Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Dato personale già noto: perché la diffusione può essere comunque illecita secondo il Garante privacy

Il Garante per la Protezione dei dati personali, con un importante provvedimento di fine Gennaio, in calce richiamato, ha ribadito con estrema chiarezza un principio fondamentale per la gestione dei dati personali, a mente del quale la notorietà di un dato personale non agisce da scriminante per una eventuale illecita circolazione del dato personale stesso.

Questo principio assume particolare rilevanza nell’ambito della normativa europea sulla protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR), che disciplina le modalità con cui i dati personali devono essere trattati, comunicati e diffusi. Anche quando un’informazione è già conosciuta da più soggetti, la sua comunicazione formale attraverso canali istituzionali può costituire un trattamento di dati personali soggetto alle regole previste dalla normativa.

Il provvedimento del Garante rappresenta quindi un importante richiamo per enti pubblici, istituzioni scolastiche, aziende e organizzazioni che trattano dati personali, ricordando che la gestione delle informazioni deve sempre rispettare i principi di liceità, correttezza e minimizzazione del trattamento.

Il caso concreto: comunicazione del PEI a tutta la classe

Veniamo al caso di specie, che fa per noi da caso di scuola (in tutti i sensi).

In fatto: per il tramite dell’errato intervento di una insegnante, un istituto scolastico rendeva noto, mediante comunicazione/evento scritto inviato agli indirizzi mail di tutta la classe, il Piano educativo individualizzato (PEI) rivolto ad un singolo alunno disabile della classe; detto Piano educativo individualizzato, che di per sé veicola informazioni strettamente correlate con lo stato di salute del destinatario delle attenzioni del Piano stesso, è previsto che possa essere condiviso solo con una cerchia di soggetti specificamente individuati dalla normativa di settore.

Il Piano educativo individualizzato è infatti uno strumento previsto dalla normativa scolastica italiana per garantire il diritto allo studio degli alunni con disabilità. Il documento contiene informazioni sensibili relative alla situazione sanitaria, educativa e alle modalità di supporto didattico previste per lo studente.

Proprio per la natura estremamente delicata delle informazioni contenute nel PEI, la normativa stabilisce che tale documento possa essere condiviso esclusivamente con specifiche figure coinvolte nel percorso educativo dello studente, come docenti, personale scolastico autorizzato e famiglia.

I genitori dell’alunno portatore di disabilità muovevano reclamo per l’accaduto.

La difesa dell’istituto scolastico

L’istituto scolastico si difendeva adducendo al fatto che l’invio sarebbe stato il frutto di un errore isolato nella selezione dei destinatari, sebbene la condizione di disabilità dello studente fosse circostanza nota a tutti all’interno della classe (“l’allievo in questione si avvale del docente di sostegno pertanto era a tutti noto (insegnanti, genitori e alunni) la sua condizione di disabilità”).

In sostanza, la scuola sosteneva che l’informazione relativa alla disabilità dell’alunno fosse già di fatto conosciuta dalla comunità scolastica e che pertanto la comunicazione non avrebbe determinato una reale divulgazione di dati nuovi.

Tale linea difensiva si basa su un equivoco piuttosto diffuso nella gestione dei dati personali: l’idea che un’informazione già conosciuta da più persone possa essere liberamente comunicata o diffusa.

La decisione del Garante privacy

In diritto: il Garante per la Protezione dei dati personali ha rigettato le difese dell’istituto scolastico, rendendo espresso una volta ancora il principio secondo cui occorre distinguere tra l’effettiva conoscenza di un elemento, rispetto alla condotta di formale comunicazione o diffusione dello stesso (evento, quest’ultimo, capace di integrare una illecita condotta, in violazione dei principi regolanti la materia della protezione dei dati personali).

In altre parole, il fatto che una determinata informazione sia già conosciuta informalmente da alcune persone non autorizza automaticamente un soggetto a diffonderla attraverso canali ufficiali o istituzionali.

La comunicazione formale di dati personali costituisce infatti un vero e proprio trattamento di dati ai sensi dell’articolo 4 del GDPR, che deve essere giustificato da una base giuridica e rispettare i principi di necessità, proporzionalità e minimizzazione.

I dati relativi alla salute: una categoria particolarmente protetta

Più empiricamente: le informazioni relative al percorso educativo individuale dell’alunno, che veicolano necessariamente dati personali relativi allo stato di salute dell’interessato – possono essere comunicate solo alle figure prestabilite dalle norme di settore.

I dati relativi alla salute rientrano infatti tra le cosiddette “categorie particolari di dati personali” disciplinate dall’articolo 9 del GDPR. Il trattamento di tali dati è soggetto a particolari cautele e può avvenire solo in presenza di specifiche condizioni previste dalla legge.

Nel contesto scolastico, tali informazioni devono essere trattate esclusivamente da soggetti autorizzati e solo per finalità strettamente connesse alla gestione del percorso educativo e di inclusione dello studente.

Qualsiasi comunicazione non necessaria o non autorizzata può quindi configurare una violazione della normativa sulla protezione dei dati personali.

Le implicazioni per scuole, enti pubblici e organizzazioni

Il caso evidenziato dal provvedimento del Garante offre uno spunto importante per tutte le organizzazioni che trattano dati personali, non solo per il settore scolastico.

In particolare emergono alcune indicazioni operative fondamentali:

  • la conoscenza informale di un dato non legittima la sua diffusione formale
  • i dati relativi alla salute richiedono sempre un livello elevato di protezione
  • le comunicazioni collettive via email devono essere gestite con particolare attenzione
  • gli errori nella selezione dei destinatari possono configurare violazioni della normativa privacy

Per questo motivo è fondamentale che enti e aziende adottino adeguate procedure interne per la gestione delle comunicazioni e prevedano specifiche attività di formazione per il personale.

Il principio ribadito dal Garante

Il provvedimento del Garante ribadisce dunque un principio molto chiaro: la notorietà di un dato personale non rende automaticamente lecita la sua diffusione.

La protezione dei dati personali non riguarda soltanto il contenuto delle informazioni, ma anche le modalità con cui queste vengono comunicate e i soggetti a cui vengono trasmesse.

Anche quando un’informazione è già conosciuta da più persone, la sua comunicazione ufficiale deve sempre rispettare i limiti e le condizioni previste dalla normativa sulla protezione dei dati personali.