Enti e Associazioni

Dati sensibili distribuiti in assemblea: il Garante punisce un istituto romano

RedazioneRedazione
Aprile 19, 2026 - 14:00
 0
Dati sensibili distribuiti in assemblea: il Garante punisce un istituto romano

lentepubblica.it

La tutela dei dati personali a scuola non è un adempimento formale, ma un presidio essenziale di legalità e rispetto della persona. Lo dimostra un recente provvedimento del Garante per la protezione dei dati personali, che ha colpito un liceo romano dopo la diffusione illecita di informazioni riguardanti una studentessa, con un riferimento esplicito ai suoi Disturbi Specifici dell’Apprendimento (DSA).

Il caso nasce da un episodio apparentemente circoscritto, ma tutt’altro che irrilevante. Durante un’assemblea d’istituto, in occasione di un incontro di educazione sessuo-affettiva, sarebbero stati distribuiti agli studenti alcuni fogli di recupero da utilizzare per annotare domande e osservazioni. Fin qui nulla di anomalo, se non fosse che quei fogli, ricavati da documenti interni tagliati a metà, riportavano l’intestazione della scuola e, soprattutto, dati riferiti a un’alunna, associati alla dicitura relativa al suo DSA.

Per l’Autorità, non si è trattato di una semplice disattenzione burocratica. Il passaggio di quei fogli tra gli studenti ha integrato una comunicazione illecita di dati personali, riguardanti peraltro una categoria particolarmente delicata, cioè informazioni riconducibili allo stato di salute. Il risultato è stato una sanzione amministrativa di 2.000 euro nei confronti dell’istituto, oltre alla pubblicazione dell’ordinanza sul sito del Garante.

Quando un foglio di riciclo diventa un problema di privacy

L’episodio contestato si è verificato all’interno del Liceo Scientifico Morgagni di Roma. Secondo quanto ricostruito nel reclamo presentato all’Autorità, la carta distribuita nel corso dell’assemblea riportava la dicitura “Riepilogo alunni con disabilità per l’anno scolastico” e il nome e cognome della studentessa, accompagnato dall’indicazione “Disturbi specifici Apprendimento (DSA)”.

Il reclamo è stato inoltrato dalla madre della ragazza, tramite il proprio legale. Da quel momento si è aperta l’istruttoria del Garante, che ha chiesto chiarimenti all’istituto scolastico per comprendere la dinamica dei fatti, l’origine della documentazione utilizzata come carta da riciclo e le misure di sicurezza adottate dalla scuola nella gestione di atti contenenti dati sensibili.

La scuola ha sostenuto di non aver avuto un ruolo diretto nella vicenda, evidenziando che l’assemblea era autogestita dagli studenti e che la dirigenza non era stata messa in condizione di prevenire l’accaduto. L’istituto ha anche riferito di aver cercato di ricostruire i fatti con verifiche interne, coinvolgendo docenti, personale amministrativo, ATA e referenti scolastici. Tuttavia, secondo quanto dichiarato, non sarebbe stato possibile risalire con certezza alla provenienza del foglio né al punto esatto della filiera documentale in cui il dato sarebbe uscito dal circuito protetto.

Il nodo centrale: il dato sul DSA è un dato sulla salute

Uno degli aspetti più rilevanti del provvedimento riguarda proprio la natura delle informazioni diffuse. Il Garante chiarisce che il riferimento ai Disturbi Specifici dell’Apprendimento, così come l’acronimo DSA, costituisce a tutti gli effetti un’informazione relativa alla salute della persona interessata.

Questo punto è decisivo, perché i dati sanitari rientrano nelle categorie particolari di dati personali, sottoposte a un regime di protezione rafforzato dal GDPR e dalla normativa nazionale. Non basta, quindi, sostenere che la circolazione del documento risulti imitata o che alcune delle persone venute a conoscenza del contenuto fossero già informate della situazione della studentessa. Una volta che il dato viene reso conoscibile a soggetti determinati o determinabili senza un’idonea base giuridica, si realizza comunque una violazione.

In altre parole, non serve una pubblicazione online o una diffusione su larga scala per configurare un illecito. Anche una comunicazione ristretta, se priva di fondamento normativo e di adeguate cautele, può integrare un trattamento non conforme alle regole sulla protezione dei dati.

Le responsabilità della scuola non si fermano all’errore materiale

Nella propria difesa, l’istituto ha insistito sul fatto che la dirigente scolastica attribuisce grande importanza al rispetto della privacy e che erano già state adottate misure organizzative per prevenire episodi simili. In sede di audizione è stato anche affermato che esisteva un controllo sulle stampe, con codici assegnati al personale, e che vi era un divieto assoluto di riutilizzo di documenti cartacei.

Eppure, per il Garante, questi elementi non sono stati sufficienti a superare i rilievi contestati. Il punto, infatti, non è solo l’intenzione del titolare del trattamento, ma l’effettiva capacità del sistema organizzativo di impedire che documenti contenenti dati delicati possano circolare in modo incontrollato.

L’Autorità ribadisce un principio molto netto: il titolare del trattamento è l’istituzione nel suo complesso, non il singolo dipendente o collaboratore che materialmente abbia commesso l’errore. Anche se la violazione fosse dipesa da negligenza individuale, la responsabilità resta in capo all’ente, che deve predisporre istruzioni chiare, controlli efficaci e misure tecniche e organizzative adeguate.

È proprio su questo terreno che il provvedimento assume un valore generale per tutte le amministrazioni scolastiche. Non basta richiamare il personale al rispetto delle regole; occorre dimostrare che le procedure siano realmente idonee a proteggere dati tanto delicati.

Minori e studenti: una tutela rafforzata

Nel ricostruire la vicenda, il Garante richiama anche il principio secondo cui i minori meritano una protezione specifica in relazione ai propri dati personali, in ragione della loro particolare vulnerabilità. Anche se nel caso concreto la studentessa aveva superato i 18 anni al momento dell’interlocuzione con la scuola, il contesto resta quello scolastico, dove le informazioni riguardanti bisogni educativi, fragilità, disabilità o condizioni sanitarie richiedono una cautela ancora maggiore.

La scuola è infatti uno spazio in cui la circolazione impropria di certi dati può incidere direttamente sulla dignità della persona, sulla serenità del percorso formativo e sulla percezione sociale dello studente all’interno della comunità scolastica. Per questo l’uso superficiale di documenti interni, anche solo come materiale di recupero, può trasformarsi in un vulnus molto serio.

Perché il Garante ha parlato di trattamento illecito

Secondo l’Autorità, nel caso esaminato sono emerse più violazioni. Da un lato, la comunicazione dei dati non trovava un idoneo fondamento normativo. Dall’altro, l’istituto non aveva messo in campo misure di sicurezza adeguate a prevenire la dispersione di documentazione contenente dati particolari.

Il provvedimento richiama quindi la violazione dei principi di liceità, correttezza e trasparenza, oltre a quello di integrità e riservatezza, previsti dal GDPR. A questi si aggiunge il mancato rispetto degli obblighi di sicurezza imposti dall’articolo 32 del Regolamento europeo, che richiede ai titolari del trattamento di adottare misure tecniche e organizzative adeguate al rischio.

Il fatto che non si possa ricostruire con esattezza l’origine del foglio contestato ha aggravato il quadro. Se un documento sensibile compare in un contesto improprio e l’amministrazione non può spiegare in che modo sia uscito dal circuito protetto, il problema non appare più episodico: riguarda la tenuta complessiva del sistema di gestione documentale.

La sanzione da 2.000 euro e la pubblicazione del provvedimento

Alla fine dell’istruttoria, il Garante ha dichiarato illecito il trattamento dei dati effettuato dal liceo e ha ordinato il pagamento di una sanzione amministrativa pecuniaria pari a 2.000 euro.

Nel quantificare l’importo, l’Autorità ha tenuto conto di vari elementi. Da una parte, ha considerato che la violazione riguardava un solo interessato e che la scuola è un soggetto pubblico di dimensioni contenute, con risorse economiche limitate. Dall’altra, ha valorizzato la natura sensibile dei dati coinvolti e l’esistenza di una condotta colposa.

Si considerano attenuanti anche la collaborazione prestata dall’istituto durante il procedimento, l’assenza di precedenti specifici e il tentativo di ricostruire l’episodio. Tuttavia, questi elementi non hanno impedito la sanzione, proprio perché il quadro probatorio ha confermato l’illiceità del trattamento.

Oltre alla multa, il Garante ha disposto la pubblicazione dell’ordinanza ingiunzione sul proprio sito istituzionale. Una misura accessoria che, pur non avendo effetti economici aggiuntivi, rappresenta un forte segnale sotto il profilo reputazionale.

Cosa devono imparare le scuole da questo caso

La decisione offre un’indicazione molto concreta a dirigenti scolastici, DSGA, segreterie e personale ATA. La gestione dei documenti che contengono riferimenti a disabilità, DSA, BES o altre condizioni personali non può essere affidata a prassi informali o a consuetudini non presidiate.

Serve una filiera chiara: produzione, stampa, conservazione, eventuale eliminazione e distruzione dei documenti devono essere disciplinate in modo rigoroso. Anche il semplice riutilizzo di fogli stampati su un lato può trasformarsi in una violazione grave, se i documenti non risultano preventivamente controllati o distrutti secondo procedure sicure.

Inoltre, la vicenda conferma che il rispetto della privacy nella scuola non è separato dall’organizzazione interna: riguarda la formazione del personale, il controllo dei flussi documentali, la responsabilizzazione degli autorizzati al trattamento e la capacità dell’istituto di verificare nel tempo l’efficacia delle misure adottate.

Privacy scolastica, un tema che non può più essere sottovalutato

Il caso del liceo romano mostra con chiarezza quanto possa essere sottile il confine tra una leggerezza organizzativa e una vera violazione del GDPR. Nella scuola, dove si trattano quotidianamente dati di studenti e famiglie, spesso anche estremamente delicati, il margine per improvvisazione e superficialità deve essere ridotto al minimo.

Il messaggio del Garante è netto: la protezione dei dati personali degli alunni non è un aspetto secondario dell’amministrazione scolastica, ma una componente essenziale del buon andamento, della correttezza amministrativa e della tutela della persona. E quando in gioco ci sono informazioni che riguardano salute, fragilità o condizioni educative particolari, il livello di attenzione richiesto si alza ulteriormente.

Il testo del provvedimento

Qui il documento completo.

The post Dati sensibili distribuiti in assemblea: il Garante punisce un istituto romano appeared first on lentepubblica.it.

Leggi di più

Qual è la tua reazione?

Mi piace Mi piace 0
Antipatico Antipatico 0
Lo amo Lo amo 0
Comico Comico 0
Furioso Furioso 0
Triste Triste 0
Wow Wow 0
Redazione
Redazione Redazione Eventi e News

Articoli correlati

Formazione nelle micro-imprese: Fondoprofessioni rilancia una sfida di sistema

Formazione nelle micro-imprese: Fondoprofessioni rilanc...

Redazione Aprile 23, 2026  0

Olio extravergine, ecco i migliori d’Italia nel 2026

Olio extravergine, ecco i migliori d’Italia nel 2026

Redazione Aprile 24, 2026  0

Comuni al collasso: organici dimezzati entro 7 anni

Comuni al collasso: organici dimezzati entro 7 anni

Redazione Aprile 24, 2026  0

Case di Comunità, riforma nel caos: il 77% dei medici di famiglia pronto a lasciare?

Case di Comunità, riforma nel caos: il 77% dei medici d...

Redazione Aprile 24, 2026  0

Trump allunga la tregua, ma l’Iran alza il muro: negoziati saltati

Trump allunga la tregua, ma l’Iran alza il muro: negozi...

Redazione Aprile 23, 2026  0

Acquisti sotto soglia nella PA: la Corte dei Conti chiarisce che le PAD certificate sono una legittima alternativa al MePA

Acquisti sotto soglia nella PA: la Corte dei Conti chia...

Redazione Aprile 24, 2026  0