Non corretta gestione dei dati sensibili degli alunni: sanzione di 3.000,00 Euro a Scuola di Fasano (BR

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Non corretta gestione dei dati sensibili degli alunni: sanzione di 3.000,00 Euro a Scuola di Fasano (BR

Messaggio da Giancarlo Favero »

https://www.garanteprivacy.it/web/guest ... eb/9852255

Ordinanza ingiunzione nei confronti di Scuola Statale Secondaria di I^ grado “Bianco-Pascoli”, di Fasano (BR) - 15 dicembre 2022

Registro dei provvedimenti
n. 421 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo pervenuto all’Autorità, è stata lamentata la pubblicazione, sul registro elettronico della Scuola Statale Secondaria di I^ grado “Bianco- Pascoli” di Fasano (di seguito l’“Istituto”), di una circolare contente l’elenco, diviso per classi, degli alunni “richiedenti la frequenza delle lezioni in presenza o tramite DDI” recante, in corrispondenza del nominativo di taluni alunni, il riferimento “alle categorie BES, DSA o ALUNNO H”. È stato inoltre rappresentato che l’Istituto scolastico non ha fornito riscontro all’istanza di esercizio dei diritti ai sensi degli artt. da 15 a 22 del Regolamento, presentata dai reclamanti in data XX.

2. L’attività istruttoria.

Con nota del XX (Prot. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, il Dirigente scolastico reggente dell’Istituto, ha rappresentato, in particolare, che:

- si è “provveduto a richiedere chiarimenti “alla dirigente scolastica dell’epoca (…) e a consultare direttamente la documentazione agli atti della scuola”;

- “nella corrispondenza della scuola regolarmente protocollata” è stata “rinvenuta una missiva (…) ricevuta via Pec il XX con la quale l’avv. (…) scriveva alla Dirigente scolastica (…) per conto della madre di una singola alunna inserita in uno degli elenchi “incriminati”, per comunicare una “segnalazione di violazione della disciplina in materia di protezione dei dati personali”;

- la precedente dirigente scolastica ha fornito riscontro alla richiamata missiva chiarendo che “la pubblicazione dell’elenco con l’annotazione (…) è stata pubblicata sul registro elettronico e visibile solo ad alunni e docenti delle classe alle ore 14,30 circa del XX e che l’elenco è stato rimosso alle ore 08:00 circa del giorno successivo”;

- “nella medesima nota la (precedente dirigente scolastica) precisava che “La pubblicazione dell’elenco con l’annotazione è stata effettuata dall’ufficio per un mero errore materiale dovuto al particolare impegno lavorativo”;

Il Dirigente scolastico attualmente in servizio, ha quindi rappresentato, alla luce degli accertamenti effettuati, “delle informazioni assunte dai collaboratori scolastici e dalla segreteria, dei chiarimenti forniti dalla (precedente Dirigente scolastica)” che:

- “La pubblicazione degli elenchi con l’indicazione dei dati sensibili di alcuni alunni - i cui nominativi venivano contrassegnati con acronimi DSA, H e BES - sarebbe stata compiuta per un mero errore materiale a cui sarebbe stato posto rimedio in tempi molto ristretti, come confermato dalla dirigente dell’epoca”;

- “la sezione del registro elettronico in cui tale pubblicazione sarebbe avvenuta è quella denominata “comunicazioni””;

- “i docenti del Consiglio di classe e le famiglie degli alunni riportati nell’elenco della medesima classe hanno accesso esclusivamente tramite password personale, alle comunicazioni per quella classe. Nel caso di specie, hanno avuto accesso a ciascun elenco soltanto le famiglie degli alunni ivi riportati ed i docenti della classe”;

- “gli elenchi con le informazioni su dati sensibili” sarebbero rimasti visibili “per circa 18 ore (dalle 14,30 del XX sino alle 8,00 del X)”.

- non era in grado “per quanto riguarda il mancato riscontro alle richieste avanzate dalle famiglie tramite l’avv. (…) di riportare le motivazioni per cui la Dirigente dell’epoca, contrariamente a quanto avvenuto (in altri due casi), aveva deciso di non dare riscontro”, ipotizzando “che la dirigente avendo constatato che la vicenda evidenziata dall’avv. (…) fosse la medesima di quella di cui alle segnalazioni precedenti a cui aveva già risposto ed avendo provveduto con un comportamento efficace e sollecito alla rimozione degli elenchi dalla pubblicazione, ritenesse la questione già superata e una risposta superflua”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto gli elenchi divisi per classi, contenenti i dati personali, anche relativi alla salute dei figli dei reclamanti e di altri alunni, seppure pubblicati in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice. L’Istituto, inoltre, pur avendo provveduto a cancellare dal registro elettronico le informazioni relative allo stato di salute dei minori, non ha fornito riscontro alla richiesta di esercizio dei diritti, formulata dagli interessati, in violazione dell’art. 12 del Regolamento.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:

- “i dati in questione (…) sono stati comunicati per mero errore ad una platea determinata costituita esclusivamente da genitori della stessa classe che avevano accesso con password personale (si precisa che la password non viene rilasciata agli studenti i quali, quindi, non hanno accesso al Registro), i quali ben conoscevano tra l’altro tutte le esigenze della classe anche di natura speciale”;

- “tale pubblicazione si è limitata a poche ore (circa 18) considerando anche quelle notturne”;

- “l’evento de quo deve essere contestualizzato nel momento storico in cui è avvenuto ovvero durante la pandemia Covid 19 quando le segreterie scolastiche venivano sottoposte ad uno sforzo notevole per ottemperare alle innumerevoli prescrizioni relative all’organizzazione della Didattica distanza, Didattica mista, Didattica in presenza, ecc. in una situazione emergenziale, quindi, mai sperimentata prima di allora dal Sistema scolastico italiano;

- “la pubblicazione di un file ad uso interno degli uffici quindi stilato per una migliore risposta della scuola finalizzata a interventi didattici mirati e peculiari, avveniva per una mera svista dovuta a detta situazione”;

- “le misure adottate sono state tempestive poiché la rimozione è avvenuta dopo poche ore ovvero non appena la segreteria si avveduta dell’errore”;

- “la scuola “Bianco-Pascoli” adotta procedure che rispettano la tutela e trattamento di dati personali”;

- “i dati erroneamente pubblicati vengono considerati appartenenti alla categoria dei dati personali relativi allo stato di salute (…) anche se contraddistinti da acronimi il cui significato fra l’altro è conosciuto soltanto dal personale della scuola e non da tutte le famiglie”;

- “a proposito della contestazione ai sensi dell’articolo 12 del Regolamento si precisa (che) la richiesta inoltrata via Pec in data XX dall’avv. (…) era palesemente confusa (…), generica poco dettagliata e mal rispondente ai requisiti richiesti dal Regolamento e dal Codice. Questo creava probabilmente confusione nel destinatario, a ciò si aggiunga che alla stessa non venivano allegate procure e/o mandati e/o deleghe dei presunti danneggiati dalla pubblicazione in favore dell’avv. (…) e, pertanto, la stessa doveva essere considerata di provenienza dei “sottoscrittori” i quali però non allegavano alcun documento d’identità né altra autenticazione delle firme che non certificasse l’effettiva provenienza, né conteneva dettagli sulla richiesta di ciascun firmatario. L’istanza, inoltre non riportava alcuno degli avvisi indicati da codesto Garante nella modulistica presente sul sito. Per tutti questi motivi la Scuola non provvedeva probabilmente a riscontrare la predetta istanza poiché la stessa risultava prima facie illegittima, priva dei dettagli e della indicazione della natura dei dati richiesti da ciascuno e proveniente da soggetti che non certificavano la loro identità né provvedevano a firmarla digitalmente”.

3. Normativa applicabile.

3.1 Il quadro normativo.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, nel testo anteriore alle modifiche introdotte con il d.l. 8 ottobre 2021, n. 139, di seguito, il “Codice”).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento (art. 2-ter, commi 1, 3 e 4, lett. a), del Codice nel testo anteriore alle modifiche di cui al d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).

Ai sensi dell’art. 12, par. 3, del Regolamento, inoltre, il titolare del trattamento è tenuto a fornire all'interessato “le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e in ogni caso, se non ottempera alla richiesta, deve informare “l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale” (art. 12, par. 1 e 4, del Regolamento).

Il titolare è tenuto ad adottare “misure appropriate per fornire all'interessato tutte le (…) comunicazioni di cui agli articoli da 15 a 22 (…)” (art. 12, par. 1, del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Istituto ha reso disponibile, nella sezione del registro elettronico riservata alle “comunicazioni”, gli elenchi, divisi per classe, degli alunni, “richiedenti la frequenza delle lezioni in presenza o tramite DDI” recanti, in corrispondenza del nominativo di taluni alunni, il riferimento “alle categorie BES, DSA o ALUNNO H”.

Tali elenchi resi accessibili ai soli docenti e alle famiglie degli alunni delle classi di riferimento, sono stati visibili sul registro elettronico per circa diciotto ore e successivamente rimossi da parte dell’Istituto.
Preliminarmente, nel ricordare che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, si precisa che il anche il solo riferimento al termine “ALUNNO H”, notoriamente utilizzato in ambito scolastico per indicare gli alunni con disabilità, consente di ricavare informazioni sullo stato di salute di una persona a cui tale termine viene attribuito.

Analoghe considerazione possono essere effettuate con riguardo alla sigla “DSA” che individua i “disturbi specifici di apprendimento” quali la dislessia, la disgrafia, la disortografia e la discalculia la cui diagnosi, “effettuata nell'ambito dei trattamenti specialistici già assicurati dal Servizio sanitario nazionale”, attribuisce agli studenti il diritto di fruire di appositi provvedimenti dispensativi e compensativi di flessibilità didattica nel corso dei cicli di istruzione e formazione e negli studi universitari. (cfr. l. 8 ottobre 2010, n. 170; decreto del Ministero dell’Istruzione, dell’Università e della Ricerca del 12 luglio 2011; Direttiva ministeriale del 27 dicembre 2012; circolare ministeriale n. 8 del 6 marzo 2013).

Si fa presente, inoltre, che con l’acronimo “BES” (Bisogni Educativi Speciali) la disciplina di settore vigente indica un’area di “svantaggio scolastico”, che ricomprende problematiche di diverso ordine, riconducibili, fondamentalmente, a “tre grandi sotto-categorie: quella della disabilità; quella dei disturbi evolutivi specifici e quella dello svantaggio socio-economico, linguistico, culturale” (cfr. Direttiva del 27 Dicembre 2012 e circolare ministeriale del 6 marzo 2013 cit.). Pertanto, anche l’indicazione di tale acronimo accanto ai nominativi degli interessati fornisce informazioni personali nonché informazioni relative alla salute degli stessi, ancorché attraverso la consultazione della richiamata normativa.

Sebbene, quindi, per errore la messa a disposizione della documentazione in questione, nella versione integrale e contenente dati personali anche relativi alla salute dei figli dei reclamanti e di altri interessati, sia avvenuta in un’area ad accesso riservato del registro elettronico dell’Istituto - non accessibile a chiunque e non tale, quindi, da determinare una diffusione di dati personali - la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero, determinato o determinabile di soggetti, ossia di tutti i genitori degli alunni della singola classe di riferimento e non, invece, esclusivamente a vantaggio dei singoli soggetti interessati.

Per tali ragioni l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, dei figli dei reclamanti e di altri studenti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che i genitori conoscessero “tutte le esigenze della classe, anche di natura speciale”.

Alla luce delle considerazioni che precedono, la consultabilità nell’area riservata del registro elettronico della versione dei predetti elenchi destinata ad un uso interno, contenenti in corrispondenza del nominativo di taluni studenti, il riferimento agli acronimi BES, DSA o ALUNNO H, ha di fatto reso conoscibili a tutti i genitori delle classi di riferimento, informazioni, anche relative alla salute, dei figli dei reclamanti e di altri interessati e ha reso, inoltre, le famiglie degli interessati, vicendevolmente edotte in merito a tali informazioni (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice).

Per tali ragioni è risultato che l’Istituto ha posto in essere un trattamento di dati personali in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205.

3.3 L’esercizio dei diritti degli interessati

Dagli accertamenti effettuati risulta inoltre che l’Istituto, pur avendo provveduto a cancellare dal registro elettronico le informazioni anche relative allo stato di salute degli interessati, non ha fornito riscontro alla richiesta di esercizio dei diritti ai sensi degli artt. da 15 a 22 del Regolamento formulata, in data XX, dai reclamanti.

Al riguardo si rappresenta che, ai sensi dell’art. 12, par. 3, del Regolamento, il titolare del trattamento è tenuto a fornire all’interessato “le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e che, in ogni caso, se non ottempera alla richiesta dell’interessato, il titolare deve informare quest’ultimo, “senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale” (art. 12, par. 4, del Regolamento).

Non può, pertanto, alla luce delle richiamate disposizioni, essere tenuto in considerazione quanto ipotizzato dall’attuale Dirigente scolastico in merito al fatto che la precedente Dirigente scolastica “avendo constatato che la vicenda evidenziata dall’avv. (…) fosse la medesima di quella di cui alle segnalazioni precedenti a cui aveva già risposto, ed avendo provveduto con un comportamento efficace e sollecito alla rimozione degli elenchi dalla pubblicazione, ritenesse la questione già superata e una risposta superflua”.

Si osserva inoltre che non può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento, quanto rappresentato dall’Istituto circa il fatto che “la richiesta inoltrata via Pec in data XX dall’avv. (…) era palesemente confusa (…), generica poco dettagliata e mal rispondente ai requisiti richiesti dal Regolamento e dal Codice tanto da creare “probabilmente confusione nel destinatario” e che alla stessa non fossero state “allegate procure e/o mandati e/o deleghe dei presunti danneggiati dalla pubblicazione in favore dell’avv. (…)” o “documento d’identità né altra autenticazione delle firme che non certificasse l’effettiva provenienza”.

Al riguardo, si osserva, infatti, che la richiamata istanza, inviata via pec dall’avv. (…) per conto dei reclamanti, pur non recando in allegato, copia del documento di identità dei firmatari, contiene l’elenco nominativo, la firma e il numero del documento di identità dei sottoscrittori e che, ai sensi del Regolamento, nelle ipotesi in cui il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona che presenta la richiesta, lo stesso può richiedere ulteriori informazioni necessarie per accertare l’identità dell’interessato (cfr. art 12, par. 6 del Regolamento). Tali informazioni non risultano essere state richieste agli interessati da parte dall’Istituto scolastico. Né risulta, dalla documentazione in atti, che il titolare del trattamento abbia informato gli interessati dei motivi dell’inottemperanza all’istanza di esercizio dei diritti, come previsto dalla richiamata normativa (art. 12, par. 4, del Regolamento).

Per tali ragioni l’Istituto, ancorché per le motivazioni sopra indicate, non ha fornito riscontro agli interessati nei termini indicati dal Regolamento, dando luogo ad una violazione dell’art. 12 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6, 9 e 12 del Regolamento e 2-ter e 2-sexies del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio (del Garante) adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali anche relativi alla salute di trentaquattro soggetti di minore età, illecitamente trattati.

Di contro è stato considerato che la condotta illecita è stata determinata da un mero errore materiale avvenuto nel periodo emergenziale che ha arrecato agli istituti scolastici un notevole aggravio di lavoro, che il documento è stato reso accessibile, ad un circoscritto numero di soggetti, sul registro elettronico per un limitato arco temporale (circa 18 ore), che l’Istituto ha provveduto, non appena resosi conto dell’errore e comunque prima dell’intervento dell’Autorità, a eliminare il documento dal registro elettronico, manifestando altresì un’ampia collaborazione con l’Autorità nel corso dell’istruttoria del presente procedimento. Si è tenuto, inoltre, favorevolmente in considerazione della circostanza che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5, 6, 9 e 12 del Regolamento e 2-ter e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della natura dei dati oggetto di trattamento, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), dichiara illecito il trattamento dei dati personali effettuato dalla Scuola Statale Secondaria di I^ grado “Bianco- Pascoli”, di Fasano (BR) nei termini descritti in motivazione, consistente nella violazione degli artt. 5, 6, 9 e 12 del Regolamento e 2-ter e 2-sexies del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205);

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Scuola Statale Secondaria di I^ grado “Bianco- Pascoli”, in persona del legale rappresentante pro-tempore, con sede legale in via Giovanni XXIII, 64 72015 Fasano- C.F. 90042860743 di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Alla Scuola Statale Secondaria di I^ grado “Bianco- Pascoli” di Fasano – fermo restando quanto disposto dall’art. 166, comma 8 del Codice – del Codice, di pagare la somma di euro 3.000,00 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi