Il dipendente della cooperativa sociale che invia per sbaglio ai servizi comunali un file con informazioni particolari attiva un potenziale procedimento sanzionatorio. E poco importa se quelle informazioni sono già a disposizione dei servizi sociali: la negligenza del responsabile esterno del trattamento in materia di dati sensibili secondo l'organo di controllo non è infatti tollerabile, in particolare se il responsabile è stato adeguatamente individuato e nominato da parte del titolare.
Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 274 del 29 aprile 2025. Una cooperativa sociale che gestisce alcuni servizi per conto del comune di Bologna ha inviato per errore al medesimo comune una mail contenente anche dati particolari di alcuni alunni . A seguito del reclamo di un genitore, l'Autorità ha avviato un'istruttoria che si è conclusa con l'applicazione di una severa sanzione amministrativa a carico della cooperativa. Secondo quanto ricostruito dall'Autorità, nel contesto di uno sciopero programmato , il gestore del servizio ha trasmesso al comune una comunicazione contenente sei file, dei quali tre riportavano non solo indicazioni organizzative, ma anche dati riferiti a minori disabili quali nome, data e luogo di nascita, cittadinanza, tipologia di disabilità, patologie specifiche e risorse assegnate. Informazioni, queste, che andavano ben oltre quanto necessario per la gestione della comunicazione di servizio. Come precisa il provvedimento, «risulta che, in vista dello sciopero indetto per l'XX per i lavoratori della cooperativa, la referente della stessa ha inviato al comune di Bologna e ai responsabili di unità territoriali una mail avente in allegato sei file [...] Taluni di questi documenti riportavano [...] dati personali anche relativi alla salute dei bambini iscritti a talune scuole dell'infanzia ». Il Garante ha richiamato il principio di responsabilizzazione ( accountability ) e la necessità, da parte del responsabile del trattamento, di rispettare le istruzioni correttamente fornite dal titolare, adottando misure tecniche e organizzative adeguate. I minori, prosegue il collegio, «in quanto persone fisiche vulnerabili meritano una specifica protezione relativamente ai loro dati personali». In pratica, il Garante ha ritenuto che la cooperativa non abbia «utilizzato la perizia necessaria , non avendo adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento e abbia agito discostandosi dalle istruzioni fornite dal titolare del trattamento». Pertanto, la trasmissione accidentale è stata considerata comunque un trattamento illecito , in violazione degli articoli 28, par. 3 e 32, par. 1 del GDPR .
Provvedimento del 29 aprile 2025, n. 274