Privacy a scuola: il Garante ammonisce un istituto per la diffusione di dati sanitari
La privacy a scuola finisce sotto i riflettori: vietato unificare le risposte al sindacato per comodità organizzativa
Velinda Cisternino
La privacy a scuola torna al centro dell'attenzione dopo un caso accaduto in Sardegna. Un istituto ha gestito male alcune comunicazioni e ha lasciato che una docente leggesse i dati sanitari di una collega. A intervenire è stato il Garante per la protezione dei dati personali, che ha bocciato la scelta della dirigenza di rispondere a due reclami con un solo documento.
Cosa è successo in Sardegna
Tutto nasce da una questione di assegnazione delle classi. Una docente ha presentato un reclamo tramite il proprio sindacato. Lo stesso giorno, un'altra insegnante ha inviato una richiesta simile usando la stessa sigla sindacale. La scuola ha pensato di semplificarsi il lavoro. Ha risposto a entrambe con un unico documento, allegato a una sola PEC (posta elettronica certificata). Il problema è che quel file conteneva informazioni delicate. C'erano riferimenti a ricoveri ospedalieri, assenze per motivi medici e richieste di visite collegiali. Così una lavoratrice ha letto i dati sanitari della collega, senza averne alcun diritto.
Le giustificazioni dell'istituto
La dirigenza scolastica si è difesa parlando di pura praticità. Nelle memorie inviate all'Autorità, l'amministrazione ha spiegato la propria scelta con queste parole: «la scelta di unificare le comunicazioni è stata dettata da ragioni di economia procedurale, considerando che entrambi i reclami provenivano dalla stessa organizzazione sindacale con un'unica email». Secondo la scuola, il filtro spettava al sindacato. I dirigenti pensavano che fosse la rappresentanza sindacale a dover inserire gli omissis prima di girare la risposta alle interessate. Hanno poi descritto l'episodio come una disattenzione isolata e priva di dolo, legata solo al momento dell'invio.
La decisione del Garante
Il Garante, con il provvedimento del 16 gennaio 2026, ha messo i puntini sulle i. Il datore di lavoro deve sempre usare comunicazioni individuali. Solo così evita che persone non autorizzate leggano informazioni riservate. L'Autorità è stata netta: l'economia procedurale non giustifica mai la diffusione di dati personali sul posto di lavoro. La scuola, in pratica, doveva preparare due note separate. Il dovere di proteggere la riservatezza ricade solo sull'amministrazione, mai sul sindacato. Le notizie su malattie e visite mediche, ha ricordato il Garante, sono dati sulla salute e vanno tutelate al massimo.
L'ammonimento e le attenuanti
Alla fine il comportamento della scuola è stato giudicato illecito. L'Autorità ha però riconosciuto alcune attenuanti che hanno pesato sulla decisione finale. I giudici hanno valutato con attenzione il contesto e la buona fede dimostrata dall'istituto. Ecco i fattori che hanno alleggerito la posizione della dirigenza:
l'errore è avvenuto in buona fede;
la violazione ha coinvolto soltanto due persone;
l'amministrazione ha collaborato in modo attivo;
la scuola ha subito aggiornato le procedure con una nuova circolare.
Per questi motivi il Garante ha scelto un semplice ammonimento formale. Niente multe, quindi, e caso chiuso senza altre sanzioni.
