L'Autorità Garante per la protezione dei dati personali ha presentato la Relazione sul diciottesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.
Molti sono stati i chiarimenti richiesti in relazione al trattamento di dati personali effettuato nell’ambito dell’istruzione scolastica ed universitaria.
Albi scolastici
Con riferimento ai dati pubblicati tramite gli albi scolastici, è stato segnalato al Garante (provv. 23 gennaio 2014, n. 28, doc. web n. 2929890) che un istituto statale comprensivo ha affisso agli albi delle scuole ed alle bacheche esterne dei plessi il testo di una comunicazione elettronica, nell’ambito della quale risultava visibile l’indirizzo di posta elettronica privato di uno dei destinatari, docente presso l’istituto medesimo.
Al riguardo, è stato ribadito che i soggetti pubblici possono diffondere dati personali, diversi da quelli sensibili e giudiziari, unicamente quando tale specifica operazione di trattamento risulta ammessa da una norma di legge o di regolamento (art. 19, comma 3, del Codice). Ciò posto, l’Autorità, considerato che l’indirizzo di posta elettronica costituisce dato personale e che la citata operazione di trattamento integra una diffusione di dati di dati personali, dopo aver constatato l’assenza di una base normativa che legittimasse la citata operazione di trattamento, ha rilevato l’illiceità della predetta diffusione ed ha vietato all’istituto l’ulteriore diffusione, con qualunque mezzo, compresa l’affissione all’albo e alle bacheche delle scuole, del dato relativo all’indirizzo di posta elettronica personale del segnalante.
Alunni con DSA
Un’altra segnalazione ha riguardato un istituto scolastico statale che, nel documento di programmazione di una classe, al capitolo programmazione alunni dislessici, aveva riportato i nominativi degli alunni affetti da disturbi specifici dell’apprendimento (dsa).
Al riguardo, l’Autorità ha evidenziato che le istituzioni scolastiche pubbliche possono trattare dati sensibili, tra i quali rilevano quelli idonei rivelare lo stato di salute, solo se autorizzati da espressa disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. Nei casi in cui la legge, pur specificando la finalità di rilevante interesse pubblico, non evidenzi i tipi di dati sensibili e giudiziari e di operazioni eseguibili, il trattamento è consentito, nel rispetto dei principi di cui all’art. 22 del Codice, e in particolare del principio di indispensabilità, solo per lo svolgimento di specifiche finalità, in riferimento ai tipi di dati e di operazioni identificati e resi pubblici dal titolare in un atto di natura regolamentare adottato in conformità al parere espresso dal Garante.
Su tali basi, l’Autorità ha rilevato la non conformità della predetta condotta alla disciplina in materia di protezione dei dati personali, nella misura in cui non è risultato effettivamente indispensabile alle finalità perseguite l’indicazione dei nominativi degli studenti affetti da dsa nel citato documento. Anche in questo caso, tuttavia, l’Ufficio non ha promosso l’adozione di un provvedimento da parte del Collegio, tenuto conto del fatto che la condotta aveva esaurito i suoi effetti e delle rassicurazioni fornite dal titolare del trattamento circa l’immediato oscuramento dei predetti dati personali dal documento di programmazione della classe.
Elenchi di alunni
È stato inoltre segnalato che una scuola superiore di secondo grado ha diffuso sul proprio sito internet istituzionale gli elenchi degli alunni, distinti per classe, per supposte finalità di trasparenza.
A seguito della richiesta di chiarimenti avanzata dall’Ufficio, l’istituto scolastico ha provveduto all’immediata cancellazione dei predetti elenchi. Al riguardo, è stato infatti evidenziato che tali dati non rientrano tra quelli oggetto di pubblicazione obbligatoria per finalità di trasparenza ed è stato ribadito che la diffusione di dati personali da parte di soggetti pubblici è ammessa unicamente quando è prevista da una norma di legge o di regolamento, nel rispetto del principio di pertinenza e non eccedenza e che, quindi, le amministrazioni, prima di diffondere sui propri siti istituzionali atti e documenti contenenti dati personali, devono verificare che esista una norma di legge o di regolamento che ne preveda l’obbligo di pubblicazione.