Garante privacy – Provvedimento n. 383 del 6 dicembre 2012

[doc. web n. 2217211]

Diffusione sul sito web istituzionale di una scuola di dati personali relativi agli studenti – 6 dicembre 2012

Registro dei provvedimenti
n. 383 del 6 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il “Codice in materia di protezione dei dati personali”, d.lgs. 30 giugno 2003, n. 196, (di seguito Codice);

VISTA la nota con la quale la sig.ra [omissis] ha rappresentato una presunta violazione della disciplina rilevante in materia di protezione dei dati personali da parte del Liceo Statale [omissis] di Roma (di seguito Liceo), che avrebbe diffuso sul proprio sito Internet istituzionale, alla sezione “classi prime 2012-2013”, l’elenco degli studenti distinti per classe, evidenziando “con un carattere più chiaro” i nomi e cognomi di quelli ripetenti (nota del 18 settembre 2012);

CONSIDERATO che l’Ufficio ha richiesto chiarimenti al Liceo in relazione alla predetta segnalazione, con particolare riferimento ai presupposti normativi che avrebbero legittimato la diffusione dei predetti dati personali (nota del 1° ottobre 2012, prot. 24247/82497);

VISTE, in particolare, le dichiarazioni rese dal Dirigente Scolastico del Liceo -ai sensi dell’art. 168 del Codice- in base alle quali “la pubblicazione degli elenchi degli iscritti alle prime classi di questo Liceo (…) rientra nella finalità di trasparenza e pubblicità amministrative, atte ad indicare ufficialmente l’elenco degli studenti iscritti, la consistenza numerica delle classi e la divulgazione precoce degli inserimenti, anche in applicazione degli OO.CC. di questo Liceo che specificano i criteri di composizione delle classi, al fine di snellire le procedure necessarie all’avvio dell’anno scolastico ed agevolarne il rispetto (acquisto libri di testo, conoscenza sede di allocazione delle classi, eventuale verifica di richiesta di desiderata ecc.), considerato il numero dei destinatari, l’onerosità, la tempistica e la possibile inefficienza di una comunicazione personale” (nota del 16 ottobre 2012, prot. n. 6272);

VISTE, inoltre, le dichiarazioni rese dal medesimo Dirigente Scolastico in relazione alle modalità di redazione della lista dei predetti dati personali, con le quali è stato precisato, in primo luogo, che “i nominativi degli studenti ripetenti all’interno delle nuove classi prime non sono «bene evidenziati» né rappresentati «in colore diverso»” ma che vi sarebbe stato un assembramento di dati provenienti da diversi files che potrebbe avere causato la presenza di alcuni nominativi riportati con caratteri differenti ed, in secondo luogo, che in ogni caso “la lista è stata prontamente corretta”;

CONSIDERATO, inoltre, che l’Ufficio, accedendo al sito Internet istituzionale del Liceo, alla pagina [omissis] , ha potuto verificare che i dati personali degli studenti frequentanti le diverse classi del Liceo sono ancora pubblicati sul relativo sito Internet, ancorché senza alcun elemento che consenta di individuare gli studenti ripetenti;

CONSIDERATO che la diffusione da parte di un soggetto pubblico è ammessa unicamente quando prevista da una norma di legge o di regolamento (art. 19, comma 3, del Codice);

EVIDENZIATO che il Garante con le “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” (adottate con provvedimento generale del 02 marzo 2011, doc. web 1793203) ha fornito un quadro unitario di misure e accorgimenti che le pubbliche amministrazioni devono adottare nei casi in cui effettuano, in attuazione delle disposizioni normative vigenti, attività di comunicazione o diffusione di dati personali sui propri siti istituzionali per finalità di trasparenza dell’attività amministrativa, di pubblicità degli atti o di consultazione da parte di singoli soggetti (cfr. punto 1 delle citate linee guida);

EVIDENZIATO, altresì, che con le predette Linee guida il Garante, dopo avere ribadito, in relazione alla diffusione, che le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi, devono preventivamente verificare che una norma di legge o di regolamento preveda tale operazione di trattamento (cfr. punto 2.1. delle citate linee guida), ha fornito specifiche indicazioni in relazione alla diffusione effettuata, in particolare, per finalità di trasparenza ovvero di pubblicità amministrativa. Sul punto, l’Autorità ha precisato che si tratta di finalità differenti, rispetto alle quali, quindi, le pubbliche amministrazioni devono effettuare specifiche e differenziate valutazioni sia in relazione al rispetto dei principi di necessità e proporzionalità del trattamento dei dati personali (artt. 3 e 11 del Codice), sia sugli strumenti e sui mezzi utilizzati per assicurarne la conoscibilità, affinché siano correttamente rispettati i diritti degli interessati (cfr. punto 4 delle citate linee guida);

RILEVATA, pertanto, l’illiceità della diffusione di dati personali in esame, in quanto effettuata dal Liceo in assenza di una norma di legge o di regolamento che la ammetta (art. 19, comma 3, del Codice);

VISTO che il Garante ha il compito di vietare ai titolari, anche d’ufficio, il trattamento illecito di dati personali (artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice);

RITENUTO, pertanto, necessario vietare al Liceo, ai sensi dei citati artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, di diffondere ulteriormente i nominativi dei propri studenti distinti per classe sul proprio sito Internet istituzionale, in assenza di una norma di legge o di regolamento che ammetta tale operazione di trattamento;

TENUTO CONTO che, ai sensi dell’art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento è punito con la reclusione da tre mesi e due anni e che ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIO’ PREMESSO IL GARANTE

ritenuto illecito il trattamento dei dati effettuato dal Liceo Statale [omissis] di Roma nei termini indicati in premessa, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice vieta al Liceo Statale [omissis] di Roma di diffondere ulteriormente i nominativi dei propri studenti distinti per classe sul proprio sito Internet istituzionale, in assenza di una norma di legge o diregolamento che ammetta tale operazione di trattamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011 avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 dicembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia