Data protection

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Il caso

La madre di un alunno ha proposto reclamo  lamentando che l’Istituto  (omissis) avrebbe “pubblicato su YouTube [… un video] riguardante gli auguri di Natale del plesso dove figurava anche la classe” del figlio della reclamante, senza che quest’ultima avesse fornito alcun consenso affinché il figlio comparisse su una piattaforma digitale, e senza che le fosse “stata fatta firmare alcuna richiesta di autorizzazione in merito alla pubblicazione del video in questione (XX)”.

La Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1 del Regolamento[1]).

A norma del Regolamento il trattamento di dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni elencate nell’art. 6 del Regolamento.

In particolare, il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”[2]

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all’obiettivo” (art. 6, par. 3, del Regolamento[3]).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (art. 5, par. 1, lett. a) del Regolamento).

Il trattamento di dati personali effettuato dall’Istituto.

Dall’accertamento compiuto[4], sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni del Dipartimento, risulta che l’Istituto ha pubblicato, sul canale YouTube della scuola, un video di auguri natalizi nel quale apparivano alcuni ragazzi della XX dell’Istituto, tra cui il figlio della reclamante (art. 4, par. 1, n. 1, del Regolamento).

Come ricordato in precedenza, inoltre, affinché uno specifico trattamento di dati personali possa essere lecitamente effettuato da parte di un soggetto pubblico, tale trattamento deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e deve trovare il proprio fondamento in una disposizione che abbia le caratteristiche di cui all’art. 2-ter, c. 1, del Codice.

In tale ambito l’amministrazione pubblica è tenuta a verificare, anche per i dati comuni, l’esistenza di una norma di legge, o di regolamento o di atti amministrativi generali che legittimino la diffusione dei dati personali degli interessati.

Al riguardo si rappresenta che l’Istituto scolastico non ha indicato alcuna specifica base giuridica idonea a legittimare la diffusione, sul canale YouTube della scuola, delle immagini dei minori ripresi nel video (v. art. 2-ter, comma 3 del Codice).

Per quanto concerne l’asserito consenso (art. 7 del Regolamento) espresso dal figlio della reclamante e dalla reclamante stessa, considerato da codesto Istituto, in buona fede, quale valido fondamento del trattamento in esame – pur non ritenendo applicabile tale requisito di legittimità ai sensi dell’art. 7 del Regolamento quale base giuridica – si manifestano le seguenti osservazioni, anche al fine di valutare la condotta tenuta da codesto Istituto nel suo complesso.

In primo luogo si rappresenta che il consenso, in linea generale, deve essere espresso da un alunno maggiorenne o da un soggetto esercente la responsabilità genitoriale di un alunno minorenne; per tale ragione la convinzione, da parte dell’Istituto che l’alunno avesse compiuto quattordici anni è irrilevante.

Si osserva, altresì, che è inconferente anche il richiamo all’art. 2-quinquies del Codice che riguarda la possibilità, per i soggetti che hanno compiuto quattordici anni, di esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione.

Ancora, in merito alla manifestazione di volontà espressa dalla madre dell’alunno ripreso nel video, si rileva che nella richiamata informativa fornita alla reclamante nel modulo di iscrizione del figlio all’Istituto, nella sezione “Autorizzazione trattamento dell’immagine”, viene espressamente indicato che “il genitore/tutore si impegna a non sollevare eccezioni contro la pubblicazione di eventuali fotografie o riprese audio-video, effettuate esclusivamente nell’esercizio delle funzioni istituzionali. Link istituzionale: […]”. Il trattamento descritto dunque, sembra ricondursi alla pubblicazione eventuale di foto o video sul sito istituzionale dell’Istituto mentre non risulta menzionato il trattamento riguardante la pubblicazione su YouTube che si è verificato nel caso in esame.

Altresì, si osserva che in tale modulo non sembra essere presente un campo/flag attraverso il quale esprimere esplicitamente il consenso al trattamento di immagini e/o video, difformemente da quanto previsto dall’art. 7, par. 2 del Regolamento. Al riguardo, anche le “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”, adottate il 4 maggio 2020, prevedono che “il titolare del trattamento deve evitare ambiguità e garantire che l’azione con cui viene espresso il consenso possa essere distinta da altre azioni” (par. 84) e che “se spetta al genitore prestare il consenso, può essere necessario fornire un insieme di informazioni che consentano agli adulti di prendere una decisione informata” (par. 126).

Alla luce delle considerazioni che precedono, si deve concludere che la pubblicazione, sul canale YouTube della scuola, di un video di auguri natalizi nel quale apparivano alcuni ragazzi della XX dell’Istituto tra cui il figlio della reclamante ha dato luogo ad una diffusione dei dati personali in assenza di un idoneo presupposto di liceità, non rientrando tale trattamento tra le finalità di interesse pubblico attribuite all’Istituto e non sussistendo alcuna altra condizione di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b) del Regolamento e 2-ter, commi 1 e 3, del Codice.

Si prende, comunque, favorevolmente atto dell’adozione, da parte dell’Istituto, di adeguate misure quali la cancellazione del video ritraente gli alunni, dal canale YouTube una volta avviata l’istruttoria.

Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto l’Istituto ha provveduto tempestivamente a rimuovere il video in cui è stato ripreso il figlio della reclamante, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.

Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie[5]

Si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio[6], tenuto conto che:

– con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che diffusione online di dati personali ha riguardato interessati minori di età (cfr. art. 83, par. 2, lett. a), del Regolamento);

– con particolare riguardo al profilo soggettivo della violazione la stessa è avvenuta nell’erroneo convincimento, da parte dell’Istituto di aver acquisito il consenso degli interessati (art. 83, par. 2, lett. b), del Regolamento);

– riguardo alle categorie di dati personali comunicati non sono comprese categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).

Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni si devono considerare, altresì, le seguenti circostanze:

– ha provveduto a cancellare tempestivamente il video riguardante gli alunni una volta venuto a conoscenza del reclamo presentato (art. 83, par. 2, lett. c), del Regolamento);

– non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

– il grado di cooperazione manifestato dal titolare con l’autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);

– l’elevata accessibilità e visibilità dello strumento utilizzato per la descritta diffusione, atteso che il canale YouTube è accessibile anche da chi non conosce e non frequenta l’Istituto e, pertanto, si presta maggiormente al rischio di perdita di controllo dei dati personali degli interessati (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00) per la violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la pubblicazione di un video riguardante gli minori di età sul canale YouTube in assenza di una condizione di liceità.

[1] Articolo 4 Definizioni Ai fini del presente regolamento s’intende per: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)

[2]  Cfr. art. 6, paragrafo 1, lett. c) ed e) e par. 2 e 3 del Regolamento; art. 2-ter, comma 1 del Codice.

[3] Articolo 6 Liceità del trattamento  3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51) a) dal diritto dell’Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

[4] Provvedimento del 13 marzo 2025 – Registro dei provvedimenti n. 134 del 13 marzo 2025

[5] Cfr. artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice.

[6] Cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

lavoro pubblico
settore sanitario

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Conservazione Digitale
Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.
26 Giugno 2025
regolamentazione-ai
Come i titolari del trattamento devono approcciarsi ai sistemi di AI in una logica risk based.
3 Febbraio 2025
settore sanitario
La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025
30 Maggio 2025

Start typing and press Enter to search