Il 12 dicembre 2019 il sito web istituzionale del Garante per la riservatezza dei dati personali ha pubblicato il documento “Scuola e Privacy”, che riassume le domande (e le risposte) più frequenti sugli adempimenti delle scuole sul tema, alla luce delle modifiche intervenute con il Regolamento UE 679/2016 e il D.Lgs. 101/2018, che ha modificato il c.d. Codice Privacy (D.Lgs. 196/2003).
Il documento segue indicazioni già espresse dal Garante (come “La scuola a prova di privacy” pubblicato nel 2016), in un ambito estremamente delicato, dove si coniugano temi importanti quali il trattamento di dati dei minori, in alcuni casi attinenti alla salute.
Il tema ha visto pronunciarsi anche la giurisprudenza, che ha posto l’attenzione sulle conseguenze che disattenzioni nella gestione dei dati, specialmente quando gli stessi possono essere divulgati anche tramite l’utilizzo dei siti web istituzionali, possono provocare a carico del personale scolastico e in particolare dei Dirigenti.
È il caso di cui si tratta di seguito, che ha coinvolto direttamente un Dirigente scolastico per la negligenza nel trattamento di dati attinenti alla salute.
Danno erariale indiretto per divulgazione di dati sanitari
La Sentenza sezione giurisdizionale Lazio 256/2019 segue l’intervento della Procura Regionale della Corte dei Conti, che aveva convenuto in giudizio la Dirigente scolastica e tre professori di un Istituto scolastico laziale per danno indiretto, cagionato all’Istituto stesso a causa dell’avvenuta pubblicazione sul sito web di una circolare contente dati idonei a rivelare lo stato di salute di alunni minori disabili.
Il Garante per la riservatezza dei dati era stato sollecitato ad intervenire su segnalazione del genitore di uno degli alunni coinvolti, e aveva irrogato all’Istituto scolastico la sanzione amministrativa di 20.000 euro per avere diffuso sulla rete internet dati idonei a rivelare lo stato di salute di minori, in violazione dell’art. 22, comma 8 (oggi abrogato) del D.Lgs. 196/2003; la sanzione aveva causato, conseguentemente, un danno al bilancio dell’Istituto e alle casse dello Stato.
La Sezione Lazio nel merito ha riconosciuto la fondatezza della domanda risarcitoria promossa dalla Procura, sebbene limitatamente alla posizione della Dirigente scolastica; la stessa aveva adottato una circolare interna, contenente l’elenco nominativo dei minori affetti da disabilità, destinata ad essere comunicata solo alle famiglie interessate, e in forma riservata; la Dirigente non aveva prescritto il divieto di pubblicazione, né controllato che la medesima circolare non fosse pubblicata sul sito web dell’Istituto, come poi avvenuto, causando la lesione della personalità del disabile per trattamento illecito dei dati personali. A causa dell’intervento del Garante e della condotta, insieme attiva e omissiva del Dirigente, si era determinata la sanzione, il cui pagamento era avvenuto con denaro pubblico.
La sentenza riassume la normativa sul punto, ratione temporis applicabile, la quale consentiva ai soggetti pubblici di trattare i dati sensibili, previa idonea informativa agli interessati, solo se autorizzati da espressa disposizione di legge. Norma fondamentale per il caso in esame era quella contenuta nel comma 8 dell’art. 22, a mente del quale «I dati idonei a rivelare lo stato di salute non possono essere diffusi», che ha costituito il parametro normativo violato cui il Garante della Privacy ha fatto riferimento nell’irrogare la sanzione pecuniaria.
La Sezione, nel rammentare che anche il Garante della Privacy ha ribadito che è «[...] sempre vietata la diffusione di dati idonei a rivelare lo stato di salute [...]», rammenta che l’intento del legislatore è quello «di evitare le sofferenze che l’ostensione del dato sensibile relativo allo stato di salute di un minore potrebbe creare, con rischi di discriminazione anche sociale, che riguardano il minore, ma anche i genitori e i familiari legati da vincoli di comunanza di vita», assunto, questo, ribadito anche dalla Corte di Cassazione con la sentenza 16816 del 2018.
Sul tema della responsabilità dirigenziale, la Corte, nel ricordare la spettanza in capo ai Dirigenti della organizzazione e gestione scolastica, fa emergere, nel caso di specie, gli obblighi di verificare non solo la correttezza e la legittimità della circolare, ma anche quelli «di monitorarne le sorti anche nei successivi passaggi, al fine di impedirne la pubblicazione».
La condotta della Dirigente per la sentenza in esame si connota quale lesiva del «diritto alla tutela della riservatezza del minore, causando per sua esclusiva colpa (personale ed in vigilando) l’irrogazione della sanzione, così da creare un danno, indiretto, alle casse dell’Istituto scolastico, in quanto il pagamento di somme con denaro pubblico a causa dell’inosservanza di obblighi imposti normativamente costituisce un aggravio di spesa e sottrae le relative somme all’attuazione degli scopi istituzionali».
La sentenza, applicando il potere riduttivo, esita nella condanna della Dirigente al pagamento di 7.500 euro a favore dell’Istituto scolastico.
Trattamento di dati sanitari alla luce delle modifiche normative
Il Regolamento UE 679/2016 e del D.Lgs. 101/2018, attuativo del Regolamento e intervenuto a modifica di gran parte del Codice Privacy, ha introdotto aggiornamenti molteplici, in tema in particolare della salute, es. per la correlazione con il diritto di accesso, o in relazione alle regole deontologiche connesse al diritto di cronaca dei giornalisti.
Per quanto di interesse alla luce dei fatti rappresentati, benché l’art. 22 sopra citato sia stato abrogato dal D.Lgs. 101/2018, non sono venute meno le cautele in tema di tutela dei dati sensibili, dei minori e sanitari.
La breve ricognizione normativa che segue (basata, va detto, su una normativa la cui ricostruzione è piuttosto complessa), deve considerare anzitutto il nuovo art. 2-sexies del D.Lgs. 196/2003, rubricato “Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante”, lo stesso dispone che «I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».
Per i dati attinenti alla salute non sono bastevoli solo le cautele elencate; dispone infatti il comma 3 che «Per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall’articolo 2-septies».
Orbene, in base all’art. 2-septies, i dati sensibili quali quello alla salute possono essere trattati con determinate accortezze, in attuazione dell’art. 9 comma 4 del Regolamento GDPR, che dispone: «[...] i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.
I casi previsti dal citato paragrafo 2 sono molteplici; per quanto di interesse, si segnala la lettera g), che dispone che il divieto generale di trattare dati relativi alla salute non si applica se: g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».
Emerge dal rinnovato dettato normativo, quindi, come le cautele da osservare nella gestione dei dati sensibili, di minori e attinenti alla salute, non siano state affatto ridotte, ma necessitino sempre di osservanza rigorosa.