Privacy a scuola: pubblicati online elenchi delle classi, sanzione al DS

La gestione della privacy a scuola resta un tema critico. Un caso recente ha visto un dirigente scolastico citato dalla Corte dei Conti dopo una sanzione del Garante Privacy. Il motivo? Aver pubblicato la composizione delle classi sul sito web dell'istituto. Questa azione, in violazione delle norme sulla tutela dei dati personali, ha innescato un procedimento per danno erariale.

La violazione e la sanzione del Garante della Privacy

Tutto ha origine da una prassi purtroppo diffusa ma illegittima: la pubblicazione degli elenchi delle classi sul portale web della scuola all'inizio dell'anno. Questa operazione espone dati personali degli studenti, come nome, cognome e la classe frequentata, a una platea indeterminata. Nel caso specifico, la segnalazione è partita da una docente interna all'istituto, che ha allertato l'Autorità di vigilanza.

Il Garante per la protezione dei dati personali ha avviato un'istruttoria, confermando l'illecito trattamento dei dati. La pubblicazione è avvenuta in assenza di esplicito consenso da parte dei genitori o degli studenti maggiorenni, violando i principi fondamentali del GDPR. Di conseguenza, l'autorità ha emesso un'ordinanza ingiunzione, comminando una sanzione amministrativa pecuniaria di circa 20.000 euro.

Il ruolo del DS e la responsabilità contabile

La vicenda non si è chiusa con la multa. Il mancato pagamento della sanzione nei termini previsti ha fatto scattare l'iscrizione a ruolo e la notifica di una cartella esattoriale da parte dell'Agenzia delle Entrate. A questo punto è intervenuta la Procura regionale della Corte dei Conti. L'accusa mossa al dirigente non era più solo la violazione della privacy, ma il danno erariale: aver causato un esborso finanziario ingiusto (la sanzione) alle casse dell'istituto, che è un ente pubblico.

Il Pubblico Ministero ha evidenziato la colpevole superficialità del dirigente. Egli, in qualità di titolare del trattamento dei dati, aveva omesso di implementare un sistema di gestione privacy adeguato, mancando di nominare responsabili e di fornire direttive chiare al personale.

Privacy scuola: l'epilogo e gli obblighi di gestione

Il dirigente scolastico è il responsabile legale e titolare del trattamento dei dati nell'istituto che dirige. La sentenza sottolinea come egli avesse l'obbligo di predisporre circolari e note d'indirizzo precise per i sottoposti (personale ATA e docenti) sulla corretta gestione dei dati. Inoltre, era tenuto a effettuare controlli periodici sull'effettiva osservanza della normativa, specialmente sull'operato degli uffici di segreteria.

L'omissione di queste verifiche per un tempo prolungato è stata giudicata una grave negligenza. Il procedimento contabile si è infine concluso con la "cessazione della materia del contendere". Questo è avvenuto perché il dirigente, messo alle strette, ha provveduto personalmente a rimborsare l'istituto scolastico, effettuando un bonifico pari all'importo della sanzione contestata, sanando così il depauperamento delle casse erariali che aveva causato.