Scuola, graduatorie docenti: no alla pubblicazione di dati sulla salute o non necessari. Sanzionate due scuole della regione Campania
Il Garante per la privacy ha recentemente sanzionato due Licei della regione Campania per aver diffuso illecitamente informazioni non necessarie e dati sulla salute nelle graduatorie dei docenti pubblicate sui siti web degli istituti. [doc. web. nn. 9283029 e 9283014]
L’Autorità, intervenuta a seguito dei reclami di due cittadini, ha riscontrato violazioni nella pubblicazione di dati personali riguardanti circa 1500 docenti in un caso e più di 2000 nell’altro.
Oltre ai dati identificativi, erano stati pubblicati in chiaro sul web, per alcuni anni, dati personali dei docenti non necessari rispetto alle finalità perseguite con la pubblicazione delle graduatorie: codici fiscali, indirizzi di residenza, recapiti telefonici, indirizzi e-mail, numero di figli, codici di preferenza.
Le graduatorie contenevano, inoltre, anche dati sulla salute di 25 docenti di un liceo e di 20 dell’altro: accanto al nominativo di alcuni insegnanti compariva infatti una sigla che indicava, in base alla disciplina di settore in materia di istruzione, l’appartenenza alle categorie di “invalidi e mutilati civili”.
Il Garante ha, pertanto, ritenuto illecita la pubblicazione di tali dati personali, in quanto avvenuta in assenza di un presupposto normativo e in violazione dei principi di “liceità, correttezza e trasparenza”, di “minimizzazione dei dati”, nonché del divieto di diffusione di dati relativi alla salute ed ha comminato una sanzione di 4.000 euro ad ognuno dei due licei.
Le situazioni riscontrate dall’autorità evidenziano come il principio di minimizzazione del trattamento dati ha implicazioni concrete e quotidiane, come pure gli altri principi fondamentali legati ai processi di trattamento dei dati personali.
La mancata adozione di tali precetti cardine ha effetti che possono presentare rischi concreti per la libertà e la dignità dei soggetti interessati ed esporre gli stessi anche a pericoli fisici.
Ricordiamo che ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che si sintetizzano:
– liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
– limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
– minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
– esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
– limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
– integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
Ogni trattamento deve concretamente uniformarsi ai principi normativi non tramite astratte e generiche dichiarazioni ma con concretezza ed in sostanza.
L’autorità ha, infatti, evidenziato che oltre ai dati identificativi, erano stati pubblicati in chiaro sul web per alcuni anni, dati personali dei docenti non necessari rispetto alle finalità perseguite con la pubblicazione delle graduatorie e cioè:
– codici fiscali;
– indirizzi di residenza;
– recapiti telefonici;
– indirizzi e-mail;
– numero di figli;
– codici di preferenza;
– indicazione sull’appartenenza alla categoria di invalido e mutilato civile.
È evidente che la pubblicazione di dati non necessari, oltre che per finalità non previste dalla legge, espone i soggetti interessati a diversi rischi concreti per la propria dignità libertà e tranquillità sociale.
La pubblicazione dell’indirizzo di residenza di un docente, ad esempio, potrebbe comportare il rischio di concrete invasioni nella sua vita privata determinate da visite non gradite da parte di alunni o genitori, spostando di fatto il luogo legittimato alle attività di interlocuzione scuola-famiglia dall’istituto scolastico ad una privata dimora.
La pubblicazione di un numero telefonico non necessario potrebbe esporre il soggetto interessato al rischio di ricevere chiamate indesiderate di varia natura (scherzi o messaggi non graditi) e, di conseguenza, potrebbe minare la serenità del soggetto interessato che ha il diritto di non essere molestato.
La non adeguata gestione di dati relativi al numero di figli, o di quelli relativi ad una condizione particolare legata all’integrità fisica, ha riflessi e ripercussioni che possono essere devastanti sull’equilibrio psico fisico di un soggetto interessato.
Questi casi concreti offrono lo spunto per riflettere ancora una volta sulla necessità di applicare sempre uno schema di ragionamento che fin dalla fase di ideazione e costruzione di un processo di trattamento porti ad una vera analisi preventiva delle finalità, dei dati davvero necessari e degli effetti che un’azione può avere per il soggetto interessato
Marco Trombadore – Consulente Privacy e DPO
