Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l’assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l’ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022).
Il fatto ha riguardato la pubblicazione sul portale del liceo di una circolare riguardante le ferie estive dei collaboratori scolastici con allegato, però, un prospetto non limitato alle ferie, ma che riportava, in corrispondenza del nominativo del personale, anche le assenze seguite dall’indicazione del numero “104”. Un primo commento riguarda la natura del dato sanitario.
Per essere ritenuto tale (dato sanitario) non è necessario esplicitare una patologia e tanto meno attribuirla a una persona definita. Nonostante l’articolo 9 del Regolamento Ue sulla privacy n. 2016/679 definisca dati sanitari i “dati relativi alla salute della persona”, l’ingiunzione in commento estende la qualifica anche alle situazioni in cui non è riferita alcuna patologia: è stato ritenuto sufficiente il mero riferimento al numero di una legge che tratta di persone disabili. Inoltre, l’estensione deriva anche dal fatto la persona disabile potrebbe nemmeno essere compresa nell’elenco pubblicato, considerato che il dipendente scolastico può fruire dei permessi per assistere un familiare. In sostanza la sola numerazione della legge diventa di per sé un dato sanitario. Per quanto l’estensione desti perplessità almeno ai fini sanzionatori, visto che le norme sanzionatorie vanno interpretate restrittivamente, le scuole sono avvisate.
In secondo luogo l’ingiunzione insegna che l’errore non scusa: nel caso specifico anziché pubblicare il solo piano ferie è stato diffuso il prospetto di uso interno all’ufficio, relativo a tutte le assenze estive del personale Ata. Infine, non fanno evitare la punizione nemmeno l’accesso riservato al documento e il numero basso di chi ha effettivamente aperto la pagina (nel caso specifico solo otto). Quel che conta è che potevano guardare quel documento anche dipendenti non addetti a trattare quei dati.
Fonte: Italia Oggi del 25 ottobre 2022 – di Antonio Ciccia Messina
