Privacy a scuola, quali dati si possono pubblicare
di Lara La Gatta, La Tecnica della scuola
Privacy a scuola, quali dati di docenti e ATA è illecito pubblicare e diffondere? Facciamo il punto
Il Garante per la protezione dei dati personali è più volte intervenuto in merito all’illecita pubblicazione e diffusione di dati attinenti al rapporto di lavoro del personale scolastico.
Proponiamo di seguito alcune situazioni che possono verificarsi a scuola, al fine di supportare le segreterie scolastiche nella gestione degli atti dal punto di vista del rispetto della privacy.
Graduatorie del personale docente e ATA
Nelle graduatorie pubblicate on-line è possibile indicare il nome, il cognome, il punteggio e la posizione in graduatoria.
Al contrario, non devono essere riportati dati non pertinenti, quali, ad es., i numeri di telefono e gli indirizzi privati dei candidati. Tale diffusione dei contatti personali incrementa, tra l’altro, il rischio di decontestualizzazione e di perdita di controllo sui dati e potrebbe, in taluni casi, esporre i lavoratori interessati a forme di stalking o a eventuali furti di identità.
Non è neanche possibile pubblicare informazioni attinenti allo stato di salute (ad esempio riferimenti ai benefici di cui alla legge 104/92).
Assenze del personale
La pubblicazione sul sito web istituzionale della scuola di dati personali, in assenza di un idoneo presupposto normativo, determina una diffusione illecita di dati. Con un provvedimento del 24 gennaio scorso [doc. web n. 9987578], riguardante il settore Scuola, il Garante si è occupato del caso di un Istituto comprensivo che aveva pubblicato sul sito web istituzionale circa trentasette determinazioni dirigenziali contenenti informazioni relative ai giorni di assenza dal servizio effettuati, nel corso dell’anno scolastico 2021/2022, dalla docente reclamante e da altro personale scolastico, e alla necessità di provvedere alla loro sostituzione.
In numerose precedenti decisioni il Garante aveva ricordato che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati. Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto.
Nelle delibere oggetto di pubblicazione non avrebbe dovuto essere, quindi, riportato alcun dato personale della reclamante o di altro personale, ricorrendo, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati.
Alla luce di tali considerazioni, sebbene quanto verificatosi risulti essere avvenuto per mero errore e in presenza di numerose difficoltà sul piano organizzativo nel periodo emergenziale dovuto all’epidemia da Covid-19, il Garante ha concluso che la pubblicazione online sul sito web istituzionale di informazioni relative all’assenza dal servizio della reclamante e di altri dipendenti abbia dato luogo ad una diffusione dei dati personali in assenza di un idoneo presupposto di liceità, ancorché ciò sia avvenuto senza indicazione delle specifiche causali o riferimenti a informazioni riconducibili a categorie particolari di dati.
Considerata tutta una serie di attenuanti, l’Autorità ha ritenuto di determinare l’ammontare della sanzione pecuniaria nella misura di 2.000 euro.
Circolazione di dati personali tra colleghi e famiglie
Le scuole devono porre particolare attenzione anche alle comunicazioni di dati personali a terzi e alla circolazione di informazioni tra colleghi.
Questa è una delle regole inserite nel vademecum “Scuola a prova di privacy” ed. 2023, realizzato dal Garante per la protezione dei dati personali come aggiornamento del precedente documento.
L’Autorità spiega che, nel trattare i dati dei lavoratori, la scuola deve adottare misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di soggetti terzi, quali possono essere ad esempio famiglie, studenti, sindacati. Questo per evitare la comunicazione illecita di informazioni personali, anche delicate, che possono riguardare lo stato di salute del lavoratore o l’assunzione di provvedimenti di carattere disciplinare o valutativo.
Altra regola alla quale la scuola deve attenersi è evitare la circolazionenell’ambiente di lavoro di dati personali riferiti ai docenti o al personale amministrativo di cui possano venire a conoscenza altri dipendenti che non siano stati specificamente autorizzati al trattamento di tali dati.
La scuola deve inoltre prestare attenzione, anche in occasione della predisposizione dell’orario delle lezioni, a non rendere reciprocamente note a tutti i colleghi informazioni relative alle specifiche causali di assenza dal servizio, anche attraverso acronimi o sigle. Ciò soprattutto quando dalle stesse sia possibile evincere categorie particolari di dati personali (es. permessi sindacali o dati sanitari).
Dati afferenti ai permessi per disabilità o maternità
I dati personali dei dipendenti nel contesto lavorativo non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato.
Lo ha più volte ribadito il Garante per la protezione dei dati personali, richiamando il principio anche nell’ultima Relazione annuale.
Tra i tanti temi affrontati in materia di privacy, un paragrafo riguarda la pubblicazione e condivisione di dati personali nel registro elettronico delle scuole.
L’Autorità ha adottato due provvedimenti sanzionatori nei confronti di due scuole che avevano consentito l’accesso al registro elettronico e ad altri applicativi a personale non autorizzato nonché, in un caso, la diffusione online dei dati personali in esso contenuti.
In particolare in un caso era stato reso disponibile nella sezione del registro elettronico riservata ai soli insegnanti, un documento recante l’orario definitivo del personale docente contenente il riferimento alla fruizione dei benefici derivanti dalla Legge 5 febbraio 1992, n. 104 da parte della reclamante e di altri docenti, nonché altre informazioni di dettaglio relative a vicende personali e familiari o legate allo specifico rapporto di lavoro di ciascuno (ed es. trasferimento, part-time, interdizione maternità, l. n. 104 non grave).
Il Garante ha ricordato che il riferimento alla cd. legge 104 consente di ricavare informazioni sullo stato di salute di una persona e che, diversamente, lo stato di gravidanza possa essere considerato dato sulla salute se associata all’informazione relativa all’interdizione dal lavoro delle lavoratrici in stato di gravidanza, sicché tali dati sono stati resi conoscibili anche per i colleghi della reclamante e non, invece, esclusivamente a vantaggio del solo personale di segreteria autorizzato al trattamento di tali informazioni.
In un analogo caso il Garante è intervento in relazione alla pubblicazione, sul sito istituzionale di un istituto scolastico e sul portale utilizzato dall’istituto anche con funzionalità di registro elettronico, di una circolare riguardante le ferie estive dei collaboratori scolastici recante, in allegato, un prospetto che riportava, in corrispondenza del nominativo del reclamante e di altro personale, l’espressa indicazione delle specifiche causali di assenza, compreso il riferimento alla fruizione dei benefici derivanti dalla Legge 5 febbraio 1992, n. 104. L’istituto – per errore di un collaboratore amministrativo – ha consentito la consultazione ai dati personali dei dipendenti nell’area ad accesso riservato del registro elettronico da parte di colleghi non autorizzati dando luogo a una comunicazione di dati personali e la pubblicazione online dei medesimi dati ha inoltre comportato la violazione del generale divieto alla diffusione dei dati relativi alla salute di cui all’art 2-septies, comma 8, del Codice.