Un errore di valutazione nell’interpretazione delle norme sulla privacy ha comportato una sanzione di 4.000 euro a un Istituto Comprensivo. Il Garante per la protezione dei dati personali, con un provvedimento del 29 aprile 2026, ha accertato la diffusione illecita di dati sensibili relativi alla salute di un alunno minorenne.
Il caso: una circolare troppo dettagliata
La questione è emersa a seguito di un reclamo da parte della madre di un alunno, che ha segnalato la pubblicazione sul sito web della scuola di una circolare relativa alla selezione di docenti per l’istruzione domiciliare. Il documento, liberamente scaricabile, conteneva le iniziali del nome e del cognome del minore, insieme a riferimenti a documentazione medica e all’indicazione della classe di appartenenza dello studente.
La difesa della scuola: “Agito in buona fede”
L’istituto scolastico ha sostenuto di aver agito per garantire trasparenza e rispetto dei criteri nella selezione dei docenti. Ha specificato di aver utilizzato le iniziali per rispettare il principio di minimizzazione dei dati, credendo che tale modalità garantisse l’anonimato dello studente, poiché l’identificazione era possibile solo per i membri della comunità scolastica già informati sulla situazione di salute del minorenne.
Il verdetto del Garante: le iniziali non garantiscono l’anonimato
L’Autorità ha confermato che la sostituzione del nome completo con le sole iniziali è “insufficiente ad anonimizzare i dati”, in quanto la combinazione con informazioni contestuali consente di identificare indirettamente l’interessato.
- I dati relativi alla salute sono protetti e non possono essere diffusi.
- I minori sono considerati soggetti vulnerabili che necessitano di una tutela specifica.
- Il complesso di informazioni rese pubbliche rendeva l’alunno “identificabile” sia direttamente che indirettamente.
Sanzione e misure correttive
Nonostante la violazione sia stata giudicata di gravità media, il Garante ha considerato attenuanti, tra cui la rimozione immediata della circolare e l’assenza di precedenti violazioni. Oltre alla sanzione pecuniaria, la scuola si impegnerà a implementare misure di sicurezza più rigide e a formare il personale, collaborando con il Responsabile della Protezione dei Dati (DPO).
__________
Puoi leggere la fonte originale dell’articolo qui
