Nota al provvedimento del Garante per la protezione dei dati personali del 16 gennaio 2026, n. 4/2026 (doc. web n. 10218932)
Indice
- Ricostruzione dei fatti
- Inquadramento giuridico
- Profili di illiceità del trattamento
- Il comportamento conforme richiesto dall’ordinamento
- Conclusioni
1. Ricostruzione dei fatti
Il caso trae origine da un reclamo presentato da una studentessa nei confronti di un Istituto Scolastico. L’interessata lamentava la pubblicazione, sul sito web istituzionale dell’Istituto, degli esiti delle prove intermedie e finali degli esami di Stato, nonché del diario dei colloqui orali, comprensivo di nomi e cognomi degli alunni suddivisi per classe.
Dall’istruttoria è emerso che tale pubblicazione era avvenuta in violazione di precise disposizioni impartite dal dirigente scolastico, che aveva invece ordinato di limitare la diffusione agli atti riservati del registro elettronico e all’albo fisico della scuola. L’errore materiale è stato ricondotto a una errata interpretazione, da parte di un’assistente amministrativa, delle richieste pervenute dai Presidenti di Commissione, i quali avevano sollecitato la pubblicazione degli atti. Non appena informato della contestazione, l’Istituto ha provveduto all’immediata rimozione dei dati dal sito web.
Anche questo caso si inserisce in un contesto più ampio di crescente attenzione da parte dell’Autorità verso trattamenti caratterizzati da una gestione non controllata dei dati, soprattutto laddove questi siano potenzialmente accessibili a una pluralità indeterminata di soggetti.
2. Inquadramento giuridico
Il trattamento dei dati personali posto in essere da un’istituzione scolastica , quale ente pubblico per definizione, deve conformarsi al principio di legalità, declinato negli artt. 6 e 9 del Reg. UE 2016/679 e trasposto nel quadro normativo interno dal Codice Privacy (d.lgs. 196/2003, novellato dal d.lgs. 101/2018).
Ai sensi dell’art. 6, paragrafo 1, lett. c) ed e) del Reg. UE 2016/679, il trattamento è lecito esclusivamente se:
- è necessario per adempiere a un obbligo legale al quale è soggetto il titolare (lett. c);
- è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare (lett. e).
Il punto focale della violazione risiede nella distinzione tra comunicazione (trasmissione dei dati a soggetti determinati) e diffusione (messa a conoscenza di dati personali a soggetti indeterminati, in questo caso tramite sito web pubblico).
L’art. 2-ter, comma 3, del Codice Privacy impone un vincolo rigoroso a mente del quale “La diffusione e la comunicazione di dati personali […] sono ammesse solo quando previste da una norma di legge o di regolamento”.
L’attività dell’Istituto non ha trovato riscontro in alcuna norma di legge che imponesse la pubblicazione dei nominativi, delle date dei colloqui e degli esiti su un’area web accessibile a chiunque (“albo on-line” inteso come vetrina pubblica). La pubblicità degli atti scolastici, sebbene necessaria per fini di trasparenza, deve avvenire attraverso canali protetti (Registro Elettronico) o mediante l’affissione all’albo fisico, qualora sia previsto dalla normativa di settore, sempre nel rispetto del principio di minimizzazione.
L’Istituto, ancora, in qualità di Titolare, è tenuto al rispetto dell’art. 24 e 25 del Reg. UE 2016/679 (Privacy by Design e by Default). L’inquadramento giuridico si completa con la richiamata giurisprudenza della Corte di Giustizia UE (causa C-741/21) a mente del quale il dipendente agisce sotto l’autorità del Titolare e quest’ultimo non può esonerarsi dalla responsabilità invocando l’errore umano o il fraintendimento delle istruzioni, poiché l’organizzazione è tenuta ad assicurarsi che i propri assetti organizzativi e le proprie istruzioni siano idonei a prevenire il rischio di violazione (art. 32 GDPR Reg. UE 2016/679).
La condotta della scuola, in sintesi, è risultata priva di “base normativa” (art. 6 Reg. UE 2016/679) e ha violato il principio di riservatezza, trasformando un adempimento amministrativo (pubblicazione esiti) in una diffusione non autorizzata di dati personali, in quanto il mezzo utilizzato (sito web pubblico) non era pertinente né proporzionato rispetto alla finalità prevista dalla normativa scolastica.
3. Profili di illiceità del trattamento
Dalla ricostruzione operata dall’Autorità emerge come il trattamento oggetto di esame presenti diversi profili di illiceità, riconducibili principalmente alla violazione dei principi fondamentali del Reg. UE 2016/679.
3.1 Violazione del principio di “minimizzazione” e “pertinenza” (art. 5, par. 1, lett. c, Reg. UE 2016/679)
Il principio di minimizzazione impone che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. La pubblicazione sul sito web (area pubblica) di nominativi e dettagli relativi ai colloqui orali eccede le finalità di trasparenza scolastica. Sebbene la pubblicazione degli esiti sia un atto necessario, essa deve essere circoscritta (es. solo voti senza identificativi se non necessario, o comunque non accessibile a motori di ricerca esterni). Diffondere indiscriminatamente l’abbinamento tra “nominativo”, “classe” e “data del colloquio” sul web espone gli studenti a un trattamento non necessario e sproporzionato rispetto alla finalità informativa.
3.2 Assenza di una “base giuridica” per la diffusione (art. 6, par. 1, lett. c ed e, Reg. UE 2016/679)
Perché un trattamento sia lecito, deve basarsi su una norma di legge. Nel caso analizzato a) non esisteva alcuna norma che imponesse la pubblicazione dei nominativi con tale modalità (sito web pubblico); b) l’Istituto ha agito in contrasto con le circolari interne che indicavano il Registro Elettronico e l’albo fisico come unici canali autorizzati; c) il trattamento è stato definito “illecito” proprio perché è mancato il presupposto normativo che legittimasse la “diffusione” dei dati.
3.3 Mancato presidio del Titolare e culpa in vigilando (Art. 32 Reg. UE 2016/679)
L’art. 32 del Reg. UE 2016/679 impone al titolare di adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Il Garante ha rilevato che:
- La scuola, in qualità di titolare, non ha garantito l’efficace attuazione delle proprie istruzioni.
- Non è stato attivato un filtro o un controllo di conformità (es. validazione di quanto pubblicato prima della messa online) da parte di chi, nell’istituto, aveva la responsabilità tecnica della gestione del sito.
- La giurisprudenza (anche quella della Corte di Giustizia citata dal Garante / causa C-741/21) chiarisce che il Titolare non può invocare la “negligenza del dipendente” per scusare l’illecito: il rischio derivante dall’errore umano deve essere gestito attraverso una supervisione adeguata e processi di controllo (workflow).
3.4 Violazione del principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a, Reg. UE 2016/679)
Il trattamento è stato considerato non conforme poiché è avvenuto in violazione di quanto preventivamente disposto dal dirigente scolastico. L’illiceità deriva dalla divergenza tra il comportamento tenuto (pubblicazione web indiscriminata) e la prassi corretta (riservatezza dei dati degli alunni). La mancata conformità alle istruzioni impartite trasforma un’operazione amministrativa prevista in un trattamento abusivo, privo di base giuridica.
La scuola ha confuso la necessità di comunicare gli esiti agli studenti (legittimo) con la necessità di diffonderli al pubblico (illecito). Poiché il sito istituzionale è accessibile indistintamente a chiunque navighi in rete, la condotta è stata inquadrata dal Garante come diffusione illecita, una forma di trattamento che, nel settore scolastico, richiede cautela estrema, proprio per la particolare natura e vulnerabilità dei dati trattati (dati di minori).
4. Il comportamento conforme richiesto dall’ordinamento
Dalla ricostruzione dei profili di illiceità sopra delineati emerge come le violazioni riscontrate non siano riconducibili a singole e isolate irregolarità, bensì a una gestione complessiva del trattamento non conforme ai principi fondamentali del Reg. UE 2016/679. In particolare, la combinazione tra diffusione eccedente dei dati, carenza di una base giuridica adeguata e assenza di un sistema strutturato di accountability ha evidenziato un deficit organizzativo e decisionale del titolare, tale da compromettere la liceità del trattamento nel suo complesso.
Di seguito si riassumono le azioni che avrebbero garantito la liceità del trattamento:
1. Pubblicazione basata sul principio del “Need-to-Know”
Il comportamento corretto impone di distinguere nettamente tra “comunicazione” (diretta agli interessati) e “pubblicazione” (pubblica).
Gli esiti delle prove intermedie e finali potevano essere pubblicati esclusivamente all’interno dell’area riservata del Registro Elettronico, accessibile tramite credenziali personali solo agli studenti e alle famiglie coinvolte.
In presenza di norme che impongano la pubblicità legale, questa deve avvenire sempre in forme che minimizzino l’esposizione dei dati (ad esempio, utilizzando elenchi con soli voti e codici identificativi, o limitando l’accesso tramite password) ed evitando l’indicizzazione da parte dei motori di ricerca (es. tramite file robots.txt che inibisca lo spidering del web).
2. Formazione e sensibilizzazione del personale
L’errore è stato innescato da una cattiva interpretazione di una richiesta verbale. Il comportamento corretto sarebbe stato sicuramente garantito a seguito di una formazione specifica, mirata sugli aspetti privacy (anche sulla distinzione tra “pubblicità legale” e “violazione della privacy”).
Le direttive del Dirigente, ancora, specialmente in momenti critici come la chiusura degli scrutini, devono essere formalizzate in circolari interne scritte, evitando istruzioni verbali che si prestano a ambiguità o errori di interpretazione (come accaduto in questo caso con la telefonata).
3. Monitoraggio e Audit (Privacy by Default)
L’Istituto avrebbe dovuto effettuare verifiche periodiche (audit) sui contenuti pubblicati sul proprio sito web. Un controllo a campione (es. verificando cosa è visibile nella cartella “Esami di Stato”) avrebbe permesso di identificare tempestivamente l’errore di pubblicazione prima che il dato venisse indicizzato o visto da terzi.
4. Ruolo del DPO (Data Protection Officer)
Il DPO, quale figura di supporto, avrebbe dovuto essere coinvolto nella stesura delle procedure di pubblicazione degli atti scolastici online, garantendo che le modalità scelte dall’Istituto fossero, fin dall’origine, conformi al principio di minimizzazione.
In sintesi, il comportamento corretto non è solo una questione di “buona volontà”, ma di progettazione del processo: definire chi può fare cosa, su quale piattaforma, e con quali controlli di sicurezza, garantendo che l’errore umano venga mitigato da procedure tecniche che impediscono la diffusione impropria dei dati.
5. Conclusioni
Il provvedimento analizzato si inserisce in un percorso evolutivo dell’interpretazione del Reg UE 2016/679 che ormai ha contrassegnato il definitivo superamento di una concezione meramente formale della protezione dei dati personali. Esso evidenzia come il fulcro della valutazione dell’Autorità non risieda più esclusivamente nella verifica della presenza di una base giuridica, ma nella concreta capacità del titolare di gestire il trattamento in modo controllato, proporzionato e documentato.
Il provvedimento n. 4/2026 rappresenta un tassello significativo nel panorama della compliance scolastica. Al di là della sanzione pecuniaria comminata – che, pur limitata a 2.000 euro in virtù della collaborazione dell’Istituto, funge da monito dissuasivo – la decisione del Garante chiarisce tre punti fondamentali per le amministrazioni pubbliche:
- Responsabilità oggettiva e organizzativa: il Garante ribadisce con forza che il Titolare del trattamento non può sottrarsi alla responsabilità richiamando l’errore umano o il fraintendimento del singolo dipendente. L’organizzazione deve essere strutturata per prevenire il rischio, e l’assenza di procedure di validazione robuste configura una violazione dell’art. 32 del Reg. UE 2016/679.
- Il primato della Riservatezza sulla Trasparenza: spesso, nel mondo scolastico, si genera un conflitto tra il dovere di trasparenza (pubblicità degli atti) e il diritto alla protezione dei dati degli studenti. Il Garante ricorda che la trasparenza non è un concetto assoluto posto che essa è legittima solo se veicolata attraverso canali selettivi (Registro Elettronico) e mai attraverso una “diffusione indiscriminata” (sito web pubblico) che non trova giustificazione in alcuna norma di legge.
- L’importanza della prevenzione: la decisione sottolinea che l’informatizzazione non esime dal rigore procedurale. Al contrario, essa impone un controllo maggiore poiché l’impatto di un errore digitale è esponenzialmente più grave di quello analogico: una volta che il dato è online, il suo effetto di diffusione è immediato e potenzialmente incontrollabile.
Il provvedimento analizzato, in definitiva, ricorda agli istituti scolastici che la protezione dei dati personali non è un mero adempimento burocratico formale, bensì il fulcro del rapporto di fiducia tra l’istituzione pubblica, le famiglie e gli studenti.
La lezione che ne deriva è chiara: la tecnologia deve essere al servizio della privacy, e non viceversa. Ogni innovazione digitale nelle scuole deve essere accompagnata da una ferrea governance interna, dove la consapevolezza del personale e la formalizzazione dei processi sono gli unici presidi efficaci contro il rischio di illiceità.
