Con tre provvedimenti “gemelli”, tutti del 6 giugno 2013 (doc. web n. 2536409, 2536184 e 2535862), il Garante della Privacy ha vietato la diffusione dei dati personali di circa 8.000 tra docenti e dipendenti ATA, e ha imposto agli istituti scolastici di procedere da ora in poi a una puntuale selezione dei dati personali contenuti in atti e documenti da inserire su Internet, nel rispetto dei principi di pertinenza e non eccedenza previsti dalla normativa sulla privacy.
Dalle verifiche effettuate dall’Autorità, è infatti emerso che nelle graduatorie d’istituto rese disponibili su Internet erano contenuti anche i codici fiscali, i numeri di telefono personali e gli indirizzi privati di moltissimi docenti e dipendenti appartenente al personale tecnico-amministrativo.
Tali dati, tra l’altro, erano stati resi indicizzabili e quindi raggiungibili attraverso i comuni motori di ricerca, anche solo digitando il nominativo di una di queste persone.
In generale, in base al principio di liceità previsto dall’art. 11, comma 1, lett. a), del d. lgs. 196/03, le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali (operazione che configura il trattamento di “diffusione” dei dati personali), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità, fermo restando comunque il divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati.
Nel caso specifico, la pubblicazione da parte delle scuole delle graduatorie di istituto è prevista dall’art. 5, comma 9, del D.M. 13 giugno 2007, n. 131 (Regolamento per il conferimento delle supplenze al personale docente ed educativo ai sensi dell’articolo 4 della legge 3 maggio 1999, n. 124), e dall’art. 5, comma 13, del D.M. 13 dicembre 2000, n. 430 (Regolamento recante norme sulle modalità di conferimento delle supplenze al personale amministrativo, tecnico ed ausiliario ai sensi dell’articolo 4 della L. 3 maggio 1999, n. 124). L’art. 32, comma 1, della legge 18 giugno 2009, n. 69, ha poi previsto che, a far data dal 1° gennaio 2010, gli obblighi di pubblicazione con effetto di pubblicità legale delle graduatorie, così come tutti gli altri atti e provvedimenti amministrativi, “si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”.
Le esigenze di trasparenza, trasparenza e consultabilità sottese alla pubblicazione delle graduatorie devono tuttavia essere contemperate dal rispetto dei principi di necessità e proporzionalità del trattamento dei dati personali, tenendo conto delle finalità del trattamento e affinché siano correttamente rispettati i diritti degli interessati.
Con Provvedimento del Garante n. 88 del 2 marzo 2011, recante le “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” (doc. web n. 1793203), si era già precisato che, con riguardo alle forme di pubblicità per gli esiti delle prove concorsuali e delle graduatorie finali di concorsi e selezioni pubbliche (caso, questo, certamente applicabile in via analogica alle graduatorie di istituto), risulta eccedente “la pubblicazione di dati concernenti il recapito di telefonia fissa o mobile, l’indirizzo dell’abitazione o dell’e-mail, i titoli di studio, il codice fiscale (…)”.
Anche il Ministero dell’Istruzione, con circolare del 7 marzo 2008 (prot. 45/dip./segr.), poi ribadita con circolare del 22 gennaio 2013 (prot. n. AOODGPER510 – Uff. III), ha chiarito che “non è consentita la pubblicazione, accanto ai dati strettamente necessari all’individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, domicilio, recapito telefonico poiché la conoscenza da parti di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell’ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari“.
La diffusione di questi dati personali non è dunque consentita in quanto eccedente le finalità istituzionali perseguite con la pubblicazione on line delle graduatorie, e cioè innanzitutto quella di dare la possibilità per chi aspira a incarichi o supplenze di conoscere la propria posizione e punteggio; inoltre, la pubblicazione on line di tali informazioni personali non solo può arrecare un pregiudizio alla riservatezza individuale, ma incrementa anche il rischio che le persone interessate possano subire abusi, come il cosiddetto furto di identità.
Pertanto, sui siti web possono essere pubblicate graduatorie di merito contenenti solo i dati strettamente necessari all’individuazione del candidato, come il nome, il cognome, il punteggio e la posizione in graduatoria; il domicilio e i recapiti telefonici privati, invece, possono essere utilizzati dalla scuola per altre finalità, come quella di prendere contatto con il personale, ma non diffusi. Solo in caso di rituale accesso agli atti amministrativi, giustificato da interesse tutelabile, potranno eventualmente essere comunicati – ma non diffusi – i dati diversi da quelli pubblicati e utili alla tutela dell’interesse dedotto.
Sotto osservazione, dunque, le scuole destinatarie dei provvedimenti: in caso di mancato ottemperamento alle prescrizioni del Garante (divieto di ulteriore diffusione dei dati in questione e obbligo di conformarsi immediatamente al trattamento dei dati personali secondo legge), scatterebbero, a carico dei responsabili dell’omissione, la denuncia per il reato di cui all’art. 162, comma 2-ter, del d. lgs. 196/03, punibile con la reclusione da tre mesi a due anni, e la sanzione amministrativa del pagamento di una somma da trentamila a centottantamila euro.