Sanzione di 4.000,00 Euro a Liceo "Edoardo Amaldi" di Alzano Lombardo

Rispondi
Giancarlo Favero
Messaggi: 167
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 4.000,00 Euro a Liceo "Edoardo Amaldi" di Alzano Lombardo

Messaggio da Giancarlo Favero »

E' increidbile come su un concetto noto e stranoto sin dal vecchio Codice Privacy, e ribadito dal GDPR, e cioè che i dati relativi allo stato di salute non possono essere diffusi, qualcuno inciampi ancora.

Questa volta ad inciampare è stato il Liceo "Edoardo Amaldi" di Alzano Lombardo, che ha pubblicato sul sito istituzionale e, in particolare, alla pagina https://www.liceoamaldi.edu.it/categoria/circolari, nonché sul portale “CLASSEVIVA” utilizzato dall’Istituto anche con funzionalità di registro elettronico, una circolare riguardante le ferie estive dei collaboratori scolastici recante, in allegato, un prospetto del piano ferie che riportava, in corrispondenza del nominativo proprio e di altro personale, il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104 e, in particolare, l’indicazione “104”.

Si è quindi realizzata una diffusione di dati realtivi allo stato di salute, vietatissima da sempre, che il Garante privacy ha sanzionato con una multa da 4.000,00 Euro.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9811361

Grazie e buona lettura,
Giancarlo Favero
Direttore
Capital Security Srls


Ordinanza di ingiunzione nei confronti di Liceo Statale "Edoardo Amaldi” di Alzano Lombardo - 1 settembre 2022

Registro dei provvedimenti
n. 290 del 1 settembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

Con reclamo presentato al Garante è stata lamentata la pubblicazione, sul sito istituzionale del Liceo Statale "Edoardo Amaldi" di Alzano Lombardo (BG) (di seguito “Istituto”) e, in particolare, alla pagina https://www.liceoamaldi.edu.it/categoria/circolari, nonché sul portale “CLASSEVIVA” utilizzato dall’Istituto anche con funzionalità di registro elettronico, di una circolare riguardante le ferie estive dei collaboratori scolastici recante, in allegato, un prospetto del piano ferie che riportava, in corrispondenza del nominativo proprio e di altro personale, il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104 e, in particolare, l’indicazione “104”.

2. L’attività istruttoria.

Con nota del XX rispondendo alla richiesta di informazioni formulata da questa Autorità, l’Istituto ha rappresentato, in particolare, che:

- “La pubblicazione del piano ferie del personale collaboratore scolastico avviene normalmente (…) nell’ambito dell’area ad accesso riservato del registro elettronico del Liceo sul portale “CLASSEVIVA”. Ciascun lavoratore dispone di credenziali di accesso che gli consentono di prendere visione della bacheca digitale interna, nella quale vengono pubblicate le comunicazioni di valenza interna ed ogni altro documento di valore organizzativo. Ciascuna comunicazione viene indirizzata esclusivamente al lavoratore o alla categoria interessata dalla comunicazione stessa”;

- “L’evento oggetto dell’accertamento, di cui non si contesta la sussistenza, si è verificato essenzialmente per errore materiale poiché la circolare interna (n.XX), volta ad eseguire la ricognizione necessaria per la costruzione del piano ferie, è stata considerata alla stregua di una circolare ordinaria (e quindi soggetta a pubblicazione alla pagina https://www.liceoamaldi.edu.it/categoria/circolari nonché sul portale d’Istituto “CLASSEVIVA”). Inoltre, erroneamente, anziché il piano ferie del personale, è stato allegato il prospetto di uso interno all’ufficio, relativo a tutte le assenze estive del personale ATA e non solo alle ferie”;

- “tale svista si è determinata, nonostante il personale di segreteria sia adeguatamente formato, in modo del tutto involontario per cause imputabili alla enorme pressione conseguente alle esigenze di comunicazione e tracciamento dei contatti in seguito emergenza COVID, in un’area (…) che è stata in prima linea fin dai primi momenti della pandemia, pressione che si è aggiunta alle già numerosissime incombenze amministrative” e al ridotto numero delle risorse presenti in Segreteria;

- la reclmante “non ha mai, in nessun modo ed in nessun tempo, contestato al Dirigente Scolastico la pubblicazione di tale atto chiedendone conseguentemente la rimozione, tant’è che di tale circostanza la dirigenza (…) è stata informata solo il XX dalla richiesta di riscontro giunta dalla stessa Autorità e ha immediatamente provveduto alla rimozione dall’area pubblica dell’atto”;

- “tramite l’applicativo “CLASSEVIVA”, è stato scaricato il report degli accessi complessivi alla visione della suddetta circolare che sono stati complessivamente otto”.

Sulla base degli elementi acquisiti l’Ufficio ha notificato all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito web dell’Istituto della richiamata circolare e del relativo allegato ha determinato la “diffusione” dei dati personali, anche relativi alla salute, della reclmante e di altri interessati in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2 sexies nonché 2-septies, comma 8, del Codice) e la messa a disposizione della citata documentazione, seppure in un’area riservata del registro elettronico, non accessibile a chiunque, avrebbe dato luogo a una “comunicazione” di dati personali in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice). Pertanto ha invitato il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive rappresentando, in particolare, che:

- “non [è] stato divulgato il motivo che ha portato il dipendente ad avere riconosciuti i benefici ex L. 104/92. Non c’è stata quindi la pubblicazione di un dato sanitario vero e proprio ma solo di un indice da cui dedurre una certa invalidità di una persona”;

- “il file è stato pubblicato in un’area del registro elettronico, riservata ai soli insegnanti, nel periodo compreso tra il 22 ottobre e il 3 novembre 2021;

- “la scrivente, come visto, si è mossa tempestivamente al fine di eliminare il documento, pubblicato in un’area accessibile ai soli insegnanti, e sostituirlo con uno privo di dati sensibili, limitando in questo modo ogni effetto negativo della violazione, la quale, per altro, occorre ricordarlo, riguarda un dato già conosciuto dai colleghi dell’interessato”;

- “il personale ha ricevuto adeguata formazione in cui si ricorda che i dati sensibili non vanno divulgati salvo obbligo di legge e, comunque anche in quel caso, è necessario minimizzare, come ricorda il Garante provvedimento n. 243 del 15 maggio 2014. […] tutto il personale ha ricevuto atto di designazione (reperibile anche sul sito della scuola) in cui si ricorda il divieto assoluto di divulgare dati sensibili”;

- “La scuola, in concerto con il DPO, sta redigendo una policy volta a limitare ulteriormente il rischio di simili fughe COLPOSE di informazioni. È al vaglio l’utilizzo di timbri digitali e di fogli di colore diverso a seconda che il documento sia interno o destinato alla pubblicazione”.

3. Normativa applicabile.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito, oltre che per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), anche ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 dello stesso), in ragione della loro particolare delicatezza, “non possono essere diffusi” (art. 2-septies, comma 8, e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento).

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Istituto ha pubblicato, sul sito web istituzionale, e, in particolare, all’indirizzo https://www.liceoamaldi.edu.it/categoria/circolari, nonché sul portale “CLASSEVIVA”, la circolare n. XX riguardante le ferie estive dei collaboratori scolastici e recante, in allegato, un prospetto contenente informazioni relative alle assenze dal servizio richieste dai singoli dipendenti, con l’espressa indicazione delle specifiche causali di assenza (riportate mediante formule sintetiche o acronimi, es. “F”) tra le quali, in corrispondenza del nominativo del reclamante e di altro personale, il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104, riportando la dicitura: “104”.

3.3. La consultabilità dei dati personali dei dipendenti nell’area ad accesso riservato del registro elettronico del Liceo sul portale “CLASSEVIVA”.

Con riguardo alla messa a disposizione della richiamata circolare e del relativo allegato sul portale “CLASSEVIVA”, nella sezione accessibile a tutto il personale dell’Istituto, si evidenzia quanto segue.
Preliminarmente, nel ricordare che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, si precisa che, come recentemente chiarito dal Garante, anche il riferimento alla legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona ((al riguardo vedi, da ultimo, provv. del 28 aprile 2022, n. 150 doc. web n. 9777200, v. anche provv. 28 maggio 2020, n. 92, doc. web n. 9434609).

Come chiarito costantemente dal Garante, i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’ art. 4, par.1, n. 1) del Regolamento) e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato (art. 29 del Regolamento e 2-quaterdecies del Codice; cfr., definizione di “terzo” contenuta nell’art. 4, par.1, n. 10) del Regolamento).

Tale principio, già contenuto nelle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" (Provv. n. 23 del 14 giugno 2007, doc web n. 1417809, è stato ribadito nel tempo dal Garante nell’ambito di decisioni su singoli casi e, più di recente, con riguardo all’affissione di turni di servizio e orari di lavoro in bacheche o in sezioni del sito web ad accesso riservato e riportanti anche dati relativi alla salute o comunque relativi a vicende personali dei colleghi (cfr. con specifico riferimento al contesto scolastico vedi in particolare il provv. n. 322 del 16 settembre 2021, doc. web n. 9711517, nonché provv.ti n. 214 del 27 maggio 2021 doc. web. 9689234 ma vedi anche provv. n. 105 del 18 giugno 2020, doc. web n. 9444865 e, più in generale, Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, n. 146, del 5 giugno 2019, doc. web n. 9124510, all. 1, par. 1.5. lett. d)).

Si fa inoltre presente che, più in generale, il Provvedimento n. 146 del 5 giugno 2019 (recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, doc. web n. 9124510) stabilisce che “quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari)” (cfr. all. 1, par. 1.5. lett. d) provv. cit.).

Sebbene, quindi, per errore la messa a disposizione del documento in questione, contenente dati personali relativi ai giorni e alle causali di assenza dal servizio del personale scolastico, nonché informazioni relative alla fruizione dei benefici della legge 104/1992, sia avvenuta in un’area ad accesso riservato del registro elettronico dell’Istituto - non accessibile a chiunque e tale da non determinare una diffusione di dati personali - la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero, determinato o determinabile, assai ampio di soggetti, ossia tutti i colleghi della reclamante appartenenti al personale docente e non, invece, esclusivamente a vantaggio del solo personale di segreteria autorizzato all’accesso e al trattamento di tali dati personali.

Per tali ragioni l’Istituto ha reso, in modo ingiustificato, tutti i dipendenti vicendevolmente edotti dei periodi e delle causali di assenza degli altri colleghi, comprensivi anche di informazioni su vicende personali e relative alla salute di taluni lavoratori e/o di loro familiari.

Alla luce delle considerazioni che precedono, la consultabilità sul portale “CLASSEVIVA” della richiamata circolare, recante, in allegato dati personali relativi ai giorni e alle causali di assenza dal servizio del personale scolastico, nonché il riferimento alla fruizione dei benefici della legge 104/1992 della reclamante e altri colleghi - ha di fatto reso tutti i dipendenti vicendevolmente edotti in merito a situazioni personali, familiari o comunque attinenti allo specifico rapporto di lavoro di ciascuno nonché in merito a informazioni relative alla salute di taluni lavoratori e/o di loro familiari (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice). Considerato che tutto il personale della scuola non può essere ritenuto autorizzato a trattare i dati in questione, non può essere ritenuta conforme al quadro normativo in materia di protezione dei dati la messa a disposizione di dati personali – specie se relativi alla salute o relativi a vicende legate al rapporto individuale di lavoro – di tutto il personale in servizio in modo generalizzato e indistinto (vedi da ultimo, con riferimento ai trattamenti effettuati mediante sistemi di protocollazione informativa, provv. n. 98 del 24 marzo 2022, doc web n. 9763051, nonché provv. dell’11 febbraio 2021, n. 50 doc. web n. 9562866). Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice (al riguardo vedi, da ultimo, provv. del 28 aprile 2022, n. 150 doc. web n. 9777200).
3.4. La diffusione dei dati personali dei dipendenti.

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la pubblicazione sul sito web istituzionale della richiamata circolare recante, in allegato, dati anche relativi alla salute del personale scolastico (fruizione permessi ex l. 104/1992) ha determinato, ancorché per effetto di un mero errore materiale, la diffusione dei dati personali relativi ai giorni e alle causali di assenza dal servizio, nonché di informazioni relative alla fruizione dei benefici della legge 104/1992, in assenza di un idoneo presupposto normativo e in violazione del generale divieto alla diffusione dei dati relativi alla salute (degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2 sexies nonché 2-septies, comma 8, del Codice).

Con specifico riferimento alla natura dei dati oggetto di diffusione non può invece ritersi rilevante quanto dichiarato dall’Istituto scolastico circa il fatto che “non [è] stato divulgato il motivo che ha portato il dipendente ad avere riconosciuti i benefici ex L. 104/92. Non c’è stata quindi la pubblicazione di un dato sanitario vero e proprio ma solo di un indice da cui dedurre una certa invalidità di una persona”. Tanto, anche alla luce del consolidato orientamento del Garante in base la quale il riferimento alla legge n. 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona (v. al riguardo, da ultimo, provv. del 28 aprile 2022, n. 150 doc. web n. 9777200 nonché provv. 28 maggio 2020, n. 92, doc. web n. 9434609).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio, e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6, 9 del Regolamento e degli artt. 2-ter, 2-sexies nonché 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente trattati anche relativi alla salute nonché a vicende personali, familiari e lavorative riferite alla reclamante e ad altri quindici interessati in contrasto con le indicazioni che, da tempo, il Garante, ha fornito ai datori di lavoro pubblici e privati con le Linee guida sopra richiamate e con numerose decisioni su singoli casi sopra richiamati.

Di contro è stato considerato che la condotta illecita è stata determinata da un mero errore materiale consistente nella pubblicazione sul sito web dell’Istituto nonché sul portale “CLASSEVIVA” della circolare “interna (…), volta ad eseguire la ricognizione necessaria per la costruzione del piano ferie, nonché del prospetto di uso interno all’ufficio, relativo a tutte le assenze estive del personale ATA e non solo alle ferie” che l’Istituto ha provveduto, non appena segnalato il problema, a rimuovere i dati personali in questione dal sito web e dal registro elettronico, manifestando altresì un’ampia collaborazione con l’Autorità nel corso dell’istruttoria del presente procedimento. Si è tenuto, inoltre, favorevolmente atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5, 6, 9 del Regolamento e 2-ter, 2-sexies nonché 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della natura dei dati oggetto di trattamento, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), dichiara l'illiceità del trattamento di dati personali effettuato dal Liceo Statale "Edoardo Amaldi” di Alzano Lombardo (BG) nei termini descritti in motivazione, consistente nella violazione degli artt. 5, 6, 9 del Regolamento e 2-ter, 2-sexies nonché 2-septies, comma 8 del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Liceo Statale "Edoardo Amaldi”, in persona del legale rappresentante pro-tempore, con sede legale in via Locatelli 16 - 24022 - Alzano Lombardo (Bergamo)- C.F. 80032770168, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Liceo Statale "Edoardo Amaldi” – fermo restando quanto disposto dall’art. 166, comma 8 del Codice di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° settembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Rispondi