Con un recente provvedimento il Garante per la protezione dei dati personali ha sanzionato un istituto scolastico a seguito di un reclamo ricevuto da uno studente.
Detto studente, destinatario di contestazioni disciplinari da parte dell’istituto per dichiarazioni pubblicamente rese in una assemblea tenutasi online e organizzata da un’associazione studentesca, contestava la liceità dei trattamenti di dati effettuati per giungere alla contestazione. In particolare detta contestazione aveva fondamento sulla trascrizione di un audiovideo rinvenuto presso l’istituto effettuata da un perito fonico iscritto all’Albo dei Periti presso il Tribunale di Roma.
Tra le altre, per quanto di interesse nella presente analisi, l’istituto sosteneva che il “ruolo privacy” il perito fonico non fosse quello di Responsabile del trattamento (mancando un atto di nomina formale ai sensi dell’art. 28 del GDPR), ma di averlo considerato “istruito ed autorizzato ai sensi dell’art. 29 GDPR”.
Il Garante, sul merito di tali riscontri, riteneva invece che, contrariamente a quanto rappresentato dalla parte resistente, non ricorrevano i presupposti per considerare il professionista in questione, soggetto autorizzato ai sensi dell’art. 29 del Regolamento, dovendosi ritenere che il riferimento all’agire “sotto l’autorità diretta del titolare o del responsabile” e l’essere “istruito” in merito all’accesso ai dati, si riferisca a persone appartenenti alla struttura giuridica e organizzativa del titolare o del responsabile come peraltro precisato dal Comitato europeo per la protezione dei dati personali (cfr. “Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati personali, spec. pp. 31-32, par. 88, 89 ove espressamente si fa riferimento a “un dipendente o una persona che occupi una posizione molto simile a quella di un dipendente ad esempio il personale di un’agenzia di lavoro interinale”).
Per quanto concerne la mancata nomina del perito fonico quale Responsabile del trattamento, il Garante sottolineava inoltre il rilievo che assume la precisa identificazione dei soggetti che, a diverso titolo, possono trattare i dati personali e la chiara distinzione delle rispettive attribuzioni, in particolare quella tra Titolare e Responsabile del trattamento, il cui rapporto va regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al Titolare di impartire istruzioni al Responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare: da cui discende la legittimazione del Responsabile del trattamento a trattare i dati degli interessati “soltanto su istruzione documentata del Titolare” (art. 28, par. 3, lett. a) GDPR).
Alla luce di quanto nel citato provvedimento pare opportuno procedere sempre con la massima attenzione nel valutare i casi più particolari e considerare non solo la posizione resa nel presente procedimento, ma anche la posizione sullo stesso tema in altri interventi (ad esempio la previsione del ruolo di “autorizzato” per il membro dell’Organismo di Vigilanza ex D.lgs 231/2001.