Rilevata illiceità del trattamento di dati personali effettuata dall’istituto in risposta ad una istanza di accesso agli atti ricevuta e formulata ai sensi della legge 241/1990. Come per legge, la scuola ha mandato una copia ai controinteressati, ma senza oscurare i dati personali del richiedente, quali fotografia, numero di CI, caratteristiche fisiche descritte dai documenti, professione, firma, numero di telefono ed email. Con provvedimento n. 422 del 28 settembre 2023, il Garante ha dichiarato illegitto l'operato dell'istituto comprensivo e lo ha ufficialmente ammonito.
Il fatto
Un istituto comprensivo è stato considerato responsabile di illegittima condotta per aver giustamente inviato ai controinteressati una copia dell'istanza di accesso ma, dall'altra parte, ha condotto un comportamento ingiusto lasciando visibili i dati sensibili dell'interessata, come la fotografia, il numero di telefono, l'e-mail, la firma, la professione, le caratteristiche fisiche descritte nella CI.
La scuola, nel caso in specie, non ha sbagliato a inviare il nome della richiedente, ma ha sbagliato a non oscurare i suoi dati personali, non necessari e non previsti da alcuna disposizione normativa.
Il principio violanto nel caso in specie è il principio di minimizzazione dei dati (art. 5 del Gspr) da seguire e rispettare in prima persona, non aspettando una norma esplicita di coordinamento tra Gdpr e legge sull'acesso ai documenti amministrativi. Spetta alla scuola stessa eliminare i dati ulteriori ed eccessivi, superflui, non necessari, nella copia inviata ai controinteressati.
Normativa di riferimento
La trasparenza amministrativa consiste, nella sua accezione più ampia, nell’assicurare la massima circolazione possibile delle informazioni sia all’interno del sistema amministrativo, sia all'esterno.
’’L’attività amministrativa persegue i fini determinati dalla legge ed è retta da criteri di economicità, di efficacia e di pubblicità e di trasparenza, secondo le modalità previste dalla Legge nonchè dai principi dell’ordinamento comunitario’’ ART. 1 legge 241/90 (modificata e integrata dalla Legge 15/2005).
Questa legge apporta importanti modifiche nei rapporti tra le pubbliche amministrazioni e i diritti dei cittadini. Infatti non solo è previsto il diritto di prendere visione degli atti di un procedimento, ma anche che l’attività amministrativa debba ispirarsi al principio di trasparenza, inteso come accessibilità alla documentazione dell’amministrazione o ai riferimenti da quest’ultima utilizzati nell’assumere una determinata posizione.
Il diritto di accesso permette agli interessati di richiedere, di prendere visione ed, eventualmente, ottenere copia dei documenti amministrativi (ai sensi dell’art. 22 della Legge 241/90).
Ma tutto questo non può essere senza tener conto anche della normativa sulla privacy di riferimento, e il necessario equilibrio tra questi due ambiti. La scuola in specie non ha rispettato i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).
Si evidenziano ulteriori strumenti utili per rafforzare la formazione sulla privacy e prevenire episodi simili, come la già citata FAQ del Garante in collaborazione con il Ministero dell’Istruzione, intervenuto in merito alla questione (www.gpdp.it), il Vademecum dell’edizione 2023 (La scuola a prova di privacy), il quale ricorda “In un contesto in cui l’innovazione tecnologica rivoluziona i processi formativi – dall’uso del web ai tablet su cui consultare i libri, dai sistemi di messaggistica e i social media al registro elettronico – resta centrale la necessità di riaffermare quotidianamente, anche in ambito scolastico, quei principi di civiltà e rispetto, come la riservatezza e la dignità della persona, che devono sempre essere al centro della formazione di ogni cittadino di oggi e di domani” e le nuove Linee Guida, trattasi questa di un'occasione per le amministrazioni scolastiche, non solo di prendere visione degli aggiornamenti relativamente al nuovo compito del DPO di compilare il registro delle violazioni privacy, ma anche di stimolare la partecipazione agli appositi programmi di formazione rivolti al personale scolastico in tema di obblighi di privacy e sicurezza, nonché a consultare periodicamente la documentazione relativa.