Garante - Relazione 2013

Il Garante e le pubbliche amministrazioni

Anche nel 2013 l’Autorita' è intervenuta fornendo chiarimenti in relazione al trattamento di dati personali effettuato nell’ambito dell’istruzione scolastica ed universitaria.

In particolare, una scuola ha posto un quesito circa la necessita' di acquisire la preventiva autorizzazione del Garante al fine di poter istituire un “ambiente di apprendimento” online con servizi disponibili per gli studenti. Al riguardo, l’Ufficio, nel precisare che, salvo i casi espressamente previsti, i trattamenti di dati personali non devono essere previamente autorizzati dal Garante, ha ribadito il dovere di rispettare la disciplina in materia di protezione dei dati personali, evidenziando, in particolare, la necessita' di sottoporre a verifica preliminare i trattamenti che presentano specifici rischi per i diritti e le liberta' fondamentali, nonchè per la dignita' dell’interessato, in relazione alla natura dei dati o alle modalita' del trattamento o agli effetti che possono determinare (artt. 17, 40 e 41 del Codice; nota 25 giugno 2013).

E' stata segnalata una presunta violazione della disciplina in materia di dati personali presso una scuola superiore di secondo grado in relazione alla somministrazione agli alunni di un test nominativo riguardante una ricerca promossa dal Dipartimento di psicologia dell’Universita' di Firenze, effettuata senza fornire preventivamente l’informativa sul trattamento dei dati personali (art. 13 del Codice). A seguito dell’intervento dell’Ufficio, il dirigente scolastico ha garantito di aver proceduto alla distruzione dei test compilati dagli studenti, dopo averli messi in sicurezza al fine di impedirne l’accesso a chiunque (ivi compresi i ricercatori dell’Universita'), e di aver successivamente consentito la somministrazione del test solo dopo che fosse stata fornita idonea informativa agli studenti. Considerate le garanzie e le idonee assicurazioni fornite, volte ad evitare la ripetizione per il futuro della condotta lamentata, e salva la verifica dei presupposti per la contestazione di eventuali sanzioni amministrative, non sono state intraprese iniziative per l’adozione di provvedimenti da parte del Garante (nota 30 maggio 2013).

E' giunta all’Autorita' una segnalazione con la quale veniva rappresentato che, ai fini dell’iscrizione all’asilo nido di un comune, venivano raccolti dati personali ritenuti eccedenti e non pertinenti. In particolare, attraverso la modulistica predisposta per l’iscrizione, si richiedeva una pluralita' di informazioni inerenti: “il motivo di assenza di uno dei genitori dal nucleo familiare, la presenza di un procedimento di affido o adozione in corso, l’origine straniera di uno o entrambi i genitori, con l’indicazione dell’anno di ingresso in Italia, la professione o la scuola frequentata da altri figli componenti il nucleo familiare, il nome, il cognome, la data di nascita, la residenza dei nonni del minore e se risultano residenti nel territorio del comune, anche l’occupazione, ivi compreso l’orario settimanale di lavoro, lo stato di salute e l’invalidita'”. L’Ufficio ha potuto accertare che, in base al regolamento comunale, le domande per l’iscrizione all’asilo nido contenenti le informazioni richieste relative alle “situazioni particolari che caratterizzano il nucleo familiare” concernevano esclusivamente la presenza di uno o più componenti con invalidita' certificata ai sensi della legislazione vigente, superiore al 67% nonchè del nucleo familiare in situazione di fragilita' in carico ai servizi sociali. Su tali basi, rilevato il disallineamento tra la più ampia rosa di dati personali richiesti dal comune e quelli effettivamente necessari per verificare la sussistenza dei requisiti di ammissione all’asilo nido, il Garante ha ritenuto indebita l’acquisizione dei dati personali eccedenti. L’Autorita' ha, pertanto, vietato al comune la raccolta ed il successivo trattamento dei predetti dati personali nonchè di ogni altra informazione non rilevante ai fini della verifica dei criteri previsti nel regolamento comunale, in quanto ciò avrebbe comportato un trattamento di dati personali eccedenti, non pertinenti e, con specifico riferimento ai dati sensibili, non indispensabili rispetto alle finalita' perseguite (provv. 6 giugno 2013, n. 273, doc. web n. 2554925).

Una provincia aveva richiesto, ai sensi dell’art. 39 del Codice, al Ministero dell’istruzione, dell’universita' e della ricerca i dati relativi ai codici fiscali degli studenti della scuola secondaria della provincia “frequentanti, trasferiti, ritirati, bocciati, etc., del primo e ultimo anno di corso, con riferimento agli anni 2012/2013 e 2013/2014”, per lo svolgimento delle proprie funzioni istituzionali inerenti la vigilanza sull’assolvimento dell’obbligo scolastico e la realizzazione di un progetto di contrasto alla dispersione scolastica (art. 68, l. 17 maggio 1999, n. 144 e D.G.R. 1891 del 22 giugno 2011). Sul punto l’Ufficio ha preliminarmente evidenziato che il Codice dispone, in via generale, che i soggetti pubblici possano comunicare dati personali, diversi da quelli sensibili e giudiziari, solo se tale specifica operazione di trattamento sia prevista da una norma di legge o di regolamento (cfr. art. 19, comma 3). Inoltre, come ipotesi residuale, in mancanza di una specifica norma di legge o di regolamento che lo preveda, le amministrazioni pubbliche possono comunicare ad altri soggetti pubblici dati personali, non aventi natura sensibile, allorquando tale trattamento sia necessario per lo svolgimento delle proprie funzioni istituzionali. Le amministrazioni coinvolte nel flusso di dati che si intende attivare devono, pertanto, preliminarmente ed attentamente accertare che tale flusso di dati non sia gia' previsto dalla specifica normativa di settore. In tal caso, il titolare è tenuto ad effettuare una comunicazione preventiva al Garante e il trattamento potra' avere inizio decorsi quarantacinque giorni della predetta comunicazione, salva diversa determinazione anche successiva dell’Autorita' (artt. 18, comma 2, 19, comma 2 e 39 del Codice). Su tali basi, rilevata la sussistenza di specifiche disposizioni di regolamento che espressamente disciplinano il flusso di dati necessari alla provincia per l’assolvimento delle funzioni istituzionali concernenti l’obbligo di frequenza di attivita' formative fino al diciottesimo anno di eta' e di prevenzione e contrasto alla dispersione scolastica, l’Ufficio ha ritenuto che le comunicazioni di dati personali per le predette finalita' possano avvenire solo nei limiti previsti dalla disciplina di settore (art. 3, commi 2, 3, 4, e 5, e art. 8, comma 2, d.P.R. 12 luglio 2000, n. 257; art. 3, comma 2, d.m. 5 agosto 2010, n. 74 e punto 3 sezione “profilo D” dell’allegato tecnico al d.m. n. 74/2010 cit.) (nota 27 febbraio 2013).

Similmente, il Ministero dell'istruzione, dell'università e della ricerca ha comunicato all’Autorita', ai sensi degli artt. 19, comma 2 e 39, comma 2, del Codice, di aver ricevuto da parte di un comune la richiesta dei dati relativi agli alunni iscritti dal 2007 alle scuole di ogni ordine e grado della provincia di appartenenza (nome, cognome, data e luogo di nascita, scuola frequentata ed anno di frequenza) per il perseguimento della funzione istituzionale di partecipazione al contrasto all’evasione fiscale, con particolare riferimento all’accertamento delle residenze fittizie all’estero attraverso la vigilanza sui soggetti che hanno richiesto l’iscrizione all’Aire (in particolare, art. 44, d.P.R. 29 settembre 1973, n. 600 e ss. mm. e art. 83, commi 16 e 17, d. l. 25 giugno 2008, n. 112, convertito dalla l. 6 agosto 2008, n. 133 e ss. mm.).

Al riguardo, l’Ufficio ha rilevato che la normativa di settore stabilisce specifiche regole per il reperimento da parte dei comuni delle informazioni necessarie per la partecipazione al contrasto all’evasione fiscale (cfr. art. 1, d.l. 30 settembre 2005, n. 203 convertito, con modificazioni, dalla l. 2 dicembre 2005, n. 248 e modificato dall’art. 18, d.l. 31 maggio 2010, n. 78, convertito dalla l. 30 luglio 2010, n. 122; provvedimenti del Direttore dell’Agenzia delle entrate del 3 dicembre 2007 e del 26 novembre 2008; art. 44, d.P.R. n. 600/1973; art. 83, commi 16 e 17, d.l. n. 112/2008). Tenuto conto della citata normativa, l’Ufficio ha ritenuto quindi non applicabile la disciplina prevista dagli artt. 19, comma 2 e 39, comma 2, del Codice (cfr. in particolare, i citati artt. 44, d.P.R. n. 600/1973 e 83, d.l. n. 112/2008) (nota 21 maggio 2013).

Relativamente al settore universitario, una studentessa ha segnalato all’Autorita' che, presso l’Universita' degli Studi di Roma la Sapienza, attraverso un sistema informatico, ogni docente, inserendo le proprie credenziali, poteva visionare i dati personali di qualunque studente iscritto. L’Universita', nel confermare il contenuto della segnalazione, ha messo a punto specifiche soluzioni operative in base alle quali, in particolare, “a partire dall’anno accademico 2013/2014, tutte le carriere degli studenti iscritti ai corsi [...] potranno essere visualizzate da docente sul predetto sistema informatico [...] solo ed esclusivamente nel caso che lo studente si sia gia' iscritto a sostenere l’esame di profitto di competenza; relativamente alle carriere, ad esaurimento, dei vecchi ordinamenti, per le quali non sono attivi filtri automatici di controllo sul piano di studio, è possibile sviluppare una nuova funzione del sistema [...] che consenta allo studente di autorizzare l’accesso ai propri dati di carriera ai docenti con i quali intenda sostenere esami di profitto; in tal modo ogni docente potra' accedere esclusivamente alle carriere che sono di pertinenza della propria attivita' istituzionale”. Sulla base di tali specifiche assicurazioni l’Ufficio, salva la verifica dei presupposti per la contestazione di eventuali sanzioni amministrative, non ha promosso l’adozione di specifici provvedimenti da parte del Garante (nota 5 aprile 2013).