La normativa in materia di pubblicità impone alle scuole, in qualità di pubbliche amministrazioni, specifici obblighi di pubblicazione dei propri atti e documenti sui siti web istituzionali (D.LGS 33 /2013).
Il principio di trasparenza amministrativa va tuttavia conciliato con un altro fondamentale diritto: quello alla riservatezza.
In particolare, per questioni di privacy, le informazioni che rivelino una condizione di disagio sociale dei soggetti interessati non possono essere pubblicate sul web.
È quanto stabilito dal Garante, che ha sanzionato Regione Lombardia per aver diffuso sul proprio sito istituzionale i dati personali di più di centomila studenti che avevano effettuato richieste per borse di studio statali o sussidi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica.
Tenuto conto che la condizione per accedere a tale contributo consisteva nell’essere in possesso di un valore ISEE non superiore a 15.000 €, viene da sé che la diffusione online ha avuto come effetto immediato quello di rivelare la condizione di disagio economico dei soggetti interessati.
Nello specifico, come emerso dalla verifica preliminare da parte del Garante, dall’homepage del sito istituzionale della Regione era infatti possibile consultare e scaricare liberamente l’elenco delle domande ammesse e finanziate, così come quello delle domande ammesse e da finanziare, l’elenco dei beneficiari di borsa di studio statale e quello delle domande non ammesse.
Tali liste riportavano dati personali quali l’ID e il numero della domanda, il nominativo del richiedente, la classe dell’alunno, e il codice e la denominazione della scuola.
Un fatto piuttosto grave che non è passato inosservato agli occhi del Garante, che non ha potuto fare altro che agire di conseguenza a tutela della privacy dei soggetti coinvolti.
Cosa dice la normativa in materia di privacy e di trasparenza
A riguardo, con specifico riferimento al caso sottoposto all’attenzione del Garante, è opportuno ricordare che soggetti pubblici quali la Regione possono diffondere dati personali solo se tale operazione è prevista “da una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter, commi 1 e 3, del Codice Privacy), sempre tuttavia nel rispetto del principio di “minimizzazione”, che prevede che i dati personali siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c, del GDPR).
Relativamente all’art. 2 ter del Codice della Privacy, occorre ricordare che lo stesso è stato modificato dall’articolo 9, comma 1, lett. a) del Decreto Capienze, D.L. n. 139/2021, che ha aggiunto un nuovo comma 1-bis, ai sensi del quale il trattamento da parte di un’autorità pubblica “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”.
Tale nuovo comma, essendo stato introdotto da un D.L., deve essere convertito in legge dal Parlamento, pena perdita di efficacia (in sede di conversione, inoltre, potrebbe essere modificato).
Il divieto previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013 di diffondere per finalità di trasparenza dati identificativi di soggetti beneficiari di contributi economici da cui si possano desumere informazioni relative alla situazione di disagio economico-sociale degli interessati – come ha sottolineato anche il Garante nelle “Linee guida in materia di trasparenza” – rappresenta “un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale” (cfr. parte prima, par. 9.e).
Nelle stesse linee guida è ulteriormente specificato che, alla luce dei principi di necessità, pertinenza e non eccedenza (oggi tutti confluiti nel più generale principio di “minimizzazione” dei dati di cui all’art. 5, part. 1, lett. c, del GDPR), non risulta “giustificato diffondere, fra l’altro, dati quali, ad esempio, […] la ripartizione degli assegnatari secondo le fasce dell’Indicatore della situazione economica equivalente-ISEE, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno […], etc.” (ivi).
Nel caso in esame, la pubblicazione dei dati degli studenti richiedenti un sussidio ha reso nota a un pubblico generalizzato la situazione economica delle relative famiglie (associata a un ISEE non particolarmente alto).
Occorre dunque tenere presente che la diffusione delle informazioni sull’Indicatore della Situazione Economica Equivalente dei soggetti interessati appare totalmente sproporzionata rispetto alla finalità di trasparenza.
Dati identificativi di chi è stato escluso dal contributo: ecco il divieto
Per quanto concerne la diffusione dei dati personali dei soggetti che non sono risultati beneficiari di alcun contributo economico, il Garante della privacy sostiene come non sia in alcun modo possibile accogliere l’eccezione avanzata da Regione Lombardia, secondo la quale era necessaria per “tutelare l’interesse dei non beneficiari di poter prendere visione degli atti (risultati del bando) [e] consentire anche ai partecipanti non beneficiari l’accesso agli atti”.
L’opposizione dell’organo a tutela della privacy deriva dalla pubblicazione non supportata da alcuna idonea disposizione che possa in qualche modo giustificare la diffusione online dei dati personali ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.
Le conclusioni del Garante circa la diffusione dei dati relativi alle condizioni economiche del soggetto
L’Autorità Garante ha ribadito che i soggetti pubblici, qualora rispettino gli obblighi di trasparenza, hanno la facoltà di diffondere dati personali.
Ciò tuttavia solo se tale operazione è prevista da una norma di legge o di regolamento, nei casi previsti dalla legge, e sempre nel rispetto dei principi in materia di protezione dei dati, come ad esempio quello di “minimizzazione”.
La stessa normativa statale di settore in materia di trasparenza esclude in ogni caso la pubblicazione dei dati dei destinatari dei provvedimenti, qualora da tali dati sia possibile ricavare informazioni sulla situazione di disagio degli interessati.
Per quanto riguarda dunque Regione Lombardia, una volta riscontrato l’illecito, il Garante della Privacy ha provveduto a stabilire una sanzione di 200.000 € in virtù dell’elevato numero di soggetti coinvolti i cui dati sono stati diffusi, così come della lunghezza del periodo di infrazione (quasi 11 mesi), peraltro ritenuta di natura colposa.
A seguito di tale intervento, la Regione ha provveduto celermente alla rimozione dei dati personali oggetto di violazione dal proprio sito istituzionale.