Attenzione ai dati sensibili che si comunicano via email
Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione amministrativa di 20.000 euro a una cooperativa sociale operante nel settore dei servizi educativi per l'inclusione scolastica, per aver comunicato illecitamente dati personali relativi alla salute di alunni con disabilità delle scuole dell'infanzia.
La vicenda trae origine da un reclamo presentato all'Autorità, nel quale si denunciava che la cooperativa, incaricata della gestione di servizi educativi per conto di un Comune, aveva inviato via email un file Excel contenente non solo le informazioni relative a uno sciopero del personale, ma anche dati sensibili di numerosi bambini disabili, compresi nominativi, tipologie di disabilità, specifiche patologie, codici di classificazione delle disabilità e certificazioni possedute dagli allievi.
L'intervento sanzionatorio si inquadra nel rigoroso sistema di tutela previsto dal Regolamento generale sulla protezione dei dati (GDPR), che all'articolo 28 disciplina gli obblighi del responsabile del trattamento, e dall'articolo 32 che impone l'adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio.
Nel caso di specie, la cooperativa operava quale responsabile del trattamento per conto del Comune titolare, in base a un contratto che prevedeva specifiche istruzioni per il trattamento dei dati personali. Come chiarito dalla giurisprudenza di legittimità, "la salute di un minore costituisce dato personale e sensibile e come tale tutelabile, sia in relazione al minore stesso sia in relazione ad altre persone legate a quest'ultimo da vincoli di comunanza di vita familiare".
L'istruttoria ha evidenziato che, in occasione di uno sciopero generale, la referente della cooperativa aveva inviato al Comune e ai responsabili delle Unità territoriali una comunicazione via email contenente sei file Excel, uno per ogni quartiere cittadino. Alcuni di questi documenti riportavano, oltre alle informazioni sui servizi non garantiti per effetto dello sciopero, anche dati personali relativi alla salute dei bambini iscritti alle scuole dell'infanzia, compresi nominativi, date di nascita, cittadinanza, tipologie di disabilità, patologie specifiche, codici ICD-10 e annotazioni varie.
Il Garante ha rilevato che tali informazioni erano "ultronee rispetto alle finalità che intendeva perseguire con l'invio", configurando una violazione degli articoli 28, paragrafo 3 e 32, paragrafo 1 del Regolamento. La cooperativa non aveva utilizzato "la perizia necessaria ad evitare la messa a disposizione di tali informazioni", discostandosi dalle istruzioni fornite dal titolare del trattamento.
L'Autorità ha posto particolare enfasi sulla circostanza che i soggetti coinvolti fossero minori, categoria che secondo il considerando 38 del Regolamento merita "una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate". La giurisprudenza ha costantemente affermato che "l'illecito trattamento di dati sensibili relativi allo stato di salute di un minore configura violazione delle norme sulla privacy", con particolare gravità quando riguarda condizioni di disabilità.
Nella quantificazione della sanzione, il Garante ha applicato i criteri previsti dall'articolo 83, paragrafo 2 del Regolamento, valutando sia elementi aggravanti che attenuanti. Tra i primi, la natura particolarmente sensibile dei dati coinvolti (categorie particolari relative a soggetti minori vulnerabili) e l'elevato numero di interessati. Tra i secondi, il carattere meramente colposo della violazione, l'assenza di precedenti, la collaborazione con l'Autorità e l'adozione di misure correttive, incluso il risarcimento spontaneo a una famiglia interessata.
A seguito della segnalazione, la cooperativa ha collaborato con il Comune per implementare un sistema di pseudonimizzazione dei dati, sostituendo i nominativi degli alunni con codici alfanumerici. È stato inoltre elaborato un "Piano di implementazione delle misure Privacy" con sessioni formative per tutto il personale interessato, mentre nei confronti dell'operatrice responsabile è stato avviato un procedimento disciplinare.
Il provvedimento assume particolare rilevanza per tutti gli operatori del settore educativo e sociale che trattano dati sensibili di minori.
La decisione sottolinea l'importanza di adottare misure tecniche e organizzative adeguate, come la pseudonimizzazione prevista dall'articolo 4, punto 5 del Regolamento, e di garantire una formazione continua del personale sui principi di protezione dei dati. Il responsabile del trattamento deve infatti, secondo l'articolo 32, "mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio".
Il caso evidenzia inoltre come l'emergenza o l'urgenza operativa non possano giustificare il mancato rispetto delle norme sulla privacy, richiedendo invece un approccio preventivo e sistematico alla protezione dei dati personali, particolarmente quando coinvolgono soggetti vulnerabili come i minori con disabilità.