NEWS

Accesso civico ai dati sull’emergenza sanitaria detenuti da una scuola: necessario rispettare la privacy dei minori

Un caso affrontato dal Garante della Privacy durante la pandemia ha riguardato un comitato, costituito da famiglie, professionisti della scuola e studenti attivi nella società civile, con l’obiettivo unico di rendere piena trasparenza dello stato di diffusione del Covid-19 nelle Scuole. A questo fine inoltrò istanze di accesso civico generalizzato – ai sensi dell’art. 5 comma 2, del d. lgs. n. 33/2013 – a diversi Istituti scolastici per ottenere dati sotto la forma di «“Report Sars-Cov2”.

La trasparenza dello stato di diffusione del Covid-19 nelle Scuole deve comunque rispettare la privacy dei minori

Come noto la normativa prevede che, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (artt. 5, comma 2, d. lgs. n. 33/2013).

L’ art. 5-bis prevede che l’accesso civico debba essere rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a), ed è, comunque «escluso», nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3).

Il Garante, si è espresso sulla sussistenza del limite derivante dalla protezione dei dati personali di cui all’art. 5-bis, comma 2, lett. a), d.lgs. n. 33/2013. Ciò con particolare riferimento ai dati relativi all’emergenza sanitaria detenuti da istituti scolastici (numero settimanale, da inizio della raccolta, diviso per singolo circolo/scuola e singolo plesso: degli alunni positivi in isolamento, in quarantena e sottoposti a tampone; di casi in attesa di esito; di classi in isolamento o quarantena e di classi focolaio).

Al riguardo, è stato osservato che i dati riferiti a persone fisiche, identificate o identificabili, che hanno contratto il virus da Covid-19 rientrano nella definizione di dati sulla salute, i quali sono esclusi dall’accesso in virtù delle eccezioni assolute di cui all’art. 5-bis, comma 3, d.lgs. n. 33/2013. Inoltre, è stato osservato che le informazioni riferite a persone fisiche, identificate o identificabili, che – pur non essendo positive al Covid-19 – erano state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento erano in ogni caso di natura particolarmente delicata, essendo peraltro riferite nel caso in esame a soggetti minorenni.

Peraltro, le informazioni che erano state richieste, anche se prive dell’indicazione del nome e del cognome degli alunni, contenevano dati di dettaglio che, “laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute”, potevano consentire di risalire all’identità dei soggetti coinvolti.

Ciò anche considerando il ristretto ambito di riferimento, la variabilità del numero di casi (che settimanalmente potevano essere anche esigui), il particolare regime di pubblicità dei dati ricevuti tramite accesso civico e il raffronto dei dati richiesti con altre informazioni eventualmente in possesso di terzi (provv. 23 aprile 2021, n. 157, doc. web n. 9582723).

In conclusione è evidente dal caso esaminato che l’accesso civico generalizzato pur rappresentando uno strumento azionabile da chiunque deve sottostare alle rigide regole di data Protection e ciò in particolare quando si ha a che fare con dati sullo stato di salute e di minori.

Note Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Costa una sanzione da oltre mezzo milione di euro all'azienda che aveva nominato il DPO in conflitto d'interessi
Next Il coinvolgimento del DPO nella gestione della sicurezza dei trattamenti di dati personali

Privacy Day Forum 2024: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
I agree with the Privacy e Termini di Utilizzo