PEI pubblicato per errore nel registro elettronico: ammonimento del Garante Privacy

Un recente caso di errata pubblicazione di un Piano Educativo Individualizzato (PEI) sul registro elettronico ha acceso l’attenzione sull’importanza della protezione dei dati sensibili in ambito scolastico. L’incidente, avvenuto in una scuola italiana, ha portato all’intervento del Garante per la protezione dei dati personali, a seguito del reclamo presentato da un legale su incarico di due genitori. Pur riconoscendo l’illiceità del trattamento, l’Autorità ha valutato l’accaduto come un episodio di lieve entità, considerando vari fattori attenuanti.

L’errore e la diffusione involontaria

L’incidente si è verificato quando una docente di sostegno, per errore, ha impostato in modo scorretto l’opzione di visibilità del PEI di un alunno nel registro elettronico, rendendolo accessibile a tutti i genitori della classe anziché solo a quelli interessati. Il documento, contenente dati sullo stato di salute psicofisico dello studente, è rimasto visibile per circa 22 minuti prima che l’errore fosse corretto. Durante questo lasso di tempo, un genitore ha catturato uno screenshot della schermata e lo ha condiviso nella chat di classe, aumentando la portata della diffusione non autorizzata. Tuttavia, dalle verifiche condotte non sono emerse prove di apertura o download del documento da parte di terzi.

Le azioni correttive della scuola

A seguito dell’accaduto, l’istituto scolastico ha adottato una serie di misure organizzative e tecniche per evitare il ripetersi di simili violazioni:

• Divieto di condivisione digitale dei PEI tramite il registro elettronico
• Preferenza per la consegna cartacea dei documenti, esclusivamente ai genitori interessati
• Formazione rafforzata del personale scolastico, con particolare attenzione ai docenti con incarichi temporanei, sull’utilizzo degli strumenti digitali e sulla gestione dei dati sensibili
• Revisione dei modelli digitali per eliminare riferimenti diretti alla disabilità degli studenti

La dirigente scolastica ha inoltre collaborato pienamente con l’Autorità nel corso dell’istruttoria, chiarendo che si è trattato di un errore materiale commesso da una docente supplente.

La valutazione del Garante

Il Garante per la protezione dei dati personali ha valutato l’episodio alla luce del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy, qualificando il trattamento dei dati come illecito. Tuttavia, ha riconosciuto la lieve entità della violazione, in considerazione di diversi elementi attenuanti:

• La breve durata dell’accessibilità del documento
• L’assenza di prove che dimostrino la consultazione o il salvataggio del file
• La natura involontaria dell’errore
• L’inesistenza di precedenti simili nella stessa scuola

Nonostante ciò, è stato ribadito che anche una divulgazione parziale e involontaria di dati relativi alla salute costituisce una violazione delle norme europee e nazionali sulla privacy.

I provvedimenti adottati dall’autorità

A conclusione dell’istruttoria, il Garante ha adottato i seguenti provvedimenti:

• Dichiarazione di illiceità del trattamento dei dati personali
• Emissione di un ammonimento formale ai sensi dell’art. 58 del GDPR
• Disposizione della pubblicazione del provvedimento per finalità di trasparenza e prevenzione
• Nessuna ulteriore sanzione, ritenendo limitata la portata della violazione e valutando positivamente la reazione correttiva dell’istituto