Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 30 marzo 2023: https://www.agendadigitale.eu/scuola-digitale/scuola-e-privacy-attenzione-ai-dati-pubblicati-sul-registro-elettronico
Negli ultimi anni, anche per fronteggiare le difficoltà causate dall’emergenza Covid, le scuole hanno iniziato a usare sempre di più il registro elettronico per inviare comunicazioni e circolari al personale e agli alunni.
Ma non solo. Il registro, fornito da soggetti designati responsabili del trattamento, è stato impiegato anche per svolgere attività didattiche, come suggerito dal Garante della privacy.
Le indicazioni del Garante
L’allora presidente dell’Autorità, Antonello Soro, aveva infatti affermato in una sua lettera al Ministro dell’Istruzione che “La crescente rilevanza assunta, nell’attuale fase emergenziale, dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone […] di riservare maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati personali affidati a tali piattaforme”.
Il registro elettronico era stato quindi considerato uno degli strumenti online più sicuri, in relazione alle garanzie offerte in termini di protezione dati.
Alla luce di queste indicazioni, sempre più scuole hanno iniziato a scoprire le potenzialità del mezzo, e a sfruttarlo per condividere informazioni al personale e alle famiglie.
L’Autorità, sempre nello stesso periodo, aveva suggerito di utilizzare il registro anche per un’altra finalità: la pubblicazione online degli esiti scolastici.
Il Garante aveva infatti affermato in un suo intervento che, essendo la pubblicazione online “una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy”, è indispensabile che la pubblicità degli esiti scolastici venga realizzata “senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma, utilizzando altre piattaforme che evitino i rischi sopra evidenziati”.
Conseguentemente, il Ministero dell’Istruzione, in collaborazione con lo stesso Garante, aveva emanato la circolare ministeriale 9168 del 09/06/2020 relativa alla corretta pubblicazione degli esiti scolastici.
In tale nota il Ministero, per garantire una maggiore tutela della privacy degli studenti, ricordava che la pubblicazione online sarebbe dovuta avvenire esclusivamente tramite il registro elettronico, e non dunque sul sito web, accessibile e visualizzabile da chiunque.
In ogni caso, la pubblicazione di documenti e informazioni sul registro non evita sanzioni in caso di disattenzioni o scarsa preparazione del personale di segreteria addetto al trattamento dei dati.
Per capire di che cosa stiamo parlando, prendiamo in considerazione due episodi che hanno coinvolto le scuole nell’ultimo anno.
Come condividere documenti ed evitare sanzioni utilizzando il registro elettronico
Quando si condividono documenti tramite il registro elettronico bisogna stare attenti e considerare le modalità di pubblicazione e il tipo di dati trattati.
Può infatti capitare che, per una semplice distrazione o per incompetenza, si rendano visibili informazioni anche a chi non ha il diritto di conoscerle.
Ecco un esempio che ha riguardato un istituto scolastico in Italia circa un anno fa.
Il Garante della privacy ha sanzionato un liceo che aveva pubblicato, in un’apposita sezione del registro dedicata agli insegnanti, un documento relativo all’orario dell’anno scolastico, recante, in corrispondenza del nominativo di una docente, il riferimento alla fruizione dei benefici derivanti dalla legge del 5 febbraio 1992, n. 104, e, in particolare, l’indicazione “legge 104 non grave”.
In merito a tale pubblicazione, contenente in aggiunta anche informazioni relative a vicende personali e familiari, o legate allo specifico rapporto di lavoro di ciascuno (ad es. trasferimento, part-time, interdizione maternità, legge 104 non grave), il Garante ha specificato che i dati personali dei dipendenti non possono essere resi disponibili a soggetti diversi da coloro che sono legittimati a trattare gli stessi in qualità di personale autorizzato.
Pertanto, anche quando la condivisione è limitata a un ristretto numero di soggetti, per essere legittima deve essere rivolta a chi lecitamente può conoscere tali informazioni.
Inoltre, l’Autorità precisa che, nel caso in esame, tra i dati condivisi vi erano anche “categorie particolari di dati”, in quanto, ai sensi dell’art. 4 par.1, n. 15 del Regolamento, sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, e che, “anche il riferimento alla legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona (provv. 28 maggio 2020, n. 92, doc. web n. 9434609)”.
L’informazione sullo stato di gravidanza, insieme a quella relativa all’interdizione dal lavoro, è considerata un dato relativo alla salute.
Detto ciò, la scuola ha correttamente messo a disposizione di tutti i docenti il documento dell’orario in un’area privata del registro, ma ha commesso l’errore di condividerlo nella versione integrale, contenente dati riservati.
In sostanza, i docenti non dovevano venire a conoscenza dei dati relativi alla salute dei colleghi, e tali informazioni dovevano essere rese disponibili solo al personale di segreteria autorizzato al trattamento.
Pertanto, l’autorità ha affermato che: “la consultabilità nell’area riservata del registro elettronico della versione integrale del predetto documento – contenente il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104 della reclamante e altri colleghi, nonché all’interdizione per maternità e ad altre informazioni personali (quali trasferimento, part-time) – ha di fatto reso conoscibili a tutto il personale docente dell’Istituto informazioni, anche relative alla salute, della reclamante e di altri interessati e ha reso, inoltre, gli stessi docenti vicendevolmente edotti in merito a situazioni personali, familiari o comunque attinenti allo specifico rapporto di lavoro di ciascuno (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice). Considerato che tutto il personale della scuola non può essere ritenuto autorizzato a trattare i dati in questione, non può essere ritenuta conforme al quadro normativo in materia di protezione dei dati la messa a disposizione di dati personali – specie se relativi alla salute o relativi a vicende legate al rapporto individuale di lavoro – di tutto il personale in servizio in modo generalizzato e indistinto”.
Un altro esempio di violazione
Con un altro provvedimento, il Garante ha sanzionato un liceo per aver pubblicato sul proprio sito istituzionale e sul registro elettronico una circolare riguardante le ferie estive dei collaboratori scolastici, recante in allegato un prospetto del piano ferie che riportava, in corrispondenza del nominativo del personale, il riferimento alla fruizione dei benefici derivanti dalla legge del 5 febbraio 1992, n. 104 e, in particolare, l’indicazione “104”.
Lo stesso Garante ha ricordato il Provvedimento n. 146 del 5 giugno 2019 (recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, doc. web n. 9124510) che stabilisce che “quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari)”.
Pertanto, sebbene anche in questo caso la condivisione sia avvenuta in un’area privata del registro (e ciò non abbia dunque determinato una diffusione pubblica di dati personali), molti colleghi della collaboratrice sono venuti a conoscenza di informazioni riservate a lei appartenenti.
Relativamente alla condivisione del piano attraverso il registro elettronico, è stato infatti evidenziato che, sebbene la stessa sia avvenuta in un’area ad accesso riservato, non accessibile a chiunque, “la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero, determinato o determinabile, assai ampio di soggetti, ossia tutti i colleghi della reclamante appartenenti al personale ATA, e non invece esclusivamente a vantaggio del solo personale di segreteria”.
Per tali ragioni l’istituto, in modo ingiustificato, ha messo tutti i dipendenti a conoscenza dei periodi e delle causali di assenza degli altri colleghi, comprensivi anche di informazioni su vicende personali e relative alla salute di alcuni lavoratori e/o di loro familiari, e perciò ha posto in essere una violazione di dati personali.
Conclusioni
Questi provvedimenti del Garante dimostrano come le scuole debbano prestare particolare attenzione prima di pubblicare documenti sul registro elettronico, anche se tale condivisione non comporta la divulgazione di dati personali a chiunque, come attraverso il sito web.
Vanno valutate le informazioni che si intendono condividere, considerando che le “categorie particolari di dati” e i “dati relativi a condanne penali e reati” non possono essere comunicati a chi non è legittimato a conoscerli.
Infine si ricorda che il Garante, nelle FAQ Scuola e Privacy, ha precisato che nelle circolari, nelle delibere, o in altre comunicazioni condivise con i genitori non rivolte a specifici destinatari, non possono essere inseriti dati personali che rendano identificabili gli alunni.