L’uso delle sole iniziali non è sufficiente per anonimizzare i dati, soprattutto se accompagnato da altre informazioni di contesto.
A stabilirlo è il Garante per la protezione dei dati personali, che con provvedimento doc. web n. 10097324 ha risposto al reclamo proposto da alcune famiglie di alunni di un Istituto Comprensivo, che aveva inviato il calendario delle riunioni del Gruppo di lavoro operativo per l’inclusione scolastica (GLO) a docenti, genitori, alunni e personale medico-sanitario, indicando le iniziali dei nomi e cognomi degli alunni interessati.
Questo, secondo i reclamanti, avrebbe reso facilmente identificabili i bambini, violando la loro privacy.
La risposta dell’Istituto
L’Istituto ha negato di aver fornito dati identificativi sensibili, sostenendo che le iniziali non permettono l’identificazione certa degli alunni. Ha inoltre affermato che gli elenchi completi degli alunni non sono pubblici e che i genitori delle altre classi non avrebbero avuto modo di risalire all’identità dei bambini.
L’istituto ha poi sostenuto che l’invio delle convocazioni avviene di prassi attraverso piattaforma ARGO che applica tutte le necessarie garanzie per il rispetto del codice della privacy, affermando che la diffusione delle informazioni è avvenuta in un area riservata del registro elettronico, quindi non accessibile a chiunque.
L’Istituto ha inoltre sottolineato che la convocazione dei GLO è un obbligo legale, e che l’invio è avvenuto in un periodo di tempo ristretto per adempiere alle nuove normative. L’istituto ha poi dichiarato che si è trattato di un episodio unico, dovuto a fretta e adempimento degli obblighi di legge.
L’Istituzione scolastica ha anche precisato che la comunicazione è stata inviata a un numero ristretto di persone già a conoscenza delle informazioni o impossibilitate a risalire alle stesse. E ha dichiarato che si sta già operando per adottare misure di pseudonimizzazione, sostituendo i nomi degli studenti con codici.
La posizione dell’Autorità Garante
L’Autorità ha contestato all’Istituto la violazione degli artt. 5, 6 e 9 del Regolamento UE 2016/679 (GDPR) e degli artt. 2-ter e 2-sexies del Codice Privacy.
Ha ritenuto che la convocazione del GLO, anche con le sole iniziali, riveli informazioni sullo stato di salute degli alunni.
L’Autorità ha ribadito che l’uso delle sole iniziali non è sufficiente per anonimizzare i dati, soprattutto se accompagnato da altre informazioni di contesto.
L’Autorità ha evidenziato che la “comunicazione” di dati personali è ammessa solo se prevista da norme di legge.
In conclusione, il Garante ha sanzionato la scuola con il pagamento della somma di euro 1.000,00 in caso di mancata definizione della controversia, entro trenta giorni dalla notifica del provvedimento.
