Secondo la normativa vigente, la diffusione di dati personali deve essere giustificata da un obbligo legale o dall’esercizio di un compito di interesse pubblico. Il Regolamento UE sulla protezione dei dati personali (GDPR) stabilisce che il trattamento dei dati personali, soprattutto quelli sensibili come i dati relativi alla salute, deve rispettare il principio di liceità, correttezza e trasparenza.
Per tale ragione è illecita la divulgazione, da parte di una docente di un Liceo, dei dati sensibili relativi alla salute di uno studente che era risultato positivo al Covid-19.
A dirlo è il Garante per la protezione dei dati personali, con Provvedimento n. 403 del 4 luglio 2024.
La vicenda
A seguito del risultato del tampone effettuato presso l’ASL, una docente del Liceo aveva inviato una comunicazione ai compagni di classe e ai genitori informandoli dello stato di positività del ragazzo, allegando il provvedimento emesso dalla ASL. Questo ha dato luogo a una divulgazione non autorizzata di dati personali.
I genitori dello studente hanno pertanto presentato reclamo al Garante.
L’Istituto scolastico, in risposta alla richiesta dell’Autorità, ha riconosciuto la violazione, specificando che la docente coinvolta aveva agito per errore. L’Istituto ha precisato che il protocollo adottato prevedeva l’invio di comunicazioni anonime riguardanti la positività al Covid-19 agli studenti e ai loro genitori, ma in questo caso, a causa di un refuso, sono stati divulgati i dati personali del figlio del reclamante.
L’Istituto ha prontamente avviato un procedimento disciplinare contro la docente e ha giustificato l’errore come un incidente isolato, avvenuto in un contesto di stress dovuto alla pandemia. Ha inoltre sottolineato che la comunicazione non aveva generato imbarazzo o offese per lo studente, e che il contenuto era stato eliminato. Durante l’audizione, l’Istituto ha riferito che non ci sono stati ulteriori effetti negativi per il ragazzo e che si è agito per limitare eventuali conseguenze, invitando i destinatari a cancellare le informazioni ricevute.
Valutazione normativa
Nel caso specifico, la comunicazione inviata dall’Istituto, contenente dati sanitari relativi alla positività al Covid-19 del ragazzo, rientra tra i trattamenti di dati personali relativi alla salute (art. 4, par. 1, n. 15 del Regolamento). Sebbene non si tratti di una diffusione a soggetti esterni alla comunità scolastica, la comunicazione è stata considerata illecita poiché ha reso conoscibili i dati sensibili ad un numero determinabile di persone (i genitori degli altri studenti della classe) senza una base giuridica adeguata.
Decisione finale
L’Autorità ha riconosciuto che, nonostante la violazione, la condotta dell’Istituto ha riguardato un solo caso isolato in un contesto di difficoltà organizzative legate all’emergenza Covid-19. Inoltre, l’Istituto ha collaborato pienamente e ha adottato misure correttive per sensibilizzare il personale sull’importanza della protezione dei dati personali.
Pertanto, tenendo conto delle circostanze attenuanti, come la natura isolata del caso, la mancanza di precedenti violazioni e la collaborazione dell’Istituto, l’Autorità ha deciso di emettere un ammonimento ai sensi dell’art. 58 del Regolamento. Non sono state adottate ulteriori misure correttive, poiché l’Istituto ha già messo in atto azioni preventive per evitare futuri incidenti simili.