporti con tali soggetti (nominati responsabili del trattamento) attraverso un contratto o un altro atto giuridico che vincoli il responsabile del trattamento al titolare.

Nel caso di specie, è stato accertato che l’università non ha mai raccolto i test in questione (in quanto sono stati sigillati all’interno della scuola), ma che vi è comunque stato un trattamento da parte della scuola e ha somministrato i test agli alunni, li ha successivamente raccolti e poi archiviati. Inoltre, è stato accertato che i dati contenuti all’interno dei suddetti test, anche se oggetto di forme di codifica, non possono essere considerati anonimi, in quanto le suddette modalità di codifica non sono idonee a rendere effettivamente anonimizzati i dati.

In considerazione alle modalità con cui sono stati trattati dati, quindi, l’università, quale titolare del trattamento (perché ha scelto le modalità e le finalità del trattamento medesimo), avrebbe dovuto fornire specifiche istruzioni alla scuola all’interno di un contratto di un altro atto giuridico con cui la nominava responsabile del trattamento e individuava la durata del trattamento, la natura e la finalità, il tipo di dati personali e le categorie di interessati nonché gli obblighi e diritti del titolare del trattamento. Nel caso di specie, invece, l’università non ha designato la scuola quale responsabile, ne ha fornito alcune istruzioni in merito al trattamento.

In secondo luogo, il garante ha ritenuto che l’università non aveva alcuna legittima condizione di ricerca per lo svolgimento dei trattamenti effettuati attraverso la scuola.

l’Università aveva sì richiesto ai genitori degli alunni interessati di esprimere il loro consenso a che il proprio figlio partecipasse alla ricerca in questione e ad autorizzare l’università all’utilizzo dei dati per fini di ricerca o per eventuali pubblicazioni, tuttavia

Dagli accertamenti eseguiti nel procedimento è emerso che il titolare del trattamento aveva avuto conoscenza della istanza di cancellazione dei propri dati che il reclamante aveva formulato, ma nonostante ciò il titolare non aveva fornito riscontro alla predetta richiesta ed invece aveva provveduto alla cancellazione dei dati solo dopo aver ricevuto la comunicazione di avvio del procedimento sanzionatorio nei suoi confronti da parte del garante. Tale mancato riscontro, secondo quanto dichiarato dalla stessa impresa, era dipeso da una mera svista.

In secondo luogo, dagli accertamenti è emerso che l’impresa non ha spiegato per quale ragione non aveva fornito riscontro alla richiesta di informazioni che gli era stata rivolta dall’ufficio.

Secondo il garante, Le suddette circostanze denotano una non adeguata gestione dei canali di comunicazione da parte del titolare del trattamento, da cui è derivato un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa, oltre che l’impedimento all’interessato di poter correttamente esercitare i suoi diritti in materia di privacy (in particolare, quello di cancellazione dei dati).

A tal proposito, mette conto rilevare che il regolamento europeo per la protezione dei dati personali impone al titolare del trattamento di agevolare l’esercizio dei diritti e in particolare di dare riscontro alle istanze rivolte dall’interessato entro un termine ragionevole e comunque non oltre 30 giorni dalla ricezione dell’istanza.

Nel caso di specie, invece, il titolare del trattamento ha fornito riscontro all’istanza di cancellazione inviata dalla reclamante solo dopo la comunicazione di avvio del procedimento dinanzi al garante.

Analogamente anche la cancellazione dei dati personali della reclamante dal sito Internet è avvenuta solo dopo che il titolare del trattamento ha ricevuto la contestazione da parte del garante (quindi oltre un anno dopo che il reclamante aveva comunicato il recesso dal contratto di mandato). Ciò ha comportato altresì che il titolare del trattamento abbia violato gli accordi contrattuali raggiunti con il reclamante, secondo i quali la cancellazione dei dati personali sarebbe dovuto avvenire immediatamente alla ricezione dell’esercizio del diritto di recesso dal contratto di mandato da parte del reclamante.

Conseguentemente, i dati della reclamante sono stati trattati, all’interno del sito Internet gestito dal titolare, in assenza di una idonea base giuridica (considerato che il contratto di mandato era venuto meno e non vi erano altri motivi che giustificassero il trattamento).