06.5921743
consulenza@legislazionetecnica.it
Garante Privacy

Errore di omonimia e violazione del GDPR: Il Garante Privacy ammonisce un istituto scolastico

Con provvedimento del 25 febbraio u.s. l’Autorità ha ammonito un istituto scolastico per trattamento dei dati personali effettuato in violazione dei principi di cui al Regolamento UE 2016/679 (GDPR).

La fattispecie è occasionata da una segnalazione con cui si lamentava la ricezione di più convocazioni ad una riunione di un GLO (Gruppo di lavoro per l’inclusione scolastica) contenenti il nominativo dell’alunno, pur non essendo il segnalante coinvolto nelle attività ed anzi estraneo sia al gruppo di lavoro sia al personale scolastico.

Contesto della violazione ed esclusione del Data Breach

Nell’ambito delle proprie verifica, il Garante ha osservato che la violazione si riferisce alla gestione impropria dei dati personali, posto che le convocazioni al GLO ricevute dal segnalante erano in realtà destinate ad altra persona e posto che l’errore commesso dall’istituto scolastico era collegabile ad un’omonimia tra il membro effettivo del GLO e il segnalante. Tale errore, conclude il Garante, di fatto sarebbe stato evitabile mediante un’adeguata gestione dei dati personali.

Aggiunge il Garante che, nel caso di specie, non si configura un classico data breach connotabile come “incidente”, ma piuttosto un “puro errore” nel trattamento dei dati qualificabile come semplice violazione dei principi fondamentali del GDPR.

In particolare, l’Autorità osserva che l’attività attuata dall’istituto scolastico ha concretizzato:

  • la violazione del principio di liceità, correttezza e trasparenza dei dati sancito dall’art. 5, par. 1, lett a) del GDPR. Il segnalante, infatti, ha ricevuto una comunicazione che non spettava e non era stato informato in modo adeguato circa l’uso dei suoi dati, prova ne è che il suo indirizzo e-mail fosse stato trattato per inviare comunicazioni relative a un gruppo di lavoro cui non apparteneva;
  • la violazione del principio di esattezza dei dati sancito dall’art. 5, par. 1, lett. d) del GDPR, che stabilisce che i dati personali trattati devono essere accurati e aggiornati. L’errore di invio delle convocazioni, derivante da una omonimia, rappresenta una negligenza nella gestione delle informazioni, in quanto non sono stati adottati adeguati controlli per verificare l’identità e i dati corretti delle persone coinvolte nel gruppo di lavoro prima dell’invio delle comunicazioni;
  • la violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del GDPR), che stabilisce che i dati personali devono essere adeguati, pertinenti e limitati al raggiungimento della finalità per cui sono trattati. L’invio della convocazione a una persona non coinvolta nel GLO, per errore, ha comportato il trattamento di dati non pertinenti.

Quale conseguenza, il Garante evidenzia che la violazione non implica una perdita, un furto o una compromissione dei dati stessi, ma si riferisce a un trattamento negligente e non conforme alle norme; non si è trattato di una comunicazione non autorizzata di informazioni sensibili, ma di un’erronea inclusione in una lista di destinatari.

Nessun dubbio, naturalmente, sulla circostanza che il dato circolato (identificazione dell’alunno) avesse natura sensibile considerato che il GLO è un gruppo previsto dalla normativa di settore in materia di disabilità e pertanto rappresenta di per sé un’informazione relativa allo stato di salute dell’alunno per il quale viene convocato.  Tale tipologia di convocazioni, infatti, possono essere legittimamente comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. art. 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

Valutazione della sanzione

In considerazione dello svolgimento dei fatti, il Garante ha concluso che l’Istituto inviando le convocazioni delle riunioni del GLO, contenenti l’indicazione del nominativo dell’alunno per il quale era stato organizzato, ha dato luogo a una comunicazione di dati personali anche relativi alla salute, in violazione degli artt. 5, 6, 9 del Regolamento UE 2016/679 e 2-ter e 2 sexies D.lgs. 196/2003.

L’Autorità ha valutato la condotta dell’Istituto come violazione minore, e ha comminato un’ammonizione ai sensi dell’art. 58, par. 2, lett. b) e 83, par. 2 del Regolamento UE 2016/679 alla luce delle seguenti circostanze attenuanti:

  • indicazione mediante le sole iniziali di nome e cognome e della classe e sezione frequentata degli alunni con disabilità e mancanza di riferimento a codici sanitari in grado di identificare la tipologia di disabilità degli studenti;
  • presenza in calce ad ogni corrispondenza in uscita della dicitura: “Le informazioni contenute nella presente comunicazione e i relativi eventuali allegati possono essere riservate e sono, comunque, destinate esclusivamente alle persone o alle Società sopraindicate. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita ai sensi GDPR (Regolamento UE 679/16). Se questo messaggio vi è stato inviato per errore, vi preghiamo di distruggerlo e di informarci immediatamente per telefono allo (…) o per e- mail: (…)”;
  • l’istituto è un soggetto di ridotte dimensioni e versa in difficili condizioni in quanto può disporre di un ristretto numero di personale di segreteria in organico a fronte di procedure riguardanti la gestione degli alunni disabili sempre più complesse e in aumento;
  • l’evento si è verificato per un mero errore materiale al momento dell’invio delle e-mail;
  • il grado di collaborazione offerto all’Autorità nel corso dell’istruttoria e l’assenza di precedenti violazioni pertinenti in capo all’Istituto.

Il caso è interessante poiché spesso ricorrente nella pratica: l’errore di omonimia, seppur involontario, dimostra come una scarsa attenzione nella gestione dei contatti possa compromettere la privacy degli individui; pertanto, è essenziale che nella gestione di dati personali vengano implementate procedure, anche manuali, che consentono un doppio controllo dei dati anche negli invii di posta elettronica per la convocazione di riunioni.

Allegati

Provvedimento Garante Privacy n. 10118264 del 27 febbraio 2025

Back To Top