I dati sanitari di una dipendente finiscono online, sanzionato un istituto scolastico
L’Autorità Garante è tornata sull’annosa questione del precario equilibrio tra obblighi di trasparenza, in capo alle PP.AA. – lato sensu – e i diritti degli interessati, infliggendo una sanzione amministrativa di Euro 2.000 per trattamento illecito dei dati personali con il provvedimento n. 255 del 24 giugno 2021. Il caso in questione riguarda la violazione dei diritti di una dipendente che vedeva pubblicati, nella sezione “Trasparenza Amministrativa” del sito internet dell’Istituto Scolastico, alcuni suoi dati personali riguardanti, in particolare, informazioni relative lo stato di salute (dati sanitari).
I dati in questione erano stati caricati dalla stessa dipendente all’interno del portale intranet dell’Istituto a corredo di una propria domanda/istanza e ‘flaggati’ dal personale amministrativo dell’Istituto scolastico come documenti accessibili al pubblico e di libera consultazione.
A seguito della segnatura quali documenti pubblici, i dati erano raggiungibili sia dalla pagina internet della scuola sia attraverso i motori di ricerca, in particolare Google, nei quali inserendo semplicemente il nome della dipendente il risultato indicizzato portava alla directory dove i file erano allocati.
Da subito l’interessato ha esercitato i diritti riconosciutigli dal Regolamento europeo e dal Codice Privacy chiedendo l’immediata cancellazione dei dati dal portale internet nonché l’inibizione della consultazione pubblica degli stessi.
L’istanza veniva immediatamente accolta dal dirigente dell’Istituto scolastico, il quale provvedeva a notiziare l’interessato dell’accoglimento dell’istanza e relativa cancellazione dei dati, nonché degli adempimenti relativi alla segnalazione al Garante privacy.
Successivamente, l’interessato presentava reclamo all’ Autorità Garante chiedendo di istruire il caso e valutare se il trattamento oggetto di reclamo potesse considerarsi illecito adottando tutti i provvedimenti necessari.
Il Garante ha istruito il caso, valutando i documenti presentati e chiedendo memorie difensive al titolare del trattamento, decidendo all’esito dell’attività istruttoria di non archiviare il reclamo ma anzi di sanzionare l’Istituto Scolastico <<per la violazione degli artt. 5, paragrafo 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e) e 2 e 3, lett. b) e 9 par.4 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies par.8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva>>.
L’Autorità Garante ha ribadito importanti concetti ai quali i datori di lavoro pubblici devono conformarsi nell’adempiere ai propri obblighi pubblicisti di trasparenza amministrativa, considerato anche il loro ruolo di titolari del trattamento dei dati personali dei propri dipendenti.
Infatti, nel provvedimento in parola il Garante ha richiamato le proprie linee guida relative al “trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” precisando che non può operarsi un trattamento dei dati personali, in ambito pubblico, utilizzando tout court gli obblighi di trasparenza come base giuridica del trattamento. Considerato ciò, il titolare del trattamento dovrà comunque effettuare una valutazione (c.d. bilanciamento) decidendo se la base giuridica è idonea a non configurare un trattamento illecito dei dati personali.
Ulteriormente importante è la precisazione dell’Autorità riguardo alle maggiori tutele necessarie nel trattamento dei dati attinenti alla <<salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute>> ai sensi dell’art. 4, par. 1, n. 15, GDPR sottolineando che non possono essere oggetto di diffusione pubblica ai sensi dell’art. 2-septies, co. 8, Codice Privacy ed art. 9, par. 4, GDPR.
Ai fini dell’erogazione della sanzione amministrativa pecuniaria il Garante ha tenuto conto del comportamento adottato dall’Istituto scolastico, apprezzando in particolare la collaborazione, la fattiva cessazione del trattamento illecito entro il termine previsto ex lege, ed il preciso adempimento degli obblighi conseguenti al trattamento illecito. Tutto questo, però, non è stato sufficiente ad impedire l’irrogazione della sanzione amministrativa e la pubblicazione del provvedimento sul sito internet dell’Autorità Garante ex art. 166, co. 7, Codice Privacy ed art. 16 del Regolamento del Garante n. 1/2019.
Le motivazioni addotte dal Garante risiedono nel fatto che la fattiva e proficua collaborazione del reclamato, nonché l’aver dimostrato l’assenza di dolo e colpa grave, non possono assumere in alcun modo natura di causa di giustificazione dell’illecito trattamento dei dati personali ma, al più, possono essere valutati per determinare la proporzionalità della sanzione inflitta ex art. 83, GDPR.
Il sempre più frequente utilizzo delle nuove tecnologie, previste nell’ambito di digitalizzazione della Pubblica Amministrazione, richiedono maggiori attenzioni nel trattamento dei dati personali (dei dipendenti) da parte dei datori di lavoro pubblici, nonché personale adeguatamente formato e specializzato, capace di intercettare immediatamente un trattamento non conforme alle prescrizioni in materia di trattamento dei dati personali imposte dal Regolamento europeo.