Nota al provvedimento del Garante per la protezione dei dati personali del 4 dicembre 2025, Registro dei provvedimenti n. 732/2025 (doc. web n. 10209089).
Analisi del provvedimento del Garante Privacy n. 732/2025 su un data breach scolastico: errori nell’uso delle email, violazioni GDPR e misure di conformità richieste.
Indice
- Ricostruzione dei fatti
- Inquadramento giuridico
- Il principio di Liceità e la Base Giuridica (Art. 6 Reg. UE 2016/679)
- Principi di Accountability e Sicurezza del Trattamento (Artt. 5 e 32 Reg. UE 2016/679)
- Categorie particolari di dati e il divieto di diffusione (Art. 9 Reg. UE 2016/679 e Art. 2-septies Codice)
- La responsabilità del titolare e le Istruzioni Operative (Artt. 29 e 32 Reg. UE 2016/679)
- Profili di illiceità del trattamento: l’errore dell’Istituto scolastico
- Il comportamento conforme richiesto dall’ordinamento
- Conclusioni
1. Ricostruzione dei fatti
Il Provvedimento oggetto di analisi trae origine da un reclamo presentato da alcuni genitori nei confronti di un Istituto Comprensivo reo di aver inviato una comunicazione massiva, a mezzo e-mail, avente ad oggetto “Adempimenti vaccinali relativi agli alunni minori di anni 16 – SOLLECITO”.
L’Istituto, nel procedere all’invio della comunicazione a una pluralità di destinatari, ometteva di utilizzare la funzione di “Copia Conoscenza Nascosta” (CCN), lasciando in chiaro gli indirizzi e-mail dei destinatari del messaggio rendendo, in tal modo, visibili i contatti degli interessati a tutti i destinatari, determinando una violazione della riservatezza dei dati personali dei soggetti coinvolti.
L’Istituto scolastico approntava le proprie memorie difensive sostenendo anche che si fosse trattato di un mero errore “del tutto accidentale senza alcuna intenzione o interesse sotteso che possa far presumere un carattere doloso della violazione”; negli scritti difensivi, ancora, si sosteneva l’assenza di diffusione illecita di “dati relativi alla salute di soggetti interessati, ovvero dati particolari” in quanto “il testo della lettera di sollecito, infatti, contiene una descrizione assolutamente neutra e scevra da qualsivoglia indicazione relativa alla presenza o meno dei vaccini”.
Il Garante rammenta, in buona sostanza, che il trattamento dei dati personali effettuato da un’istituzione scolastica, in qualità di soggetto pubblico, è disciplinato da un complesso quadro normativo che integra il Regolamento (UE) 2016/679 (REG. UE 2016/679) con le norme nazionali del D.Lgs. 196/2003 (Codice Privacy), come novellato dal D.Lgs. 101/2018.
L’analisi che segue, in relazione al caso di specie, si articola sui seguenti pilastri fondamentali:
- Il principio di Liceità e la Base Giuridica (Art. 6 REG. UE 2016/679);
- Principi di Accountability e Sicurezza del Trattamento (Artt. 5 e 32 REG. UE 2016/679);
- Categorie particolari di dati e il Divieto di Diffusione (Art. 9 REG. UE 2016/679 e Art. 2-septies Codice).
2. Inquadramento giuridico
Per una attenta disamina del caso analizzato dall’Authority pare utile analizzare, puntualmente, i principi sopra enunciati.
2.1 Il principio di Liceità e la Base Giuridica (Art. 6 Reg. UE 2016/679)
Ai sensi dell’art. 6, paragrafo 1, lett. c) ed e) del Reg. UE 2016/679, il trattamento dei dati personali da parte di un ente pubblico è lecito solo se necessario per l’adempimento di un obbligo legale o per l’esecuzione di un compito di interesse pubblico. Nel contesto scolastico, tale base giuridica deve essere determinata dal diritto dell’Unione o dello Stato membro (art. 6, par. 3).
La violazione contestata sorge poiché, sebbene la finalità (gestione vaccinale) fosse lecita, la modalità del trattamento (diffusione mediante invio in chiaro) ha ecceduto il perimetro di necessità e proporzionalità, non trovando alcun fondamento normativo che legittimi l’esposizione dei contatti di terzi a soggetti non autorizzati.
2.2 Principi di Accountability e Sicurezza del Trattamento (Artt. 5 e 32 Reg. UE 2016/679)
L’art. 5, par. 1, lett. a) e c) del Reg. UE 2016/679 impone che i dati siano trattati in modo lecito, corretto, trasparente e, soprattutto, secondo il principio di minimizzazione, che esige che i dati siano adeguati, pertinenti e limitati a quanto strettamente necessario. L’errore materiale di invio integra una violazione dell’art. 32 del REG. UE 2016/679, che obbliga il titolare (la scuola) a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio. La giurisprudenza e la prassi del Garante chiariscono che l’adozione di strumenti tecnici (come la funzione CCN) non è una mera prassi interna, ma un obbligo derivante dal principio di privacy by design e by default (art. 25 Reg. UE 2016/679).
2.3 Categorie particolari di dati e il divieto di diffusione (Art. 9 Reg. UE 2016/679 e Art. 2-septies Codice)
Sebbene l’Istituto abbia tentato di qualificare la comunicazione come “neutra”, la giurisprudenza del Garante è costante nel ritenere che la gestione di adempimenti sanitari (vaccinali) attiri su di sé l’applicazione dell’art. 9 del Reg. UE 2016/679, relativo al trattamento di “categorie particolari di dati”. In ambito nazionale, l’art. 2-septies, comma 8 del Codice Privacy pone un divieto assoluto di diffusione dei dati relativi alla salute. Anche qualora il dato non fosse strettamente “sanitario”, la comunicazione di indirizzi e-mail in chiaro a una pluralità di soggetti configura una diffusione illecita, poiché rende dati personali conoscibili a soggetti terzi (altri genitori) che non possiedono alcun titolo giuridico per conoscere tali recapiti.
2.4 La responsabilità del titolare e le Istruzioni Operative (Artt. 29 e 32 Reg. UE 2016/679)
Ai sensi dell’art. 29 del Reg. UE 2016/679, chiunque agisca sotto l’autorità del titolare deve trattare i dati esclusivamente su istruzione dello stesso. La carenza organizzativa – ovvero la mancanza di un protocollo che impedisse tecnicamente o proceduralmente l’invio in chiaro – configura una responsabilità diretta della scuola. L’obbligo di formazione del personale non è un adempimento burocratico, ma una misura di sicurezza organizzativa necessaria per prevenire l’errore umano, il quale, sebbene colposo, rimane imputabile al Titolare del trattamento in forza del principio di Accountability (art. 5, par. 2, Reg. UE 2016/679), che impone alla scuola di dimostrare proattivamente di aver fatto tutto il possibile per evitare l’evento lesivo.
In conclusione, l’inquadramento giuridico evidenzia che la conformità non si limita alla finalità del trattamento (la tutela della salute pubblica), ma permea l’intero ciclo di vita del dato, imponendo che ogni comunicazione scolastica sia progettata per minimizzare i rischi e preservare la riservatezza degli interessati secondo i dettami del Regolamento europeo.
3. Profili di illiceità del trattamento: l’errore dell’Istituto scolastico
L’errore commesso dall’Istituto si configura come una sintesi di criticità tecniche e lacune organizzative che hanno portato alla violazione dei principi sopra esplicitati, nonostante la consapevolezza teorica della normativa vigente in capo all’Ente.
L’errore materiale – ovvero l’invio in chiaro di una comunicazione massiva – ha integrato una violazione di sicurezza ai sensi dell’art. 4, punto 12, del Reg. UE 2016/679, comportando un data breach. La condotta ha trasformato una comunicazione tra Titolare e Interessati in una diffusione illecita: rendendo visibili gli indirizzi e-mail di tutti i genitori/tutori ad altri soggetti estranei al rapporto diretto tra il singolo interessato e l’istituzione, la scuola ha violato il principio di integrità e riservatezza sancito dall’art. 5, par. 1, lett. f) del Reg. UE 2016/679. Il dato personale non è stato protetto, venendo esposto a una platea di destinatari non legittimati a conoscerlo.
Sebbene l’Istituto abbia ricondotto l’accaduto a un “mero errore materiale”, la responsabilità non è scriminata dall’assenza di dolo. Sotto il profilo dell’art. 29 del Reg. UE 2016/679, il personale che agisce sotto l’autorità del Titolare deve operare in base a istruzioni tecniche e operative impartite dal Titolare medesimo.
L’errore indica che:
- Mancanza di “barriere” tecniche: l’istituzione non aveva predisposto sistemi di “prevenzione dell’errore” (come il blocco automatico dell’invio in chiaro o l’obbligo di inserimento in CCN tramite software) necessari per mitigare il rischio intrinseco dell’operato umano, contravvenendo alle misure di sicurezza adeguate richieste dall’art. 32 del Reg. UE 2016/679.
- Insufficienza delle procedure: l’affidamento alla “consuetudine” e alla diligenza della singola risorsa umana si è rivelato insufficiente rispetto al rischio di trattamento, violando il principio di accountability che impone al Titolare di dimostrare di aver adottato misure proattive e non meramente formali.
In sintesi, l’errore dell’Istituto risiede nell’aver omesso di tradurre i principi astratti del Reg. UE 2016/679 in procedure operative vincolanti e presidi tecnologici. La violazione è, in ultima analisi, il risultato di un’organizzazione del trattamento che non ha saputo minimizzare il rischio dell’errore umano, nonostante la natura “sensibile” delle informazioni gestite.
4. Il comportamento conforme richiesto dall’ordinamento
Il comportamento conforme che l’ordinamento richiede a un’istituzione scolastica, in qualità di titolare del trattamento, si fonda su una applicazione del principio di Accountability e su un approccio preventivo alla protezione dei dati.
Il comportamento conforme avrebbe dovuto innanzitutto poggiare su una chiara distinzione tra il perseguimento delle finalità di interesse pubblico (gestione degli adempimenti vaccinali) e le modalità operative di esecuzione. Mentre l’attività amministrativa di sollecito è pienamente legittima ai sensi dell’art. 6 del Reg. UE 2016/679, essa non autorizza in alcun modo l’adozione di modalità di comunicazione che espongano i dati a soggetti terzi non legittimati. Il corretto operato richiede che ogni operazione di comunicazione sia limitata esclusivamente ai soggetti che hanno un effettivo titolo giuridico per ricevere l’informazione.
L’istituto avrebbe dovuto adottare strumenti di comunicazione in linea con i principi di “Privacy by Design” e “by Default”, ovvero utilizzare canali protetti (es. l’uso di aree riservate del registro elettronico o piattaforme di file-sharing crittografate al fine di garantire che le informazioni siano accessibili solo agli interessati, evitando la dispersione dei dati tipica della posta elettronica non sicura), con una progettazione in chiave di prevenzione tecnico-organizzativa.
Il comportamento conforme richiede un’analisi preventiva volta a ridurre al minimo il contenuto della comunicazione. Prima di procedere all’invio, il titolare deve valutare se il dato trasmesso sia strettamente necessario; l’impiego di tecniche di pseudonimizzazione o di riferimenti indiretti (es. codici identificativi) costituisce una misura di sicurezza che permette di soddisfare le esigenze organizzative senza compromettere la riservatezza degli interessati.
Infine, il comportamento conforme dell’istituto richiede il presidio costante del capitale umano.
In sintesi, la compliance non si esaurisce nell’intento legittimo dell’amministrazione, ma richiede una governance proattiva che integri costantemente misure tecniche, organizzative e formative, ponendo la protezione dei diritti degli interessati come limite insuperabile dell’azione scolastica.
5. Conclusioni
Il provvedimento quivi analizzato, quindi, ribadisce che il rispetto della protezione dei dati personali non rappresenta un adempimento meramente formale o burocratico, bensì un limite sostanziale all’attività della Pubblica Amministrazione.
Anche nel caso in cui l’Istituto operi per finalità di alto valore sociale, l’azione amministrativa deve comunque arrestarsi di fronte alla tutela dei diritti fondamentali degli interessati. L’efficienza amministrativa non può mai legittimare l’eccedenza nel trattamento, trasformando lecitamente attività organizzative interne in una diffusione generalizzata di informazioni sensibili.
La decisione conferma l’orientamento consolidato dell’Autorità nel presidiare con estremo rigore il trattamento di categorie particolari di dati (art. 9 Reg. UE 2016/679) e le informazioni riguardanti soggetti vulnerabili (minori). I principi di minimizzazione, necessità e proporzionalità devono guidare ogni operazione di trattamento, fungendo da bussola per evitare trattamenti eccedenti. Quando si trattano dati relativi alla salute la protezione deve essere rafforzata, impedendo che la gestione documentale diventi fonte di stigmatizzazione sociale o discriminazione per gli interessati.
Il Garante, pur prendendo atto dei correttivi apportati dall’Istituto (notifica tempestiva del data breach e richiesta alla software house di implementare alert di sicurezza), ribadisce l’obbligo di conformità sostanziale. L’efficienza amministrativa non può giustificare lacune nella protezione dei dati. L’evento dimostra che la tutela della privacy deve essere integrata nei processi lavorativi quotidiani (Accountability), e che le misure di sicurezza devono essere costantemente monitorate e aggiornate per prevenire trattamenti illeciti, anche laddove dovuti a colpa lieve o errore accidentale.
| Punto di Analisi | Descrizione Sintetica | Riferimento Normativo (GDPR) |
|---|---|---|
| Evento Lesivo | Invio di e-mail massiva su "Adempimenti vaccinali" con indirizzi e-mail dei destinatari in chiaro. | Art. 4, punto 12 (Data Breach) |
| Criticità Tecnica | Mancato utilizzo del campo CCN (Copia Conoscenza Nascosta) per comunicazioni a destinatari multipli. | Art. 32 (Sicurezza del trattamento) |
| Responsabilità | Errore umano (assistente amministrativo) ma imputabile al Titolare per carenza di sistemi di prevenzione. | Art. 5, 29, 32 |
| Dati Trattati | Dati comuni e, indirettamente, dati relativi allo stato vaccinale (categorie particolari di dati). | Art. 9 |
| Comportamento Conforme | Obbligo di uso del CCN + Implementazione di avvisi automatici (alert) nel software di posta. | Art. 25 (Privacy by Design) |
| Mitigazione Rischio | Tempestiva notifica di violazione (art. 33) e impegno alla formazione specifica del personale. | Art. 33 |
In conclusione la regola aurea che deve guidare ogni “operatore” è domandarsi, ogni volta che si comunica verso l’esterno, se l’informazione trasmessa deve essere accessibile a chiunque o se, invece, solo ad una cerchia ristretta o, ancora, solo ad un determinato interessato.
Il “Data Breach” non richiede dolo: la negligenza o l’errore materiale (es. dimenticare il CCN) costituiscono violazione della sicurezza se l’organizzazione non ha predisposto barriere tecniche per impedire l’errore umano.
