Garante per la protezione
    dei dati personali


Diffusione sul sito web istituzionaledi una scuola di dati personali relativi agli studenti

PROVVEDIMENTO DEL 6 DICEMBRE 2012

Registro dei provvedimenti
n. 383 del 6 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil "Codice in materia di protezione dei dati personali", d.lgs. 30giugno 2003, n. 196, (di seguito Codice);

VISTAla nota con la quale la sig.ra Reggio d'Aci ha rappresentato una presuntaviolazione della disciplina rilevante in materia di protezione dei datipersonali da parte del Liceo Statale Farnesina di Roma (di seguito Liceo), cheavrebbe diffuso sul proprio sito Internet istituzionale, alla sezione"classi prime 2012-2013", l'elenco degli studenti distinti perclasse, evidenziando "con un carattere più chiaro" i nomi ecognomi di quelli ripetenti (nota del 18 settembre 2012);

CONSIDERATOche l'Ufficio ha richiesto chiarimenti al Liceo in relazione alla predettasegnalazione, con particolare riferimento ai presupposti normativi cheavrebbero legittimato la diffusione dei predetti dati personali (nota del 1°ottobre 2012, prot. 24247/82497);

VISTE,in particolare, le dichiarazioni rese dal Dirigente Scolastico del Liceo -aisensi dell'art. 168 del Codice- in base alle quali "la pubblicazionedegli elenchi degli iscritti alle prime classi di questo Liceo (Š) rientranella finalità di trasparenza e pubblicità amministrative, atte ad indicareufficialmente l'elenco degli studenti iscritti, la consistenza numerica delleclassi e la divulgazione precoce degli inserimenti, anche in applicazione degliOO.CC. di questo Liceo che specificano i criteri di composizione delle classi,al fine di snellire le procedure necessarie all'avvio dell'anno scolastico edagevolarne il rispetto (acquisto libri di testo, conoscenza sede di allocazionedelle classi, eventuale verifica di richiesta di desiderata ecc.), consideratoil numero dei destinatari, l'onerosità, la tempistica e la possibileinefficienza di una comunicazione personale" (nota del 16 ottobre2012, prot. n. 6272);

VISTE,inoltre, le dichiarazioni rese dal medesimo Dirigente Scolastico in relazionealle modalità di redazione della lista dei predetti dati personali, con lequali è stato precisato, in primo luogo, che "i nominativi deglistudenti ripetenti all'interno delle nuove classi prime non sono «beneevidenziati» né rappresentati «in colore diverso»" ma che vi sarebbe statoun assembramento di dati provenienti da diversi files che potrebbe averecausato la presenza di alcuni nominativi riportati con caratteri differenti ed,in secondo luogo, che in ogni caso "la lista è stata prontamentecorretta";

CONSIDERATO,inoltre, che l'Ufficio, accedendo al sito Internet istituzionale del Liceo,alla paginahttp://www.liceofarnesina.it/index.php?option=com_content&view=article&id=539:classi-prime-2012-13&catid=38:news&Itemid=251,ha potuto verificare che i dati personali degli studenti frequentanti lediverse classi del Liceo sono ancora pubblicati sul relativo sito Internet,ancorché senza alcun elemento che consenta di individuare gli studentiripetenti;

CONSIDERATOche la diffusione da parte di un soggetto pubblico è ammessa unicamente quandoprevista da una norma di legge o di regolamento (art. 19, comma 3, del Codice);

EVIDENZIATOche il Garante con le "Linee guida in materia di trattamento di datipersonali contenuti anche in atti e documenti amministrativi, effettuato dasoggetti pubblici per finalità di pubblicazione e diffusione sul web"(adottate con provvedimento generale del 2 marzo 2011) ha fornito un quadro unitario di misure eaccorgimenti che le pubbliche amministrazioni devono adottare nei casi in cuieffettuano, in attuazione delle disposizioni normative vigenti, attività dicomunicazione o diffusione di dati personali sui propri siti istituzionali perfinalità di trasparenza dell'attività amministrativa, di pubblicità degli attio di consultazione da parte di singoli soggetti (cfr. punto 1 delle citatelinee guida);

EVIDENZIATO,altresì, che con le predette Linee guida il Garante, dopo avere ribadito, inrelazione alla diffusione, che le pubbliche amministrazioni, nel mettere adisposizione sui propri siti istituzionali dati personali, contenuti anche inatti e documenti amministrativi, devono preventivamente verificare che unanorma di legge o di regolamento preveda tale operazione di trattamento (cfr.punto 2.1. delle citate linee guida), ha fornito specifiche indicazioni inrelazione alla diffusione effettuata, in particolare, per finalità ditrasparenza ovvero di pubblicità amministrativa. Sul punto, l'Autorità haprecisato che si tratta di finalità differenti, rispetto alle quali, quindi, lepubbliche amministrazioni devono effettuare specifiche e differenziatevalutazioni sia in relazione al rispetto dei principi di necessità eproporzionalità del trattamento dei dati personali (artt. 3 e 11 del Codice),sia sugli strumenti e sui mezzi utilizzati per assicurarne la conoscibilità,affinché siano correttamente rispettati i diritti degli interessati (cfr. punto4 delle citate linee guida);

RILEVATA,pertanto, l'illiceità della diffusione di dati personali in esame, in quantoeffettuata dal Liceo in assenza di una norma di legge o di regolamento che laammetta (art. 19, comma 3, del Codice);

VISTOche il Garante ha il compito di vietare ai titolari, anche d'ufficio, iltrattamento illecito di dati personali (artt. 143, comma 1, lett. c) e 154,comma 1, lett. d), del Codice);

RITENUTO,pertanto, necessario vietare al Liceo, ai sensi dei citati artt. 143, comma 1,lett. c) e 154, comma 1, lett. d), del Codice, di diffondere ulteriormente inominativi dei propri studenti distinti per classe sul proprio sito Internetistituzionale, in assenza di una norma di legge o di regolamento che ammettatale operazione di trattamento;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento è punito con la reclusione da tre mesi e dueanni e che ai sensi dell'art. 162, comma 2-ter del Codice, in caso diinosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE

ritenutoillecito il trattamento dei dati effettuato dal Liceo Statale Farnesina di Romanei termini indicati in premessa, ai sensi degli artt. 143, comma 1, lett. c) e154, comma 1, lett. d), del Codice vieta al Liceo Statale Farnesina di Roma didiffondere ulteriormente i nominativi dei propri studenti distinti per classesul proprio sito Internet istituzionale, in assenza di una norma di legge odiregolamento che ammetta tale operazione di trattamento.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011 avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 6 dicembre 2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia