Le politiche di sensibilizzazione del personale come prova di accountability: un caso di scuola apprezzato dal Garante Privacy
Quale rilevanza possono assumere le politiche di sensibilizzazione del personale per comprovare l’accountability del titolare, soprattutto a fronte di una contestazione di una violazione? All’interno del provv. n. 403 del4 luglio 2024 possiamo cogliere lo spunto per affrontare a tale riguardo un vero e proprio caso “di scuola”.
L’Autorità Garante per la protezione dei dati personali aveva infatti avviato un’istruttoria nei confronti di un istituto scolastico in seguito ad un reclamo presentato da parte dei genitori di uno studente, il cui nominativo era stato erroneamente mantenuto con l’invio da parte di una docente di un’e-mail tramite registro elettronico ai genitori della classe con inoltro del provvedimento dell’ASL dal quale risultava l’esito del tampone e il relativo stato di positività al COVID-19. Il tutto, in violazione della procedura dedicata a riguardo, dal momento che «il protocollo adottato dalla scuola, d’intesa con il SISP della ASL prevede che il provvedimento (anonimo) venga trasmesso ai membri della classe ed ai genitori».
Dopo aver rilevato l’illiceità del trattamento così svolto di comunicazione dei dati personali, in violazione degli articoli 5, par. 1, lett. a), 6 e 9 GDPR nonché 2-ter e 2-sexies del Codice Privacy, il Garante ha valutato positivamente gli elementi presentati all’interno delle difese dell’organizzazione al punto di qualificare il fatto come “violazione minore” limitandosi così a rivolgere un ammonimento ai sensi dell’art. 58, par. 2, lett. b) GDPR.
Fra le circostanze esposte e rilevate rientrano le dimensioni ridotte dell’autore della violazione, il fatto che si sia trattato di un caso isolato e abbia coinvolto un unico soggetto, l’assenza di ulteriori violazioni e l’esaurimento degli effetti della condotta dopo l’invio di una richiesta di cancellazione ai destinatari e il monitoraggio successivo, nonché il contesto epidemico e le relative difficoltà organizzative.
(Nella foto: Stefano Gazzella, Consulente Privacy & ICT Law, Data Protection Officer)
Un fattore di particolare rilevanza e collegato al grado di accountability dell’organizzazione è però quello che si riscontra in due tipi di misure svolte e rendicontate da parte dell’organizzazione: una di carattere preventivo e generale rispetto alla violazione e un’altra successiva e in reazione all’evento in concreto. Il primo tipo consiste nell’aver fornito al personale a inizio anno «adeguata informativa sulla normativa relativa alla privacy», e, ogni anno, «diverse circolari riguardanti il rispetto della privacy dei soggetti interessati per continuare a sensibilizzare nei docenti lo spirito di osservanza e rispetto della stessa». Il secondo tipo consiste invece nell’aver «provveduto ad informare, tramite circolare d’Istituto, […] per sensibilizzare l’attenzione che ogni docente deve porre nel trattare i dati dei soggetti interessati nello special modo degli studenti» estendendo tale attività anche al personale di segreteria, e poi nello specifico nell’aver rivolto nei confronti della docente, anche con l’avvio di una contestazione disciplinare per violazione della relativa procedura, l’invito «ad una maggiore attenzione al trattamento dei dati esortandola a prendere maggiormente in considerazione, oltre che le regole di trattamento, anche le conseguenze che può avere sugli interessati una comunicazione condivisa con tutti i genitori quand’anche concordata».
Il comune denominatore che emerge è quello dell’efficace attuazione di quelle politiche di sensibilizzazione e formazione del personale che partecipa ai trattamenti citate dall’art. 39 par. 1 lett. b) GDPR, e su cui il DPO è chiamato a svolgere i propri compiti di sorveglianza.
Dopotutto, in assenza di alcuna misura tecnica adottabile per attenuare il rischio, la sensibilizzazione del personale riferita al caso concreto è una misura organizzativa da adottare per prevenire che un evento del medesimo genere accada nuovamente.
Se errare è umano e perseverare è diabolico, gestire l’errore anche con un approccio di tipo lesson learned è decisamente accountable.