L’interessante pronuncia a livello comunitario arriva tramite un provvedimento, il numero 86/2024, del Garante della Privacy del Belgio: la scuola deve permettere il diritto di accesso ai dati ai genitori degli studenti.
L’8 settembre 2019, una madre di uno studente aveva presentato un reclamo formale all’Autorità per la Protezione dei Dati del Belgio, lamentandosi di una risposta insoddisfacente da parte della scuola di suo figlio riguardo una richiesta di accesso ai dati personali.
Questa segnalazione ha portato a un provvedimento del Garante della Privacy che potrebbe avere rilevanza anche fuori dai confini nazionali, rappresentando un importante precedente a livello comunitario.
Il caso
La disputa è iniziata quando la ricorrente ha esercitato il suo diritto di accesso ai dati personali presso la scuola di suo figlio. La madre ha richiesto informazioni dettagliate sui dati detenuti dalla scuola, le finalità del loro trattamento e il periodo di conservazione. Ha anche richiesto la rimozione di eventuali foto di sua figlia pubblicate su Facebook durante una gita scolastica.
La scuola ha risposto dichiarando che la richiesta era in fase di supervisione e ha indicato che le foto pubblicate erano coperte da un accordo annuale sul “diritto all’immagine” firmato dai genitori all’inizio dell’anno scolastico. Insoddisfatta, la ricorrente ha sollecitato una risposta ulteriore e ha comunicato l’intenzione di contattare l’Autorità per la Protezione dei Dati.
Il ricorso è stato formalmente presentato all’Autorità che ha accettato il reclamo e lo ha trasmesso alla Camera dei Ricorsi dopo essere stato dichiarato ammissibile.
A questo punto è stata richiesta un’indagine dettagliata che ha rivelato che la scuola aveva violato il GDPR in quanto non aveva fornito tutte le informazioni richieste riguardo al trattamento dei dati personali e non aveva fornito una copia dei dati stessi.
La scuola non può eludere il diritto di accesso ai dati da parte dei genitori
Nel corso del procedimento, la scuola ha adottato diverse misure per affrontare le problematiche sollevate dalla ricorrente. In particolare la scuola ha successivamente rimosso le foto di Facebook che erano state oggetto della richiesta della madre dello studente.
Inoltre, durante il procedimento, la scuola ha fornito una tabella dettagliata che elenca i dati personali che detiene, insieme alle informazioni riguardanti le modalità di trattamento e i periodi di conservazione di tali dati. Questa tabella è stata una parte importante del processo, poiché ha permesso di chiarire la gestione dei dati e di soddisfare i requisiti di trasparenza previsti dal GDPR.
La Camera dei Ricorsi, valutando la situazione, ha concluso che, sebbene la scuola avesse inizialmente fornito solo una risposta parziale e incompleta alla richiesta di accesso ai dati personali, ha successivamente messo a disposizione tutte le informazioni necessarie e ha corretto le problematiche riscontrate. In particolare, ha fornito tutte le informazioni complete sui dati trattati e le modalità di conservazione, e ha rimosso le foto come richiesto.
Nonostante il fatto che la scuola abbia avuto la colpa di non aver rispettato gli obblighi di trasparenza iniziali, la Camera dei Ricorsi ha deciso che non erano necessarie ulteriori azioni da parte del Garante. Questo perché le violazioni risultavano sanate e non era più necessario adottare misure aggiuntive per correggere la situazione.
Infine, la Camera dei Ricorsi ha stabilito che la scuola ha violato gli articoli 12.1, 13, 14 e 15 del GDPR, che riguardano la trasparenza e il diritto di accesso ai dati personali. Tuttavia, poiché la scuola aveva successivamente adempiuto agli obblighi richiesti e aveva preso le misure necessarie per risolvere le problematiche, non sono state imposte ulteriori sanzioni oltre alla condanna al pagamento delle spese legali.
Il testo del provvedimento
Qui il documento completo (in lingua originale – olandese).
