Con un’ordinanza ingiunzione del 25 febbraio 2021, il Garante per la protezione dei dati personali ha condannato il Ministero dell’Istruzione – Ufficio Scolastico Regionale per il Lazio a pagare la somma di 4.000 euro a titolo di sanzione amministrativa pecuniaria, per l’illecito trattamento dei dati personali di un alunno disabile, con conseguente violazione delle norme degli artt. 5, par. 1, lett. a, 6 e 9 del Regolamento generale sulla protezione dei dati e degli artt. 2-ter e 2-sexies del Codice della privacy, approvato con D.Lgs. 196/2003.
Questi i fatti. Il Garante ha ricevuto a suo tempo il reclamo di un genitore di alunno disabile, in cui affermava che l’USR Lazio avrebbe illecitamente comunicato al Dipartimento della Funzione Pubblica – Ispettorato per la funzione pubblica – dati sensibili del proprio figlio, cioè informazioni relative allo stato di salute del minore.
Tale comunicazione, secondo l’USR laziale, si sarebbe resa necessaria per rispondere, innanzi all’Ispettorato, dell’accusa del predetto genitore di aver commesso, insieme all’Istituto scolastico, «gravi irregolarità» in relazione all’attribuzione delle ore di sostegno, previste per gli alunni con disabilità.
Più in particolare, le tesi difensive dell’Ufficio Scolastico Regionale si sono fondate su questo ragionamento:
- ai sensi dell’art. 2-ter, comma 4, lett. a del D.Lgs. 196/2003, i dati personali del minorenne sono stati oggetto di comunicazione ad altro soggetto pubblico determinato (cioè al Dipartimento della funzione pubblica), svolgente funzioni di controllo e attività ispettiva, e non già diffusi o comunicati a terzi non identificati e/o soggetti privati;
- l’Ufficio stesso ha trasmesso la propria relazione al D.F.P. ritenendo doveroso allegare la necessaria e indispensabile documentazione, comprendente anche i dati relativi alla salute del minorenne;
- è stato ritenuto opportuno il riferimento anche ai dati sensibili dell’alunno, al fine di illustrare all’Ispettorato per la funzione pubblica in che modo le esigenze, presumibilmente all’origine della segnalazione del genitore reclamante, fossero state soddisfatte dall’Amministrazione scolastica nel rispetto della vigente normativa;
- solo l’illustrazione del caso di specie correlato da idonea e necessaria documentazione – che in quella sede non poteva che essere quello dell’alunno di cui si parla – avrebbe infatti consentito all’USR di fornire elementi evidenti e inconfutabilmente utili ad una completa ricostruzione della vicenda. Non è stato ritenuto, pertanto, di poter esaurientemente fornire riscontro al D.F.P., nello svolgimento della propria attività ispettiva, senza il trattamento e la comunicazione di quei dati sensibili e documenti allegati, indispensabili per la finalità istruttoria richiesta.
La normativa in materia di protezione dei dati personali
Il Garante, prima di procedere alla confutazione delle argomentazioni dell’USR, ha ritenuto utile inquadrare la vicenda nel contesto normativo che regola il trattamento dei dati personali da parte di soggetti pubblici.
Ai sensi della disciplina in materia, il trattamento di dati personali effettuato in ambito pubblico è lecito solo se tale trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e del Regolamento generale sulla protezione dei dati).
La comunicazione di dati personali – ossia «il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione» – diversi da quelli previsti dagli artt. 9 e 10 del Regolamento UE 2016/679 (cioè il Regolamento generale sulla protezione dei dati), per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa se prevista esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter Codice della privacy).
Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento generale sulla protezione dei dati e, comunque, un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice), il Garante ha ricordato che il trattamento è consentito nel caso in cui sia «necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato» (art. 9, par. 2, lett. g, del Regolamento generale sulla protezione dei dati).
Il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento «effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri» nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti «sono ammessi qualora siano previsti [...] da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».
Il trattamento dei dati personali deve inoltre avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5 par. 1, lett. a e c del Regolamento generale sulla protezione dei dati).
Nel merito il Garante ha rilevato, conformemente alla normativa citata, che la comunicazione dei dati personali relativi al figlio del reclamante e, in particolar modo, delle informazioni relative allo stato di salute dello stesso, tra le quali anche il codice diagnostico indicativo della disabilità del minore nonché il riferimento all’art. 3, comma 3 della Legge 104/1992, non fosse necessaria al fine di fornire riscontro alla richiamata richiesta di chiarimenti ricevuta dal Dipartimento della Funzione Pubblica, in relazione alle presunte irregolarità relative all’attribuzione delle ore di sostegno segnalate dal reclamante.
Infatti, pur essendo l’USR tenuto a comunicare all’Ispettorato per la funzione pubblica tutti gli elementi utili a chiarire gli aspetti relativi alle modalità di assegnazione delle cattedre di sostegno, avrebbe potuto fornire il necessario riscontro nel caso di specie, senza comunicare anche i dati personali del minore.
La comunicazione della specifica documentazione relativa al ragazzo ha di fatto determinato, pur se nel limitato contesto della pubblica amministrazione in cui vigono al riguardo generali obblighi di riservatezza, un’indebita circolazione di dati personali e, in particolare, di dati relativi allo stato di salute, non necessari al fine di fornire riscontro alle richieste del Dipartimento della Funzione Pubblica.
La predetta comunicazione di dati personali e di dati relativi alla salute è avvenuta, quindi, in assenza di un idoneo presupposto giuridico e, perciò, in violazione degli art. 6 e 9 del Regolamento, degli artt. 2-ter e 2-sexies del Codice della privacy, nonché dei principi applicabili al trattamento di cui all’art. 5, par. 1, lett. a del Regolamento stesso.
La violazione delle predette disposizioni ha reso applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 del Regolamento generale sulla protezione dei dati, come richiamato anche dall’art. 166, comma 2 del Codice della privacy.
Attenzione al contenuto delle circolari che si pubblicano
Sul solco dei principi sin qui illustrati possiamo annoverare la sentenza della Corte dei conti, sez. giurisdizionale per il Lazio, 28/05/2019, n. 246, che ha condannato una Dirigente scolastica per il danno indiretto cagionato al proprio Istituto il quale, a causa del comportamento negligente della stessa, per la pubblicazione on-line di una circolare contente dati di scolari con disabilità ha dovuto pagare una sanzione amministrativa irrogata dal Garante della privacy.
Durante il processo è emerso che la preside ha adottato una circolare interna, avente per oggetto la “Convocazione GHL (Gruppo di Lavoro per l’Handicap operativo)”, nella quale era contenuto un elenco dei nomi degli scolari minori dell’Istituto affetti da disabilità.
Detta circolare era destinata ad essere comunicata solamente alle famiglie degli studenti in forma riservata, sia in ragione della particolare situazione di salute degli alunni interessati, sia in quanto si trattava di una comunicazione ad uso interno, contenendo un calendario di riunioni dei Consigli di classe con presenza di alunni con handicap (GLH), sigla che identifica i Gruppi di lavoro per l’integrazione scolastica (con soggetti portatori di handicap), previsti e disciplinati dall’art. 15 della Legge 104/1992.
Malgrado ciò la Dirigente scolastica, per non aver tenuto conto della necessità della riservatezza dei dati idonei a rivelare lo stato di salute degli studenti minori dell’Istituto con disabilità, ha consentito la divulgazione in internet della circolare in forma integrale, non avendo prescritto alcun divieto di pubblicazione, né in ultimo controllato che la circolare, a differenza di quelle adottate di consueto, non venisse pubblicata sul sito web dell’Istituto.
La divulgazione del nominativo ha così leso la personalità dello studente disabile, che si è conseguentemente lamentato del trattamento illecito dei dati personali, per il tramite del genitore esercente la potestà genitoriale, dinanzi al Garante per la protezione dei dati personali, che, conseguentemente, ha irrogato all’Istituto scolastico la sanzione amministrativa del pagamento di 20.000 euro per l’inosservanza della disposizione contenuta nell’art. 22, comma 8 del Codice della privacy.
Di recente la Corte di Cassazione, dopo aver ribadito che lo stato di salute di un minore è un dato sensibile, per cui la Pubblica amministrazione è tenuta ad adottare tutte le misure necessarie per evitare la violazione del diritto alla privacy, ha evidenziato che la tutela fornita dal D.Lgs. 196/2003 riguarda non solamente il minore, bensì anche gli altri familiari.
La diffusione delle informazioni sulle condizioni di salute del minore si riflette, infatti, anche sul genitore o su altro familiare, poiché la situazione del familiare congiunto a persona affetta da invalidità in ogni caso esprime una situazione di debolezza o di disagio sociale, di per sé potenzialmente idonea ad esporre la persona a condizionamenti o discriminazioni. L’ostensione del dato sulla salute conduce quindi ad una dolorosità e a rischi di discriminazione sociale che riguardano tutti i membri della comunità familiare (Cass., sez. III, 26/06/2018, n. 16816).
I giudici amministrativi hanno concluso affermando che l’unica responsabile della complessiva organizzazione e gestione dell’Istituto era la Dirigente scolastica, sulla quale incombevano gli obblighi di verificare la correttezza e la legittimità della circolare sottoscritta e di monitorarne le sorti anche nei successivi passaggi, al fine di impedirne la pubblicazione.
