Il garante privacy norvegese ha emesso una sanzione nei confronti di un comune per aver trattato tramite una piattaforma di e-learning dati relativi alla salute di minori in assenza di previa DPIA e di misure di sicurezza adeguate. Il 10 luglio 2020 la Datatilsynet, il garante privacy norvegese, ha annunciato di aver comminato al comune di Rælingen una sanzione di 500.0000,00 NOK (circa € 46.700,00) per il trattamento dei dati relativi alla salute di minori affetti da disabilità, tramite la piattaforma di e-learning Showbie, in violazione delle previsioni del Regolamento UE 2016/679 (il “GDPR”).
Tale sanzione costituisce l’epilogo di un procedimento iniziato nel marzo 2020, quando il garante privacy norvegese aveva inviato una contestazione al comune di Rælingen per mancata conformità alla normativa privacy vigente rispetto ai trattamenti effettuati tramite la piattaforma Showbie. In particolare, da quanto è emerso dalla ricostruzione fornita, la violazione coinvolge 15 studenti con disabilità psico-motorie, rispetto ai quali la piattaforma di apprendimento digitale era stata impiegata per lo scambio di informazioni afferenti lo stato di salute dei suddetti minori tra le scuole e le relative famiglie. La Datatilsynet ha altresì osservato che, prima del lancio dell’applicazione, il comune:
- non aveva condotto una valutazione d’impatto sulla protezione dei dati (“DPIA”) ex articolo 35 del GDPR, e
- non aveva adottato misure tecniche e organizzative adeguate ai sensi dell’articolo 32 del GDPR,
aumentando di fatto il rischio di accesso non autorizzato ai dati personali degli studenti e integrando altresì una violazione del principio di accountability, ai sensi dell’articolo 5, paragrafo 2, del GDPR.
A seguito della ricezione della notifica di cui sopra, il comune aveva rilevato come tali violazioni non avessero comunque esposto i minori coinvolti ad alcun danno, né materiale né morale. Tuttavia, nel comunicato da ultimo pubblicato, l’autorità per la protezione dei dati personali norvegese ha evidenziato come le violazioni afferenti la sicurezza del trattamento costituiscano esse stesse un rischio, indipendentemente dal fatto che il rischio determini o meno un danno in capo alle persone coinvolte. Pertanto, dato tutto quanto precede e, soprattutto, considerata la particolare sensibilità del trattamento effettuato, coinvolgendo dati di minori afferenti le condizioni di salute, la Datatilsynet ha ritenuto che la sanzione di 500.0000,00 NOK fosse adeguata alle violazioni riscontrate nel contesto di riferimento.