La sanzione, pari a 15mila euro, è stata emessa in seguito alla diffusione online degli elenchi dei supplenti (riferita all’anno scolastico 2020/2021), comprendenti vari dati personali del reclamante e di altri 300 interessati, tra cui la condizione di precedenza secondo la legge 104/1992, che si riferisce alla tutela dei diritti dei disabili.
Quest’ultima indicazione ha determinato il provvedimento del Garante, che ha contestato la divulgazione di dati sanitari, pratica vietata dall’art. 2-septies, comma 8, del Codice Privacy.
Le argomentazioni dell’Ufficio Scolastico
L’Ufficio Scolastico ha tentato di difendersi, argomentando che i candidati avevano prestato il proprio consenso alla pubblicazione dei dati nelle domande per il conferimento delle supplenze tramite una procedura online che prevedeva la compilazione e l’inoltro di una scheda recante le preferenze degli aspiranti, sottolineando come la precedenza non fosse specificata, ma indicata con un semplice “SÌ”.
L’Ufficio Scolastico ha inoltre sostenuto che la presenza della dicitura “Precedenze L. 104/92” nel decreto pubblicato non appariva di per sé idonea a rivelare un dato personale sensibile direttamente riferibile all’interessato, data la genericità della voce, tale da non consentire di risalire in modo immediato a uno stato di disabilità.
Quest’ultimo infatti, secondo l’Ufficio Scolastico, si sarebbe potuto esplicitare solo tramite l’indicazione del preciso articolo di legge disciplinante la precedenza concretamente fruita.
Tutte queste argomentazioni sono però state respinte dal Garante, il quale ha precisato che i soggetti pubblici possono trattare i dati personali degli interessati se il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del GDPR), oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del GDPR).
Inoltre, l’Ufficio Scolastico Regionale non ha indicato una base giuridica idonea a legittimare la diffusione dei dati personali del reclamante e degli altri 300 interessati, non potendo al riguardo essere invocato il consenso, che non costituisce una base giuridica idonea in ambito pubblicistico alla luce dello squilibrio esistente fra la pubblica amministrazione e il singolo interessato (cfr. Considerando 43 del GDPR).
Altresì inidonee a fondare una valida base giuridica sono le disposizioni che ha citato e invocato in sua difesa l’Ufficio Scolastico (art. 2 del d.l. 8 aprile 2020, n. 22), le quali non legittimano l’ente a pubblicare dati personali dei docenti destinatari di un decreto di assegnazione della specifica sede di servizio, ma si limitano a stabilire (con riguardo agli anni scolastici dal 2020/2021 al 2023/2024) che taluni aspetti relativi al “conferimento delle supplenze annuali e temporanee” devono essere regolati tramite un’Ordinanza Ministeriale.
In ogni caso, anche se esiste una norma di legge che prevede l’obbligo di pubblicare determinati atti e documenti che contengono informazioni personali, il Garante ha più volte dichiarato che vanno sempre rispettati tutti i limiti previsti dai principi della protezione dei dati.
In particolare, il titolare deve assicurare che vengano trattate solo le informazioni necessarie per ogni specifica finalità di trattamento.
Per la fattispecie in questione, l’Autorità ha chiarito che il riferimento alla legge n. 104/1992 consente di ricavare informazioni sullo stato di salute delle persone, e che quindi la pubblicazione online dell’informazione relativa al motivo di precedenza attribuito ai docenti non è lecita.
Rispettare la privacy del personale scolastico
Alla luce di quanto accaduto, vale la pena sottolineare quali sono le regole cui fare riferimento per tutelare la privacy del personale scolastico e prevenire il rischio di sanzioni.
Bisogna innanzitutto ricordare come la tutela della riservatezza di ognuno possa essere garantita senza venire meno al principio di trasparenza della pubblica amministrazione.
Lo ha stabilito il Garante nelle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, in vigore dal 28 febbraio 2007.
Un documento chiaro, che fornisce indicazioni e raccomandazioni riguardo alle operazioni di trattamento dei dati personali (anche sensibili) dei lavoratori dipendenti degli enti pubblici.
Comunicazione di dati sensibili
Come chiarito nelle linee guida, le pubbliche amministrazioni devono adottare maggiori cautele se le informazioni personali rivelano profili particolarmente delicati della vita privata dei propri dipendenti, quali la salute, le abitudini sessuali, e le convinzioni politiche, sindacali, religiose, filosofiche o di altro genere, come l’origine razziale ed etnica.
In linea generale, il datore di lavoro pubblico può utilizzare informazioni sensibili relative al proprio personale, in attuazione della normativa in materia di instaurazione e gestione di rapporti di lavoro di qualunque tipo, per finalità di formazione, nonché per concedere benefici economici e altre agevolazioni.
Nel perseguire queste finalità, vanno in ogni caso rispettati i principi di necessità e di indispensabilità (che impongono di ridurre al minimo l’utilizzo di dati personali), e, qualora non si possa prescindere dall’uso di informazioni sensibili o giudiziarie, queste ultime devono essere trattate solo in misura essenziale per la gestione del rapporto di lavoro.
Diffusione dei dati in internet
Molto utile, poi, è il capitolo delle linee guida riguardante la diffusione dei dati sul web, soprattutto in relazione al sempre più consistente direzionamento verso il mondo online di tutte le professioni, sia pubbliche che private.
Le amministrazioni, spiega il Garante, devono assicurare l’esattezza, l’aggiornamento e la pertinenza dei dati pubblicati in rete, e garantire il “diritto all’oblio”, cioè una tutela dinamica della riservatezza delle persone (trascorso un certo periodo dalla pubblicazione, è opportuno spostare i nominativi in una parte del sito dove non siano più rintracciabili dai motori di ricerca esterni).
Nelle graduatorie relative a concorsi o selezioni, vanno poi riportati solo dati pertinenti, come elenchi di nominativi abbinati ai risultati, e di ammessi alle prove scritte o orali (e non dunque recapiti telefonici, codici fiscali, ecc.).
È infine sempre vietata la diffusione di informazioni sulla salute del lavoratore, così come dei suoi familiari.