Nota al provvedimento del Garante per la protezione dei dati personali del 29 gennaio 2026, Registro dei provvedimenti n. 64/2026 (doc. web n. 10221968)
La protezione dei dati personali rappresenta una responsabilità fondamentale per tutte le istituzioni scolastiche. Il provvedimento n. 64/2026 del Garante per la protezione dei dati personali offre un’importante occasione di riflessione sui limiti della diffusione online di informazioni riguardanti studenti, in particolare quando si tratta di dati relativi alla salute e a soggetti minorenni.
Il caso dell’Istituto tecnico industriale “Stanislao Cannizzaro” di Catania evidenzia come esigenze organizzative legittime non possano giustificare la pubblicazione sul web di dati idonei a rivelare condizioni di disabilità, richiamando scuole e pubbliche amministrazioni al rispetto dei principi di liceità, minimizzazione e proporzionalità previsti dal GDPR e dal Codice Privacy.
Indice
- Ricostruzione dei fatti
- Inquadramento giuridico: normativa applicabile
- Profili di illiceità del trattamento
- Il comportamento conforme richiesto dall’ordinamento
- Conclusioni

1. Ricostruzione dei fatti
La vicenda trae origine da un reclamo presentato contro l’Istituto tecnico industriale statale “Stanislao Cannizzaro” di Catania. La reclamante ha lamentato la pubblicazione sul sito web istituzionale di una circolare contenente i nominativi di 51 studenti con disabilità, associati alle rispettive classi, agli orari degli incontri del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO) e ai nomi dei relativi docenti di sostegno. La combinazione di questi dati rendeva possibile identificare chiaramente gli studenti interessati e ricostruire aspetti particolarmente delicati della loro sfera personale, con specifico riferimento al loro stato di salute.
Il documento risultava liberamente accessibile online, senza alcuna limitazione di accesso, ed era inoltre indicizzato dai motori di ricerca, con la conseguenza che i dati in esso contenuti potevano essere consultati da chiunque.
A seguito dell’istruttoria, il Garante ha accertato che la condotta dell’istituto si concretizzava in una vera e propria diffusione di dati personali, e non in una mera comunicazione a soggetti determinati. Tale diffusione assumeva particolare gravità in ragione della natura dei dati trattati, qualificabili come categorie particolari ai sensi del Reg. UE 2016/679, e del fatto che gli interessati erano studenti, in molti casi minorenni. La pubblicazione indiscriminata sul web ha determinato, quindi, una esposizione generalizzata e potenzialmente permanente di informazioni altamente sensibili, integrando i presupposti per l’intervento dell’Autorità.
2. Inquadramento giuridico: normativa applicabile
Il provvedimento si colloca nel quadro delle tutele rafforzate per i dati particolari riguardanti, inoltre, soggetti di minore età; le norme principali violate sono:
- Art. 5, par. 1, lett. a) Reg. UE 2016/679: violazione dei principi di liceità, correttezza e trasparenza;
- Art. 6 Reg. UE 2016/679 e Art. 2-ter Codice Privacy: carenza di una base giuridica per la diffusione di dati personali da parte di un soggetto pubblico, che deve essere prevista da una norma di legge o regolamento;
- Art. 9 Reg. UE 2016/679 e Art. 2-sexies Codice Privacy: trattamento illecito di categorie particolari di dati (dati relativi alla salute);
- Art. 2-septies, comma 8, Codice Privacy: vige il divieto assoluto di diffusione dei dati relativi alla salute.
Nel dettaglio, come evidenziato supra, il punto di partenza è rappresentato dai principi generali del trattamento dei dati personali sanciti dall’articolo 5 Reg. UE 2016/679, che impongono, tra l’altro, che i dati siano trattati in modo lecito, corretto e trasparente, nonché adeguato, pertinente e limitato a quanto necessario rispetto alle finalità perseguite. Il principio di minimizzazione assume un rilievo centrale nel caso analizzato, in quanto la pubblicazione indiscriminata di informazioni dettagliate eccede manifestamente quanto necessario per finalità organizzative interne all’istituto.
Sotto il profilo della liceità del trattamento, l’articolo 6 Reg. UE 2016/679 richiede che ogni trattamento trovi fondamento in una idonea base giuridica. Nel contesto delle pubbliche amministrazioni, tale base è generalmente individuata nell’adempimento di un obbligo legale o nell’esercizio di pubblici poteri. Nel caso in esame, tuttavia, pur potendosi riconoscere una legittima finalità organizzativa connessa alla gestione delle attività di inclusione scolastica, difetta del tutto una disposizione normativa che autorizzi la diffusione online dei dati personali degli studenti. La distinzione tra trattamento necessario per finalità istituzionali e diffusione al pubblico risulta quindi decisiva: solo il primo può trovare copertura giuridica, mentre il secondo richiede una specifica previsione normativa che, nel caso concreto, non sussiste.
Ancora più stringente è il quadro normativo relativo alle categorie particolari di dati, disciplinato dall’articolo 9 Reg. UE 2016/679. I dati relativi alla disabilità rientrano, infatti, tra i dati sulla salute e, come tali, sono soggetti a un regime di protezione rafforzato. Il loro trattamento è ammesso solo in presenza di specifiche condizioni, tra cui, con riferimento al parere reso dall’Authority e qui analizzato, motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri. Anche in questo caso, tuttavia, la normativa nazionale, in particolare gli articoli 2-sexies e 2-septies del Codice privacy, consente il trattamento di tali dati per finalità pubbliche, ma non ne legittima la diffusione indiscriminata, la quale resta in linea di principio vietata.
Ne consegue che la condotta dell’istituto scolastico si è posta in contrasto non solo con i principi generali del Reg. UE 2016/679, ma anche con le specifiche disposizioni che regolano il trattamento dei dati particolari nel settore pubblico. L’assenza di una base giuridica per la diffusione e la natura sensibile dei dati trattati hanno determinato, quindi, l’illiceità del trattamento sotto un duplice profilo: a) da un lato, la violazione dei principi di cui all’articolo 5 e, b), dall’altro, la violazione delle condizioni di liceità previste dagli articoli 6 e 9 Reg. UE 2016/679.
3. Profili di illiceità del trattamento
Dall’analisi del provvedimento si ricava che l’errore dell’Istituto è stato sia tecnico, sia organizzativo causando:
- Diffusione illecita: aver reso pubblici dati che rivelano lo stato di disabilità degli alunni, operazione vietata in modo assoluto dall’ordinamento italiano (art. 2-septies, comma 8 del Codice);
- Carenza di controllo post-rimozione: l’Istituto ha rimosso il link dalla pagina visibile ma non ha cancellato fisicamente il file dal server (“area media”), permettendo ai motori di ricerca di continuare a indicizzare le categorie particolari di dati;
- Mancata istruzione al personale: l’uso di format di circolare ambigui (“al sito web” indicato tra i destinatari anche per documenti riservati) ha favorito l’errore umano dell’addetto.
Il profilo più evidente riguarda la confusione tra “comunicazione” e “diffusione” dei dati. Mentre la prima consiste nel rendere disponibili le informazioni a soggetti determinati e legittimati (come docenti, famiglie interessate o operatori coinvolti nei GLO), la seconda implica la messa a disposizione dei dati a una platea indeterminata di destinatari. Nel caso analizzato, la pubblicazione sul sito web istituzionale ha determinato proprio questa seconda ipotesi, trasformando un’esigenza organizzativa interna in una esposizione pubblica generalizzata.
A tale errore si affianca la violazione del principio di minimizzazione. Le finalità perseguite dalla scuola avrebbero potuto essere raggiunte senza indicare nominativi completi degli studenti né, soprattutto, senza associare tali nominativi alla loro condizione di disabilità. La scelta di pubblicare informazioni così dettagliate e direttamente identificative ha comportato un trattamento eccedente rispetto a quanto necessario, rendendo immediatamente riconoscibili soggetti portatori di una condizione particolarmente delicata.
Ancora più rilevante è la circostanza che i dati diffusi rientrano tra le categorie particolari di cui all’articolo 9 del Reg. UE 2016/679, trattandosi di informazioni relative alla salute. La gravità della violazione è ulteriormente accentuata dal fatto che la platea degli interessati era costituita da studenti, in molti casi minorenni, e quindi soggetti che l’ordinamento considera meritevoli di una tutela rafforzata, posto che la pubblicazione online di detti dati potrebbe esporre gli interessati a rischi concreti di stigmatizzazione sociale, discriminazione e pregiudizio alla loro dignità personale.
L’operato della scuola, infine, evidenzia l’assenza di un’adeguata valutazione preventiva dei rischi e, più in generale, di un approccio conforme ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default).
La decisione di rendere pubblici i dati su un sito accessibile e indicizzato dai motori di ricerca ha dimostrato che non è stato effettuato alcun bilanciamento tra esigenze organizzative e tutela dei diritti degli interessati. In tal senso, l’errore non risiede soltanto nella singola pubblicazione, ma nella mancanza di procedure e controlli interni idonei a prevenire trattamenti illeciti di questa natura.
4. Il comportamento conforme richiesto dall’ordinamento
Dalla ricostruzione dei fatti è possibile delineare con una certa chiarezza quale sarebbe stato il comportamento conforme alla disciplina in materia di protezione dei dati personali.
L’istituto scolastico, in primo luogo, avrebbe dovuto distinguere correttamente tra l’esigenza di organizzare le attività connesse ai Gruppi di Lavoro Operativo per l’inclusione e la modalità con cui le informazioni erano rese disponibili. Tale esigenza, pur legittima e anzi doverosa nell’ambito delle funzioni istituzionali della scuola, non può giustificare in alcun modo la diffusione indiscriminata dei dati attraverso il sito web istituzionale.
Un approccio conforme al Reg. UE 2016/679 avrebbe imposto, innanzitutto, di limitare la circolazione dei dati ai soli soggetti legittimati. Ciò avrebbe potuto essere realizzato mediante strumenti già ampiamente diffusi nel contesto scolastico, quali piattaforme digitali ad accesso riservato (ad esempio il registro elettronico o aree dedicate del sito con autenticazione), ovvero tramite comunicazioni dirette agli interessati. Le informazioni necessarie, in questo modo, sarebbero state disponibili a chi ne aveva diritto, senza essere esposte al pubblico indistinto.
Sarebbe stato necessario, inoltre, applicare in modo rigoroso il principio di minimizzazione, evitando di trattare, e soprattutto di rendere visibili, dati eccedenti rispetto alle finalità perseguite. Non vi era alcuna necessità, invero, di associare i nominativi degli studenti alla loro condizione di disabilità in un documento potenzialmente accessibile all’esterno. L’utilizzo di tecniche di anonimizzazione o, quantomeno, di pseudonimizzazione (come l’impiego di codici identificativi o riferimenti indiretti) avrebbe consentito di organizzare le attività senza compromettere la riservatezza degli interessati.
Un ulteriore elemento essenziale avrebbe dovuto essere rappresentato da una verifica preventiva della liceità del trattamento. Prima della pubblicazione, l’istituto avrebbe dovuto interrogarsi sull’esistenza di una base giuridica idonea a giustificare la diffusione dei dati, nonché sui rischi connessi alla natura delle informazioni trattate, tenendo conto del fatto che si trattava di dati relativi alla salute e riferiti a minori. Tale valutazione, anche se non formalizzata in una vera e propria valutazione d’impatto, avrebbe verosimilmente condotto a escludere la possibilità di pubblicazione online.
Un comportamento corretto, infine, avrebbe richiesto l’adozione di misure organizzative adeguate, tra cui la formazione del personale scolastico e l’introduzione di procedure interne di controllo sui contenuti destinati alla pubblicazione. Il rispetto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita avrebbe infatti consentito di prevenire l’errore, evitando che esigenze amministrative interne si traducessero in una indebita esposizione pubblica di dati particolarmente sensibili.
5. Conclusioni
Il provvedimento del Garante si inserisce in un orientamento ormai consolidato volto a presidiare con particolare rigore i trattamenti che comportano la diffusione di dati personali, soprattutto quando questi riguardano categorie particolari e soggetti vulnerabili come i minori. La vicenda dimostra in modo evidente come, anche nell’ambito dell’azione amministrativa e dell’esercizio di funzioni pubbliche pienamente legittime, il rispetto delle regole in materia di protezione dei dati personali non possa essere considerato un adempimento meramente formale, ma costituisca un limite sostanziale all’attività della pubblica amministrazione.
Il punto centrale che emerge è che la scuola, pur operando per finalità di interesse pubblico quali l’inclusione e il supporto agli studenti con disabilità, ha ecceduto i limiti del trattamento lecito, trasformando un’attività organizzativa interna in una diffusione generalizzata di informazioni altamente sensibili. In tal senso, il caso evidenzia ancora una volta la necessità di distinguere nettamente tra trattamenti necessari allo svolgimento delle funzioni istituzionali e forme di pubblicità che, in assenza di una specifica base normativa, risultano incompatibili con il quadro delineato dal Reg. UE 2016/679.
Sotto un profilo sistematico, la decisione ribadisce la centralità dei principi di minimizzazione, necessità e proporzionalità, che devono guidare ogni trattamento di dati personali, a maggior ragione quando si tratta di dati relativi alla salute. La diffusione online, per sua natura potenzialmente illimitata e duratura, rappresenta infatti una forma di trattamento particolarmente invasiva, che richiede una base giuridica chiara ed espressa, non surrogabile da esigenze organizzative o prassi amministrative.
In definitiva, il provvedimento assume anche una funzione pedagogica, richiamando le istituzioni scolastiche, e più in generale tutte le pubbliche amministrazioni, alla necessità di sviluppare una maggiore consapevolezza nella gestione dei dati personali. La protezione dei dati non deve essere percepita come un ostacolo all’efficienza amministrativa, ma come uno strumento essenziale per garantire il rispetto della dignità e dei diritti fondamentali degli interessati, soprattutto nei contesti, come quello scolastico, in cui tali diritti assumono una rilevanza ancora più pregnante.


















