Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. XXX, presidente, della dott.ssa XXX, vicepresidente, della dott.ssa XXX e della prof.ssa XXX, componenti, e del dott. XXX, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTA la notifica di violazione dei dati personali presentata in data 31 agosto 2018 dalla Provincia autonoma di Trento ai sensi dell’art. 33 del Regolamento, con la quale è stato comunicato che “il giorno 30 agosto u.s., il Circolo di coordinamento n. XX, quale articolazione del Servizio XX, ha trasmesso con e-mail la nota del Dipartimento XX prot. n. XX di data XX, con la quale, in prossimità dell’apertura dell’anno scolastico, si informano le famiglie che, in ottemperanza alle previsioni della legge 31 luglio 2017, n. 119, il giorno 3 settembre 2018 non sarà consentita l’ammissione alla frequenza delle scuole dell’infanzia e dei servizi educativi per la prima infanzia dei bambini che risultano in posizione di non regolarità vaccinale.
Nella suddetta e- mail venivano portati con piena visibilità gli indirizzi e-mail dei sedici genitori destinatari della comunicazione, anziché procedere con l’inoltro personalizzato”;
VISTA la nota del 1° marzo 2019 (prot. n. XX) con cui la Provincia autonoma di Trento ha fornito riscontro alla richiesta di informazioni dell’Autorità del 28 gennaio 2019 (prot. n. XX) volta a conoscere:
- la titolarità del trattamento oggetto della predetta comunicazione, atteso che la stessa risulta essere stata effettuata dal Circolo di coordinamento n. XX di Rovereto, quale articolazione del Servizio XX della Provincia;
- l’indicazione della figura professionale che ha inviato la predetta e-mail del 30 agosto 2018 e le istruzioni fornite alla stessa (artt. 29 del Regolamento e 2 quaterdecies del Codice);
- le cause che possono aver determinato l’evento comunicato all’Autorità;
- il riscontro all’”invito alla riservatezza” e al “divieto di comunicazione/diffusione dei dati personali altrui erroneamente comunicati” inviato ai destinatari della predetta e-mail e le eventuali osservazioni formulate dagli stessi, nonché le “direttive generali” dirette ai “Circoli di coordinamento finalizzate ad escludere il ripetersi di eventi similari”;
CONSIDERATO quanto dichiarato dal Direttore, dott.ssa XX e il Dirigente del Servizio XX della Provincia autonoma di Trento, dott. XX, nella predetta nota del 1° marzo 2019 e, in particolare, che:
- «la Provincia autonoma di Trento è titolare del trattamento di dati personali finalizzati all’esercizio delle funzioni istituzionali attribuite dall’ordinamento alle scuole per l’infanzia e ha individuato il dirigente del Servizio XX (…) quale preposto al trattamento»;
- con riferimento alle cause di quanto notificato, «si ritiene che l’inavvertenza della dipendente sia stata dettata dall’urgenza di contattare le famiglie dei bambini “non in regola con l’obbligo vaccinale”, al fine di avvertirle, in prossimità dell’avvio dell’anno scolastico»;
- «alle sedici famiglie coinvolte è stata inviata una raccomandata A.R: nella quale sono state informate dell’accaduto e segnalate le scuse dell’Amministrazione, nonché richiamata la necessità di riservatezza e il divieto di comunicare o divulgare i dati di cui sono venute a conoscenza». «Al riguardo non è pervenuta alcuna risposta/osservazione da parte delle famiglie».
VISTO che il 12 marzo 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Provincia autonoma di Trento delle presunte violazioni del Regolamento riscontrate (prot. n. XX) in cui è stato rappresentato che:
- le informazioni oggetto della predetta e-mail, sono qualificabili dati relativi alla salute di minori, poiché tra i soggetti non in regola potrebbero essere ricompresi minori rientranti nei casi di esonero, omissione o differimento connesse a situazioni di morbilità, pregresse o attuali - temporanee o permanenti (art. 4, par. 1, n.15 del Regolamento);
- il trattamento di dati personali sulla salute, ai sensi dell’art. 9, par. 1, del Regolamento è in generale vietato, salvo che si verifichi uno dei casi previsti dal par. 2, dello stesso articolo e nel rispetto dei presupposti di cui all’art. 2-sexies del Codice;
- la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute siano trattate sulla base di un idoneo presupposto giuridico (art. 9 del Regolamento);
- il Regolamento, stabilisce inoltre, che i dati personali, devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento).
- il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a) e c), del Regolamento);
VISTA la nota del 5 aprile 2019 (prot. n. XX), con cui la Provincia autonoma di Trento ha inviato al Garante i propri scritti difensivi in relazione alla violazione notificata, rappresentando che:
- “la e-mail erroneamente trasmessa, (…) riguardava i genitori dei bambini “non in regola con l’obbligo vaccinale”, ossia non vaccinati, o che non hanno completato regolarmente il percorso vaccinale, e non quelli in condizione di “esonero, omissione o differimento”;
- “non si ritiene possano conseguire danni reputazionali, perdite finanziarie, discriminazioni di sorta o altri pregiudizi e rischi significativi per gli interessati coinvolti. Prova ne sia anche l’assenza, a distanza di oltre cinque mesi dall’evento, di rimostranza alcuna” e che “le famiglie non hanno al riguardo sollevato rilievi o osservazioni di alcun genere”;
- si è trattato di un “primo e isolato evento” “a formazione istantanea e che, quindi, non si è protratto nel tempo” non dovuto a “comportamenti dolosi da parte della dipendente”, ma a “disattenzione” e, nel manifestare la massima cooperazione con l’Autorità, ha confidato “in una mancata applicazione di sanzione alcuna e, in via subordinata, nell’emanazione di un ammonimento”;
CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;
RILEVATO che le argomentazioni addotte dalla Provincia autonoma di Trento, volte a dimostrare l’infondatezza di quanto contestato, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e non risultano, quindi, idonee a determinare l’archiviazione del procedimento, in quanto:
- le informazioni oggetto della comunicazione inviata dal Circolo di coordinamento erano volte a informare le “famiglie dei bambini “non in regola con l’obbligo vaccinale”, che non sar(à)(ebbe) (stata) consentita l’ammissione alla frequenza delle scuole dell’infanzia e dei servizi educativi per la prima infanzia dei bambini (…) in posizione di non regolarità vaccinale”. Come già indicato dal Garante, tali informazioni devono essere qualificate idonee a rivelare lo stato di salute dei minori, poiché tra i soggetti non in regola non è possibile escludere che siano ricompresi minori rientranti nei casi di esonero, omissione o differimento connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti che non siano stati -all’epoca dei fatti- ancora oggetto di comunicazione all’istituto scolastico (cfr. Nota del Presidente Soro del 20.10.2017, doc. web n. 7055771);
- l’invio di una comunicazione mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari (16), i cui indirizzi sono stati inseriti nel campo copia conoscenza (c/c), ha, di fatto, senza giustificato motivo e in assenza di qualsivoglia presupposto normativo, rivelato reciprocamente, alle famiglie coinvolte, lo stato di inadempimento dei minori rispetto agli obblighi vaccinali; tale comunicazione di dati sulla salute si sarebbe potuta evitare inserendo gli indirizzi dei destinatari nel campo denominato “copia conoscenza nascosta” (ccn);
RILEVATO quindi che, in base alle risultanze dell’attività istruttoria, è emerso che la Provincia autonoma di Trento ha effettuato, mediante l’invio di una e-mail, con allegata la nota del Dipartimento XX (prot. n. XX), a sedici indirizzi di posta elettronica in chiaro, afferenti alle famiglie dei minori non in regola con l’assolvimento degli obblighi vaccinali, in assenza di idoneo presupposto giuridico (v. anche art. 2-sexies del Codice) e in violazione dei principi di base del trattamento (artt. 5 e 9 del Regolamento);
CONSIDERATO che, sulla base degli atti, l’episodio risulta essere stato isolato e determinato da un comportamento colposo, attribuibile al comportamento di un operatore in servizio presso il titolare del trattamento;
CONSIDERATO inoltre che l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto gli interessati e che ha adottato molteplici atti organizzativi e iniziative formative volte a sensibilizzare le persone autorizzate al trattamento al rispetto della disciplina di protezione dati personali;
RITENUTO, pertanto che, relativamente al caso in esame occorra ammonire il titolare del trattamento affinché provveda a conformare i trattamenti di dati personali che comportano l’invio di comunicazioni a mezzo posta elettronica alle disposizioni e ai principi in materia di protezione dei dati personali sopra indicati (58, par. 2, lett. b, del Regolamento) e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti da parte dell’Autorità;
RITENUTO che ricorrano i presupposti per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
TUTTO CIÒ PREMESSO
ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, dichiara illecito il trattamento effettuato dalla Provincia autonoma di Trento e descritto nei termini di cui in motivazione, consistente nella violazione degli artt. 5 e 9 del Regolamento effettuata mediante l’invio di una e-mail con allegata la nota del Dipartimento XX (prot. n. XX) a sedici indirizzi di posta elettronica in chiaro afferenti alle famiglie dei minori non in regola con l’assolvimento degli obblighi vaccinali ed ammonisce la Provincia autonoma di Trento, quale titolare del trattamento in questione, sulla necessità di conformare i trattamenti di dati personali che comportano l’invio di comunicazioni a mezzo posta elettronica alle disposizioni e ai principi in materia di protezione dei dati personali indicati in motivazione.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove il titolare del trattamento risiede o ha sede, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Fonte: Garante per la Protezione dei Dati Personali