Con provvedimento del 9 gennaio 2020, il Garante per la protezione dei dati personale ha dichiarato illecito il trattamento dei dati effettuati da un’amministrazione pubblica in violazione degli artt. 5 e 9 del Regolamento UE 2016/279.
L’Amministrazione aveva, in particolare, inviato un’e-mail, con gli indirizzi in chiaro, a sedici genitori di bambini non in regola con l’obbligo di vaccinazione.
Trattandosi di informazioni qualificabili come “dati relativi alla salute dei minori”, il trattamento avrebbe dovuto essere effettuato sulla base di un idoneo presupposto giuridico, rispettando i principi di liceità, correttezza e trasparenza nonché di minimizzazione rispetto alle finalità dello stesso trattamento.
L’e-mail andava pertanto trasmessa a ciascun genitore separatamente, in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.
Il Garante ha quindi “ammonito” l’Amministrazione a conformare l’invio di comunicazioni alle disposizioni e ai principi che tutelano i dati personali.
L’Autorità non ha adottato ulteriori provvedimenti tenuto conto che: a) l’illecito rappresentava un primo e isolato evento e che b) la violazione gli è stata notificata dalla stessa Amministrazione, la quale, a seguito dell’accaduto, ha informato del fatto gli interessati, scusandosi e adottando atti e iniziative volte a sensibilizzare il personale al rispetto della disciplina dei dati personali.