Dati sanitari degli studenti e privacy a scuola: il caso del Provvedimento 160/2026, tra diffusione accidentale e responsabilità organizzative
La gestione dei dati personali in ambito scolastico richiede un livello di attenzione particolarmente elevato, soprattutto quando coinvolge informazioni sulla salute degli studenti. Il Provvedimento n. 160/2026 del Garante per la protezione dei dati personali offre uno spunto concreto per riflettere sui rischi di diffusione accidentale dei dati sensibili e sulle responsabilità organizzative delle istituzioni scolastiche. Attraverso l’analisi del caso, emergono criticità e buone pratiche utili a rafforzare la cultura della privacy e la tutela dei soggetti più vulnerabili.
Indice
- Ricostruzione dei fatti
- Inquadramento giuridico
- Il comportamento conforme richiesto dall’ordinamento
- Conclusioni
1. Ricostruzione dei fatti
Il Provvedimento oggetto di analisi trae origine da un reclamo presentato da un legale nell’interesse di uno studente lamentando che nel corso di “un incontro di educazione sessuo-affettiva”, tenutosi durante l’Assemblea d’Istituto, sarebbero stati distribuiti “fogli di carta originariamente in formato A4 che erano stati divisi a metà per utilizzarli come fogli riciclo” contenenti oltre all’intestazione e al logo dell’Istituto, la dicitura “Riepilogo alunni con disabilità per l’Anno Scolastico XX” e il nome ed il cognome della studentessa correlato dall’indicazione “disturbi specifici Apprendimento (DSA)”.
Sebbene l’istituto abbia collaborato e tentato di limitare i danni, il Garante ha rilevato una grave carenza nelle misure di sicurezza organizzative e nella tutela della riservatezza dei minori. Di conseguenza, è stata inflitta una sanzione amministrativa pecuniaria di 2.000 euro, con l’obbligo di pubblicare l’ordinanza sul sito dell’Autorità.
Il testo ribadisce che la responsabilità del trattamento dei dati ricade sull’organizzazione scolastica, indipendentemente da eventuali negligenze dei singoli dipendenti.
2. Inquadramento giuridico
Nell’analizzare il Provvedimento n. 160/2026, l’inquadramento giuridico basato sul Reg. UE 2016/679 rivela una serie di violazioni stratificate, che vanno dai principi generali alle misure di sicurezza specifiche.
Il punto di partenza imprescindibile è la natura dei dati coinvolti, che l’articolo 9 del Regolamento definisce come categorie particolari. Si tratta di informazioni relative alla salute e alla disabilità che godono di una protezione rafforzata rispetto ai dati comuni; la norma stabilisce, invero, un divieto generale di trattamento, salvo eccezioni tassative che, nel caso degli istituti scolastici, non possono in alcun modo giustificare la circolazione di tali elenchi al di fuori degli uffici amministrativi o del consiglio di classe.
La consegna materiale di detti fogli a soggetti terzi, ovvero gli studenti, configura una comunicazione illecita di dati sensibilissimi in totale assenza di una base giuridica valida.
Detta condotta si pone in netto contrasto con i pilastri della protezione dei dati delineati dall’articolo 5 del Reg. UE 2016/679: viene meno, in particolare, il principio di integrità e riservatezza, che impone al titolare del trattamento di garantire la sicurezza necessaria contro l’accesso non autorizzato. Il fatto che dati riguardanti i DSA di una studentessa siano finiti sul retro di carta da riciclo dimostra una gestione superficiale dei flussi documentali, violando il dovere di agire secondo correttezza e trasparenza.
Non si tratta di una mera svista individuale, ma di un fallimento strutturale del sistema di protezione che la scuola avrebbe dovuto implementare.
In questo contesto, assume un rilievo centrale il principio di accountability (responsabilizzazione), previsto dall’articolo 24 del Regolamento. Tale norma non si limita a chiedere il rispetto formale della normativa, ma esige che il titolare sia in grado di dimostrare attivamente di aver adottato misure adeguate alla natura e al rischio del trattamento. L’incapacità dell’Istituto di tracciare l’origine del file, e di giustificare la disponibilità di tali elenchi presso personale non amministrativo, ha evidenziato una lacuna nella catena di responsabilità. Il rischio connesso alla rivelazione di una condizione di disabilità è intrinsecamente elevato in quanto, tale dato, può esporre l’interessato a discriminazioni o pregiudizi, e ciò avrebbe dovuto imporre una cautela proporzionale alla delicatezza delle informazioni gestite.
Il cuore tecnico della violazione risiede però nell’articolo 32 del Reg. UE 2016/679, dedicato alla sicurezza del trattamento. La norma stabilisce che il titolare deve mettere in atto misure tecniche e organizzative capaci di scongiurare rischi come la perdita o la distruzione accidentale. Nel caso quivi analizzato, la carenza è stata di natura squisitamente organizzativa: la mancanza di una procedura rigorosa per lo smaltimento dei documenti cartacei ha permesso che fogli contenenti dati sulla salute venissero trattati come scarti da ufficio riutilizzabili. Il Garante chiarisce che il “riciclo” di documenti contenenti dati personali è una pratica intrinsecamente incompatibile con la normativa sulla privacy se non preceduta da una cancellazione definitiva del contenuto.
Infine, non si può trascurare il profilo relativo alle istruzioni fornite al personale, disciplinato dall’articolo 29 del Reg. UE 2016/679. La difesa della scuola, che ha tentato di circoscrivere l’accaduto a un errore isolato di un collaboratore scolastico, non è stata accolta proprio perché il personale che opera sotto l’autorità del titolare deve essere adeguatamente istruito e vigilato. Se un dipendente può accedere liberamente a elenchi riservati e distribuirli, significa che le direttive interne erano generiche o non effettive.
L’inquadramento giuridico operato dall’Authority, in conclusione, dimostra come la violazione non sia solo l’effetto di un gesto imprudente, ma la conseguenza di una mancata traduzione dei principi di sicurezza e riservatezza in prassi quotidiane e vincolanti all’interno dell’organizzazione scolastica.
3. Il comportamento conforme richiesto dall’ordinamento
Il comportamento conforme che l’ordinamento richiede a un’istituzione scolastica, in qualità di titolare del trattamento, si fonda su una applicazione del principio di Accountability e, pertanto, con riferimento al caso quivi analizzato, si articola su due livelli complementari: a) quello della gestione materiale dei supporti cartacei e, b) quello della formazione del capitale umano, entrambi orientati a eliminare il rischio di circolazione non autorizzata di dati “particolari”.
In primo luogo, sotto il profilo delle misure organizzative, l’istituto scolastico avrebbe dovuto implementare una politica rigorosa di gestione dei documenti d’ufficio, nota come “scrivania pulita”. Tale protocollo impone che ogni elenco contenente categorie particolari di dati (come quelli relativi alla salute o alle disabilità degli studenti), non venga mai lasciato incustodito e, soprattutto, che non venga mai considerato come carta da riciclo. La prassi corretta prevede che, una volta esaurita la finalità del documento, questo venga immediatamente distrutto tramite l’utilizzo di macchine distruggi-documenti a frammentazione o riposto in contenitori sigillati destinati al macero industriale sicuro.
Parallelamente, l’istituto avrebbe dovuto definire con estrema precisione i ruoli e i permessi di accesso ai dati. Un elenco di studenti con disabilità è un documento ad alta criticità che deve restare nella disponibilità esclusiva del personale amministrativo autorizzato e dei docenti direttamente coinvolti, preferibilmente in formato digitale protetto da credenziali o in faldoni cartacei custoditi in armadi blindati.
Il fatto che un collaboratore scolastico abbia potuto prelevare tali fogli per distribuirli durante un’assemblea indica un corto circuito procedurale: il comportamento corretto sarebbe stato quello di segregare fisicamente i documenti sensibili, impedendo che personale non incaricato del trattamento dei dati sulla salute potesse anche solo entrarne in possesso accidentalmente.
Sotto il profilo della formazione, il titolare del trattamento avrebbe dovuto impartire istruzioni specifiche e periodiche a tutto il personale, inclusi i collaboratori scolastici, non limitandosi a generiche raccomandazioni verbali.
Il comportamento diligente consiste nel fornire linee guida scritte che spieghino chiaramente il valore della riservatezza e le conseguenze legali della diffusione di dati sensibili. In particolare, sarebbe stato necessario istruire il personale ausiliario sul fatto che nessun foglio proveniente dagli uffici di segreteria o dalla presidenza può essere riutilizzato per fini didattici o di supporto, a meno che non vi sia la certezza assoluta dell’assenza di dati personali su entrambi i lati del supporto.
Nell’ottica del principio di prevenzione, infine, l’istituto scolastico avrebbe dovuto effettuare una valutazione d’impatto, o quantomeno un’analisi dei rischi specifica per i trattamenti di dati relativi a soggetti vulnerabili come i minori disabili.
Questo processo avrebbe permesso di identificare il “punto di rottura” nel ciclo di vita della carta e di intervenire preventivamente con l’acquisto di attrezzature per lo smaltimento sicuro.
In sintesi, il comportamento corretto non si sarebbe esaurito in una semplice attenzione momentanea, ma si sarebbe dovuto concretizzare in un sistema integrato dove la tecnologia (distruzione fisica dei dati), la norma interna (divieto di riciclo) e la consapevolezza del personale (formazione) agiscono insieme per rendere impossibile l’evento lesivo.
Analizzando l’occorso, tuttavia, è possibile evidenziare che la regola d’oro è sempre quella del buon senso: evitare di mettere a disposizione di terzi dati che, per loro natura, sono e devono rimanere riservati e tutelati.
4. Conclusioni
Il provvedimento quivi analizzato, quindi, ribadisce che il rispetto della protezione dei dati personali non rappresenta un adempimento meramente formale, ponendo il titolare in una vera e propria posizione che potremmo definire “di garanzia”. La protezione dei dati personali, quindi, non può essere ridotta a un mero adempimento burocratico, dovendo tradursi in una cultura della responsabilità radicata in ogni livello dell’organizzazione scolastica.
La decisione conferma l’orientamento consolidato dell’Autorità nel presidiare con estremo rigore il trattamento di categorie particolari di dati (art. 9 Reg. UE 2016/679) e le informazioni riguardanti soggetti vulnerabili: i principi di minimizzazione, necessità e proporzionalità devono guidare ogni operazione di trattamento, fungendo da bussola per evitare trattamenti eccedenti o non dovuti. Il Garante, invero, irrogando la sanzione, ha ribadito con fermezza che la dignità e la riservatezza degli studenti, in particolare di coloro che si trovano in condizioni di vulnerabilità a causa di una disabilità, prevalgono su qualsiasi logica di risparmio di risorse o di semplificazione amministrativa.
L’episodio analizzato dal Garante funge da monito per l’intero comparto pubblico: l’errore umano, pur essendo un fattore prevedibile, non costituisce una scriminante se è frutto di una carenza strutturale nelle misure di sicurezza e nella vigilanza.
La decisione dell’Autorità evidenzia inoltre come il concetto di sicurezza del trattamento sia dinamico e richieda un’attenzione costante al ciclo di vita del dato, dalla sua raccolta fino alla sua distruzione definitiva. La sanzione pecuniaria, seppur calibrata tenendo conto della natura colposa e non dolosa dell’evento, serve a ricordare che la negligenza nella gestione del supporto cartaceo è grave quanto una falla in un sistema informatico. In un contesto educativo, dove il trattamento dei dati è funzionale alla crescita e all’inclusione dei giovani, la perdita di controllo su informazioni così intime rischia di incrinare il rapporto di fiducia tra istituzione, studenti e famiglie, provocando un danno reputazionale e morale che va ben oltre l’importo della multa.
In definitiva, il provvedimento oggetto della presente analisi si chiude con la consapevolezza che il principio di accountability impone un cambio di paradigma: la scuola non deve solo istruire, ma deve farsi custode rigorosa delle identità digitali e fisiche dei propri iscritti. Il caso in esame dimostra che anche un gesto apparentemente innocuo, come il riciclo di un foglio di carta, può trasformarsi in una severa violazione dei diritti fondamentali se non supportato da procedure chiare e da una formazione capillare.
La conclusione del Garante invita dunque tutti i titolari del trattamento a considerare la protezione dei dati come un investimento etico e organizzativo imprescindibile, necessario per garantire che l’ambiente scolastico resti un luogo sicuro sotto ogni profilo.
