Il 6 luglio scorso, il Garante per la protezione dei dati personali ha presentato la Relazione annuale relativa al 2022.
Tra i tanti temi affrontati in materia di privacy, un paragrafo riguarda la pubblicazione e condivisione di dati personali nel registro elettronico delle scuole.
Il Garante ha ribadito che i dati personali dei dipendenti nel contesto lavorativo non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione
delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato.
Nel 2022 l’Autorità ha in particolare adottato due provvedimenti sanzionatori nei confronti di due scuole che avevano consentito l’accesso al registro elettronico e ad altri applicativi a personale non autorizzato nonché, in un caso, la diffusione online dei dati personali in esso contenuti.
Dati afferenti ai permessi per disabilità o maternità
In particolare in un caso era stato reso disponibile nella sezione del registro elettronico riservata ai soli insegnanti, un documento recante l’orario definitivo del personale docente contenente il riferimento alla fruizione dei benefici derivanti dalla Legge 5 febbraio 1992, n. 104 da parte della reclamante e di altri docenti, nonché altre informazioni di dettaglio relative a vicende personali e familiari o legate allo specifico rapporto di lavoro di ciascuno (ed es. trasferimento, part-time, interdizione maternità, l. n. 104 non grave).
Il Garante ha ricordato che il riferimento alla cd. legge 104 consente di ricavare informazioni sullo stato di salute di una persona e che, diversamente, lo stato di gravidanza possa essere considerato dato sulla salute se associata all’informazione relativa all’interdizione dal lavoro delle lavoratrici in stato di gravidanza, sicché tali dati sono stati resi conoscibili anche per i colleghi della reclamante e non, invece, esclusivamente a vantaggio del solo personale di segreteria autorizzato al trattamento di tali informazioni.
In un analogo caso il Garante è intervento in relazione alla pubblicazione, sul sito istituzionale di un istituto scolastico e sul portale utilizzato dall’istituto anche con funzionalità di registro elettronico, di una circolare riguardante le ferie estive dei collaboratori scolastici recante, in allegato, un prospetto che riportava, in corrispondenza del nominativo del reclamante e di altro personale, l’espressa indicazione delle specifiche causali di assenza, compreso il riferimento alla fruizione dei benefici derivanti dalla Legge 5 febbraio 1992, n. 104. L’istituto – per errore di un collaboratore amministrativo – ha consentito la consultazione ai dati personali dei dipendenti nell’area ad accesso riservato del registro elettronico da parte di colleghi non autorizzati dando luogo a una comunicazione di dati personali e la pubblicazione online dei medesimi dati ha inoltre comportato la violazione del generale divieto alla diffusione dei dati relativi alla salute di cui all’art 2-septies, comma 8, del Codice.