A dir poco con avventatezza, se non addirittura in maniera irresponsabile, un Liceo di Napoli pubblicava sul proprio sito web una vecchia graduatoria d’istituto relativa a personale docente contenente, oltre al proprio recapito telefonico di casa, al numero di cellulare e al codice fiscale della moglie, informazioni personali relative a circa 1000 docenti (codice fiscale, recapiti telefonici, indirizzi di residenza e indirizzi e-mail). Ad un semplice controllo sul sito, oltre a verificare la circostanza, emergeva come, tra i dati resi pubblici, fossero contenute informazioni ben oltre le finalità della pubblicazione, tra cui un riferimento che permetteva di individuare le persone appartenenti alle categorie degli invalidi e mutilati civili, nonché il numero dei figli.

A fronte della segnalazione, il file veniva eliminato dal web. Ciò nonostante il Garante avviava la procedura di infrazione, contestando una violazione dei principi di liceità, correttezza e trasparenza del GDPR, nonché quello di minimizzazione. Il Liceo si giustificava, sostenendo un mero errore materiale con scambio di file, avendo pubblicato quello completo e non quello opportunamente depurato.

Nella sua decisione, come in altre recentemente emesse, il Garante ha ribadito come anche se la condotta incriminata fosse iniziata prima della data di piena entrata in vigore del Regolamento, sotto il profilo temporale trova applicazione il principio di legalità secondo il quale "Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati", il cosiddetto principio del tempus regit actum. E poiché il momento da prenderre in considerazione nella fattispecie è quello della cessazione della condotta contestata, ossia in epoca successiva al 25 Maggio 2018 le sanzioni da applicare sono quelle di cui al GDPR.

Appurato quindi che il trattamento di dati in ambito pubblico è lecito solo se necessario "per adempiere un obbligo legale al quale è soggetto il titolare del trattamento" oppure "per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento", il Garante ha rilevato l’insussistenza di elementi e che giustificassero il comportamento della scuola e ribadito che in nessun caso è consentita la diffusione di dati relativi alla salute. Inoltre, richiamando un precedente provvedimento del 2014, con riferimento alla pubblicità degli esiti delle prove concorsuali e delle graduatorie ha rimarcato che "devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati".

Sono quindi esclusi da ogni forma di pubblicazione dati concernenti i recapiti degli interessati. Nel caso in esame erano pubblicati tutti questi dati: utenze telefoniche, indirizzo di residenza e posta elettronica, codice fiscale, indicatore Isee, numero di figli disabili, risultati di test psicoattitudinali ei titoli di studio, oltre a riferimenti a condizioni di invalidità, disabilità o handicap fisici e/o psichici". A conclusione della vicenda, il Garante, tenendo conto delle giustificazioni date che si trattasse di errore materiale, nonché della circostanza di avere rimosso il documento, ha erogato una sanzione di “soli” quattromila euro. Decisamente una condanna a buon mercato.