Nota al provvedimento del Garante per la protezione dei dati personali del 29 gennaio 2026, n. 36/2026 (doc. web n. 10221777)
Approfondimento sul provvedimento del Garante Privacy 29 gennaio 2026: violazioni GDPR, accountability e gestione dati nel sistema scolastico.
Indice
- Ricostruzione dei fatti
- Inquadramento giuridico: normativa applicabile
- Profili di illiceità del trattamento
- l comportamento conforme richiesto dall’ordinamento
- Conclusioni
1. Ricostruzione dei fatti
Il provvedimento adottato dall’Autorità trae origine da un’attività istruttoria volta a verificare la liceità di un trattamento di dati personali effettuato da un soggetto titolare, nell’ambito di una gestione non compliance delle regole dettata dal Reg. UE 2016/679. L’istruttoria ha evidenziato, invero, come i dati personali fossero trattati (e diffusi o resi accessibili) a una platea di soggetti più ampia rispetto a quanto necessario rispetto alle finalità perseguite, con conseguente perdita di controllo sugli stessi.
Il tutto aveva origine da un reclamo presentato all’Authority tramite il quale veniva rappresentato che un’insegnante di un Istituto scolastico avrebbe inviato, dal proprio indirizzo e-mail istituzionale, tre comunicazioni contenenti “l’invito a partecipare al PEI” del figlio dei reclamanti e “l’annullamento dell’evento”, agli indirizzi di posta elettronica di tutti gli alunni della classe dell’alunno. Nel reclamo, ancora, veniva rappresentato che l’Istituto avrebbe inviato ai reclamanti “una comunicazione circa la composizione della classe XX per l’anno scolastico XX, con indicati i nomi degli alunni e tutte le relative date di nascita degli stessi”.
Nel corso dell’accertamento, il Garante ha rilevato non solo la presenza di criticità nella fase di diffusione dei dati, ma anche carenze strutturali nella gestione complessiva del trattamento, sotto il profilo organizzativo e documentale. Sarebbero emerse, in particolare, lacune nella definizione delle finalità, nella individuazione della base giuridica, nonché nella predisposizione di misure tecniche e organizzative adeguate.
Il caso si inserisce, dunque, in un contesto più ampio di crescente attenzione da parte dell’Autorità verso trattamenti caratterizzati da una gestione non controllata dei dati, soprattutto laddove questi siano potenzialmente accessibili a una pluralità indeterminata di soggetti.
2. Inquadramento giuridico: normativa applicabile
Il provvedimento si fonda sull’applicazione del Reg. UE 2016/679, che costituisce il quadro normativo di riferimento in materia di protezione dei dati personali, nonché sulle disposizioni nazionali di raccordo contenute nel Codice Privacy (D.Lgs. 196/2003).
L’Autorità Garante, nel proprio ragionamento, richiama i principi generali di cui all’articolo 5 Reg. UE 2016/679, che impongono che ogni trattamento sia improntato a liceità, correttezza e trasparenza, nonché ai principi di minimizzazione e limitazione delle finalità. Tali principi assumono valore centrale non solo quale criterio di legittimità del trattamento, ma anche quale parametro di valutazione dell’eventuale illiceità.
Ulteriore rilievo assume il principio di accountability, sancito dal citato art. 5, par. 2, che impone al titolare del trattamento non solo di rispettare tali principi, ma anche di essere in grado di dimostrarne concretamente l’osservanza. In tale prospettiva, vengono in rilievo anche le disposizioni relative alle misure di sicurezza (art. 32), alla documentazione dei trattamenti (art. 30) e, ove necessario, alla valutazione d’impatto (art. 35).
Il quadro normativo è completato dalle disposizioni relative alla liceità del trattamento (art. 6) e, nei casi in cui siano coinvolti dati appartenenti a categorie particolari, dalle previsioni di cui all’articolo 9, che richiedono condizioni rafforzate di legittimità.
3. Profili di illiceità del trattamento
Dalla ricostruzione operata dall’Autorità emerge come il trattamento oggetto di esame presenti diversi profili di illiceità, riconducibili principalmente alla violazione dei principi fondamentali del Reg. UE 2016/679.
In primo luogo, viene in rilievo la violazione del principio di minimizzazione, in quanto i dati personali sono stati trattati e, soprattutto, diffusi in misura eccedente rispetto alle finalità perseguite. La diffusione a una platea indeterminata o comunque non strettamente necessaria di destinatari ha determinato una compressione ingiustificata del diritto alla protezione dei dati personali.
In secondo luogo, si configura una violazione del principio di limitazione della finalità, laddove i dati, raccolti per uno specifico scopo, siano stati successivamente utilizzati o resi accessibili per finalità ulteriori o non adeguatamente delimitate.
Ulteriore profilo critico è rappresentato dalla carenza di una base giuridica adeguata per la diffusione dei dati. Anche nei casi in cui il trattamento originario fosse legittimo, la successiva comunicazione o diffusione richiede una specifica giustificazione giuridica, che nel caso di specie risulta assente o comunque non correttamente individuata.
Infine, il provvedimento evidenzia una violazione del principio di accountability, in quanto il titolare non è risultato in grado di dimostrare l’adozione di misure organizzative e tecniche idonee a garantire la conformità del trattamento. L’assenza di procedure formalizzate, di una adeguata documentazione e di controlli interni rappresenta, di per sé, un indice di non conformità. Ed allora pare utile analizzare, in modo approfondito, i singoli principi che hanno determinato la violazione del Reg. UE 2016/679.
3.1 Violazione dei principi di minimizzazione, limitazione della finalità e proporzionalità
Uno dei principali profili di illegittimità rilevati nel provvedimento in esame attiene alla violazione dei principi fondamentali del trattamento dei dati personali, in particolare del principio di minimizzazione, strettamente connesso a quelli di proporzionalità e limitazione della finalità, di cui all’articolo 5 del Reg. UE 2016/679.
Il principio di minimizzazione impone che i dati personali trattati siano adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità per le quali sono raccolti e successivamente trattati. Tale principio assume una funzione selettiva e conformativa dell’intero trattamento, incidendo non solo sulla fase di raccolta, ma anche su quella di conservazione, accesso e, soprattutto, eventuale diffusione dei dati.
Nel caso oggetto del provvedimento, l’Autorità ha rilevato come i dati personali siano stati resi accessibili o diffusi in misura eccedente rispetto a quanto necessario, determinando una indebita estensione della platea dei destinatari. In tal modo, il trattamento ha travalicato i limiti della finalità originaria, ponendosi in contrasto anche con il principio di limitazione della finalità, che impone che i dati siano utilizzati esclusivamente per scopi determinati, espliciti e legittimi.
La violazione assume particolare gravità laddove la diffusione comporti la conoscibilità dei dati da parte di un numero indeterminato di soggetti, configurando una perdita sostanziale di controllo sugli stessi da parte dell’interessato. In tali ipotesi, invero, il trattamento non può più essere considerato proporzionato rispetto alla finalità perseguita, risultando lesivo del diritto fondamentale alla protezione dei dati personali.
Sotto il profilo sistematico, il provvedimento ribadisce come il rispetto del principio di minimizzazione non si esaurisca in una valutazione formale, ma richieda un’analisi concreta e preventiva del rapporto tra mezzi utilizzati e finalità perseguite. Il titolare del trattamento è, pertanto, chiamato a verificare, caso per caso, se la diffusione o comunicazione dei dati sia effettivamente necessaria o se, al contrario, possano essere adottate modalità meno invasive, quali l’anonimizzazione o la limitazione dell’accesso.
3.2 Carenza di una base giuridica adeguata per il trattamento e la diffusione dei dati
Ulteriore profilo di illiceità evidenziato nel provvedimento analizzato riguarda la carenza, o comunque l’inadeguatezza, della base giuridica posta a fondamento del trattamento, con particolare riferimento alle operazioni di comunicazione e diffusione dei dati personali.
Ai sensi dell’articolo 6 Reg. UE 2016/679, ogni trattamento deve essere sorretto da una delle condizioni di liceità previste dalla norma. Tuttavia, come chiarito dall’Autorità, la legittimità del trattamento originario non si estende automaticamente alle successive operazioni di diffusione o comunicazione dei dati, le quali richiedono una autonoma e specifica base giuridica.
Nel caso esaminato è emerso che, pur potendo il trattamento iniziale trovare giustificazione in una base giuridica legittima (ad esempio, l’esecuzione di un compito di interesse pubblico), la successiva diffusione dei dati non risultava adeguatamente giustificata, né supportata da una previsione normativa o da un valido consenso dell’interessato.
Tale circostanza ha determinato una violazione del principio di liceità, in quanto la diffusione dei dati costituisce un trattamento distinto e autonomo, che deve essere valutato separatamente rispetto alla raccolta originaria. La mancata individuazione di una base giuridica specifica comporta, pertanto, l’illegittimità dell’intera operazione di diffusione.
La questione assume ulteriore rilevanza nei casi in cui i dati trattati rientrino nelle categorie particolari di cui all’articolo 9 Reg. UE 2016/679, per le quali è richiesta una condizione di liceità rafforzata. In tali ipotesi, la diffusione è generalmente vietata, salvo specifiche eccezioni espressamente previste dalla normativa.
Il provvedimento, sotto questo profilo, evidenzia la necessità che il titolare del trattamento operi una chiara distinzione tra le diverse fasi del trattamento, individuando per ciascuna di esse la relativa base giuridica e verificandone la concreta sussistenza. In mancanza di tale verifica, il trattamento risulta viziato ab origine e suscettibile di sanzione.
In definitiva, l’Autorità ribadisce che la liceità del trattamento non può essere presunta né estesa in via automatica, ma deve essere oggetto di una valutazione puntuale e documentata, coerente con il principio di accountability.
3.3 Violazione del principio di accountability e carenze organizzative del titolare
Un ulteriore e rilevante profilo di illiceità del trattamento individuato nel provvedimento concerne la violazione del principio di accountability, di cui all’articolo 5, par. 2, del Reg. UE 2016/679, norma che impone al titolare del trattamento non solo di rispettare i principi applicabili, ma anche di essere in grado di dimostrarne concretamente l’osservanza.
Nel caso di specie, l’Autorità ha rilevato come il titolare non fosse in grado di fornire evidenza documentale e organizzativa idonea a comprovare la conformità del trattamento effettuato. Tale circostanza assume rilievo autonomo rispetto alle singole violazioni sostanziali, in quanto l’assenza di un sistema strutturato di gestione della protezione dei dati personali costituisce, di per sé, un indice di non conformità.
La violazione del principio di accountability si manifesta, in particolare, nella mancanza o inadeguatezza di strumenti essenziali quali il registro dei trattamenti, le procedure interne di gestione dei dati, le istruzioni operative rivolte al personale e, ove necessario, le valutazioni d’impatto. L’assenza di tali elementi impedisce al titolare di dimostrare di aver effettuato una valutazione preventiva dei rischi e di aver adottato misure adeguate a mitigarli.
Il provvedimento evidenzia, inoltre, come la gestione del trattamento appaia priva di una chiara strutturazione organizzativa, con conseguente rischio di trattamenti disomogenei, non controllati e non tracciabili. In tali condizioni, il trattamento dei dati personali risulta esposto a errori operativi, accessi non autorizzati e diffusioni indebite, che avrebbero potuto essere prevenuti mediante l’adozione di un adeguato modello organizzativo.
Sotto il profilo sistematico, l’Autorità ribadisce che il principio di accountability rappresenta il fulcro del sistema delineato dal legislatore europeo, in quanto consente di superare una concezione meramente formale della protezione dei dati personali, imponendo al titolare un approccio attivo e responsabile nella gestione del trattamento.
Ne consegue che la mancata predisposizione di un assetto organizzativo e documentale adeguato non costituisce una mera irregolarità formale, ma si traduce in una violazione sostanziale, idonea a compromettere l’intero impianto di liceità del trattamento.
In definitiva, il provvedimento conferma come l’accountability non possa essere intesa come un principio accessorio, ma rappresenti una condizione imprescindibile di legittimità del trattamento, la cui assenza espone il titolare a rilevanti profili di responsabilità.
4. Il comportamento conforme richiesto dall’ordinamento
Dalla ricostruzione dei profili di illiceità sopra delineati emerge come le violazioni riscontrate non siano riconducibili a singole e isolate irregolarità, bensì a una gestione complessiva del trattamento non conforme ai principi fondamentali del Reg. UE 2016/679. In particolare, la combinazione tra diffusione eccedente dei dati, carenza di una base giuridica adeguata e assenza di un sistema strutturato di accountability ha evidenziato un deficit organizzativo e decisionale del titolare, tale da compromettere la liceità del trattamento nel suo complesso.
In tale prospettiva, l’individuazione delle violazioni non esaurisce l’analisi giuridica, ma impone di delineare, in positivo, il modello di comportamento conforme richiesto dall’ordinamento. Ne consegue che l’attenzione deve essere spostata dalla mera rilevazione dell’illecito alla definizione di un assetto organizzativo, tecnico e giuridico idoneo a prevenire il verificarsi di analoghe criticità, in coerenza con il principio di accountability e con l’approccio risk-based che caratterizza la disciplina europea in materia di protezione dei dati personali.
4.1 Necessità di una strutturazione organizzativa e documentale del trattamento (accountability)
Alla luce delle criticità rilevate nel provvedimento, emerge con particolare evidenza come il comportamento conforme richiesto dall’ordinamento non possa esaurirsi nella mera osservanza formale delle disposizioni normative, ma richieda l’adozione di un modello organizzativo strutturato, idoneo a garantire e dimostrare la conformità del trattamento.
In tale prospettiva, assume rilievo centrale il principio di accountability, sancito dal citato art. 5, par. 2, del Reg UE 2016/679, che impone al titolare del trattamento non solo di rispettare i principi applicabili, ma anche di essere in grado di comprovarne l’effettiva osservanza attraverso strumenti documentali e organizzativi adeguati.
Il provvedimento evidenzia come l’assenza di un sistema strutturato di gestione della privacy rappresenti uno dei principali indici di non conformità. In particolare, la mancanza o l’inadeguatezza di strumenti quali il registro dei trattamenti, le informative agli interessati, le procedure interne e, ove necessario, le valutazioni d’impatto, impedisce al titolare di dimostrare la liceità e la correttezza delle operazioni effettuate.
Il comportamento conforme richiesto dall’ordinamento implica, pertanto, l’adozione di un approccio sistemico, fondato sulla preventiva individuazione dei rischi connessi al trattamento e sulla conseguente predisposizione di misure idonee a mitigarli. Tale approccio si traduce nella formalizzazione di procedure interne, nella chiara attribuzione di ruoli e responsabilità e nella tracciabilità delle operazioni effettuate sui dati.
In questa prospettiva, quindi, la documentazione non assume una funzione meramente burocratica, ma rappresenta uno strumento essenziale di governo del trattamento, attraverso il quale il titolare dimostra di aver operato scelte consapevoli, proporzionate e conformi ai principi del Reg UE 2016/679.
4.2 Adozione di misure tecniche e organizzative adeguate e controllo della diffusione dei dati
Accanto alla dimensione organizzativa e documentale, il comportamento conforme richiesto dall’ordinamento si sostanzia nell’adozione di misure tecniche e organizzative adeguate al rischio, ai sensi dell’articolo 32 del Reg UE 2016/679.
Il provvedimento in esame evidenzia come uno degli aspetti più critici del trattamento riguardi la perdita di controllo sui dati, determinata dalla loro diffusione non adeguatamente regolata. Ne consegue che il titolare del trattamento è tenuto ad adottare misure idonee a prevenire accessi non autorizzati, utilizzi impropri e diffusioni eccedenti rispetto alle finalità perseguite.
In tale ottica, assume rilievo la necessità di limitare l’accesso ai dati ai soli soggetti autorizzati, sulla base del principio del “need to know”, nonché di garantire la tracciabilità delle operazioni effettuate. La gestione degli accessi, la protezione delle credenziali, la segmentazione dei dati e l’adozione di sistemi di controllo rappresentano strumenti essenziali per assicurare la sicurezza del trattamento.
Particolare attenzione deve essere riservata alla fase della comunicazione e diffusione dei dati, che costituisce il momento di maggiore esposizione al rischio. Il comportamento conforme richiede, dunque, che tali operazioni siano previamente valutate sotto il profilo della necessità e proporzionalità, verificando se possano essere adottate soluzioni meno invasive, quali la limitazione dell’accesso, la pseudonimizzazione o l’anonimizzazione dei dati.
Il provvedimento sottolinea, ancora, come le misure di sicurezza non possano essere statiche, ma debbano essere oggetto di costante aggiornamento, in relazione all’evoluzione tecnologica e ai rischi emergenti. In tal senso, il titolare è chiamato ad adottare un approccio dinamico alla sicurezza, fondato su una continua attività di monitoraggio e revisione delle misure adottate.
In definitiva, il comportamento conforme richiesto dall’ordinamento si caratterizza per un approccio integrato, nel quale la dimensione organizzativa, documentale e tecnica concorrono a garantire un controllo effettivo e continuo sul trattamento dei dati personali, prevenendo situazioni di illiceità e riducendo il rischio di violazioni.
4.3 Corretta individuazione preventiva della base giuridica e delimitazione del trattamento
Un ulteriore profilo centrale del comportamento conforme richiesto dall’ordinamento attiene alla necessità che il titolare del trattamento individui, in via preventiva e con adeguato livello di dettaglio, la base giuridica su cui fondare ciascuna operazione di trattamento, con particolare riferimento alle fasi di comunicazione e diffusione dei dati personali.
Come evidenziato dal Reg UE 2016/679, la liceità del trattamento costituisce un presupposto imprescindibile e deve essere valutata in relazione a ogni specifica finalità perseguita. Ne consegue che non è sufficiente individuare una base giuridica generica riferita al trattamento nel suo complesso, ma è necessario verificare, in modo puntuale, la sussistenza di una condizione di liceità per ciascuna operazione, soprattutto quando essa comporti una maggiore esposizione del dato, come nel caso della diffusione.
Il provvedimento in esame evidenzia come una delle criticità più ricorrenti consista proprio nell’estensione indebita della base giuridica originaria a trattamenti ulteriori, non adeguatamente giustificati. In particolare, la diffusione dei dati viene spesso considerata come una mera fase del trattamento iniziale, mentre essa costituisce un’operazione autonoma che richiede una specifica valutazione sotto il profilo della liceità.
Il comportamento conforme richiede, pertanto, che il titolare del trattamento proceda ad una chiara delimitazione delle finalità e delle relative basi giuridiche, evitando qualsiasi forma di automatismo o estensione implicita. In tale prospettiva, la base giuridica deve essere non solo esistente, ma anche pertinente e proporzionata rispetto alla specifica operazione considerata.
Particolare attenzione deve essere riservata ai casi in cui i dati appartengano a categorie particolari ai sensi dell’articolo 9 del Reg UE 2016/679, per i quali è richiesta una condizione di liceità rafforzata. In tali ipotesi, la diffusione risulta, di regola, vietata, salvo specifiche eccezioni espressamente previste dalla normativa, che devono essere interpretate in senso restrittivo.
Sotto il profilo operativo, ciò implica che il titolare debba integrare la valutazione della base giuridica all’interno dei propri processi decisionali e documentali, ad esempio mediante la predisposizione di informative chiare e coerenti, nonché attraverso la tracciabilità delle scelte effettuate.
In definitiva, la corretta individuazione della base giuridica non rappresenta un adempimento meramente formale, ma costituisce uno strumento essenziale di governo del trattamento, funzionale a garantire la liceità, la trasparenza e la prevedibilità delle operazioni effettuate sui dati personali.
5. Conclusioni
Il provvedimento del 29 gennaio 2026 si inserisce in un percorso evolutivo dell’interpretazione del Reg UE 2016/679 che segna il definitivo superamento di una concezione meramente formale della protezione dei dati personali.
Esso evidenzia come il fulcro della valutazione dell’Autorità non risieda più esclusivamente nella verifica della presenza di una base giuridica, ma nella concreta capacità del titolare di gestire il trattamento in modo controllato, proporzionato e documentato.
In tale prospettiva, il rischio giuridico non deriva tanto dal trattamento dei dati in sé, quanto dalla loro gestione non governata, dalla diffusione eccedente e dalla mancanza di strumenti idonei a dimostrare la conformità alla normativa.
Per i soggetti pubblici, e in particolare per le istituzioni scolastiche, il provvedimento assume un rilievo paradigmatico, in quanto conferma la necessità di adottare un modello organizzativo orientato alla prevenzione del rischio, alla responsabilizzazione degli operatori e alla tracciabilità delle decisioni.
In definitiva, la protezione dei dati personali si configura sempre più come un elemento strutturale dell’azione amministrativa, la cui corretta gestione non solo evita profili sanzionatori, ma contribuisce a rafforzare la legittimità e l’affidabilità dell’istituzione nei confronti degli interessati.
