La diffusione sui siti web scolastici istituzionali di alcuni dati personali, contenuti nelle graduatorie, è eccedente rispetto a quelli necessari.
Lo ha ribadito per l’ennesima volta l’Autorità Garante per la protezione dei dati personali che con tre distinti provvedimenti (doc. web n. 2536409, registro dei provvedimenti n. 276, del 6 giugno 2013; n . 2536184, registro dei provvedimenti n. 275, del 6 giugno 2013; n. 2535862, registro dei provvedimenti n. 274, del 6 giugno 2013) è intervenuta, su segnalazione di alcuni interessati, sulla pubblicazione, all'interno delle graduatorie diffuse sui siti web di due circoli didattici e di un istituto comprensivo, di informazioni personali non necessarie.
In tutti i casi trattati, non solo i dati vietati (indirizzo e recapiti telefonici individuali fissi e mobili) erano direttamente reperibili sui siti della scuola, ma le graduatorie contenenti tali informazioni “erano indicizzate in rete tramite i più diffusi motori di ricerca (esterni ai siti degli istituti scolastici) attraverso l'inserimento di qualsiasi attributo individuale, come ad esempio le generalità degli interessati o i loro recapiti telefonici”.
Per il Garante, dott. Antonello Soro, presidente; dott.ssa Augusta Iannini, vicepresidente; dott.ssa Giovanna Bianchi Clerici e prof.ssa Licia Califano, componenti; dott. Giuseppe Busia, segretario generale; questa condotta non è lecita ed ha causato un'indebita diffusione di dati personali e, in ragione dell'indicizzabilità da parte dei motori di ricerca, è suscettibile di recare pregiudizio alla riservatezza individuale e di incrementare il rischio di abusi.
La diffusione di questi dati personali non è, infatti, consentita, perché eccedente le finalità istituzionali perseguite con la pubblicazione on line delle graduatorie vale a dire quella di dare la possibilità per chi aspira a incarichi o supplenze di conoscere la propria posizione e punteggio.
Sui siti web possono essere pubblicate graduatorie di merito contenenti solo i dati strettamente necessari all'individuazione del candidato, come il nome, il cognome, il punteggio e la posizione in graduatoria. Tutte le altre informazioni, quali il domicilio e i recapiti telefonici privati, i recapiti di telefonia mobile, l'indirizzo e-mail, i titoli di studio, il codice fiscale, l'indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali possono essere utilizzati, invece, dalla scuola per altre finalità, come quella di prendere contatto con il personale, ma non possono essere assolutamente diffusi.
Il Garante ha, quindi, vietato l'ulteriore diffusione in Internet dei dati personali concernenti il domicilio nonché il recapito telefonico degli interessati e ha prescritto di conformare per il futuro, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (Provvedimento del 2 marzo 2011 n. 88 pubblicato in G.U. n. 64 del 19 marzo 2011, e doc. web n. 1793203), con specifico riguardo alla corretta individuazione dei dati personali in esse contenuti, nel rispetto del principio di pertinenza e non eccedenza.
Nei provvedimenti del Garante, relativamente alle forme di diffusione dei dati in esame, è stato sempre chiaramente precisato che risulta eccedente "la pubblicazione di dati concernenti il recapito di telefonia fissa o mobile, l'indirizzo dell'abitazione o dell'e-mail, i titoli di studio, il codice fiscale”. E’ opportuno rammentare che per "dato personale" si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b), del Codice) e che per "diffusione" dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), del Codice).
Del resto, già in passato avevamo segnalato che il MIUR, con la specifica circolare prot. 45/dip./segr., del 7 marzo 2008, aveva chiarito che "non è consentita la pubblicazione, accanto ai dati strettamente necessari all'individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, domicilio, recapito telefonico, poiché la conoscenza da parti di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell'ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari". Tale orientamento era stato ulteriormente ribadito, recentissimamente, prima delle predette sentenze del Garante, con la circolare MIUR, prot. n. AOODGPER510 – Uff. III, del 22 gennaio 2013.
In conclusione, assodato che le graduatorie contestate sono state pubblicate nel mese di novembre 2011 e di marzo 2012, rispettivamente 3 e 4 anni dopo la circolare 2008 del MIUR e che il controllo del Garante sui siti Web delle scuole interessate è avvenuto nel mese di maggio 2013, vale a dire 4 mesi dopo l’ultima circolare 2013 del MIUR, viene da interrogarsi sulle modalità di gestione, da parte delle scuole, dei dati personali che trattano, sul loro grado di conoscenza delle norme sulla Privacy e, infine, anche sulla propria capacità di riconoscere eventuali errori e porvi rimedio, soprattutto quando viene fatta notare la violazione delle norme, cosa che non sempre viene recepita ed accettata con le relative conseguenze.
Nei provvedimenti emessi dal Garante nessuna sanzione è stata comminata, salvo l’obbligo di osservare, ai sensi dell'art. 170 del Codice, il provvedimento di divieto. Si rammenta che in caso di inosservanza del provvedimento del Garante, il responsabile è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter, del Codice, è altresì applicata, in sede amministrativa, la sanzione del pagamento di una somma da trentamila a centottantamila euro.
Li, 23.07.2013
D’INTESA CON IL PRESIDENTE
UFFICIO DIDATTICA REFERENTE PRIVACY
Saverio Prota
