La pubblicazione sul sito web istituzionale della scuola di dati personali, in assenza di un idoneo presupposto normativo, determina una diffusione illecita di dati. A ribadirlo è il Garante privacy con un nuovo provvedimento del 24 gennaio scorso [doc. web n. 9987578], riguardante il settore Scuola.
Nello specifico, un Istituto comprensivo aveva pubblicato sul sito web istituzionale circa trentasette determinazioni dirigenziali contenenti informazioni relative ai giorni di assenza dal servizio effettuati, nel corso dell’anno scolastico 2021/2022, dalla docente reclamante e da altro personale scolastico, e alla necessità di provvedere alla loro sostituzione.
In numerose precedenti decisioni il Garante ha ricordato che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati. Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto.
Nelle delibere oggetto di pubblicazione non avrebbe dovuto essere, quindi, riportato alcun dato personale della reclamante o di altro personale, ricorrendo, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati.
Alla luce di tali considerazioni, sebbene quanto verificatosi risulti essere avvenuto per mero errore e in presenza di numerose difficoltà sul piano organizzativo nel periodo emergenziale dovuto all’epidemia da Covid-19, il Garante ha concluso che la pubblicazione online sul sito web istituzionale di informazioni relative all’assenza dal servizio della reclamante e di altri dipendenti abbia dato luogo ad una diffusione dei dati personali in assenza di un idoneo presupposto di liceità, ancorché ciò sia avvenuto senza indicazione delle specifiche causali o riferimenti a informazioni riconducibili a categorie particolari di dati.
Considerata tutta una serie di attenuanti, l’Autorità ha ritenuto di determinare l’ammontare della sanzione pecuniaria nella misura di 2.000 euro.
