Violazione della privacy scolastica: PEI inviati per errore a terzi, il Garante sanziona l’Istituto

Un recente provvedimento del Garante della privacy (n. 767 del 12 dicembre 2024, doc. web n. 10099052) ha messo in evidenza l’importanza della corretta gestione dei dati personali, soprattutto in ambito scolastico, dove si trattano spesso informazioni sensibili relative a minori. Il caso riguarda un istituto scolastico che ha involontariamente diffuso dati personali contenuti nei Programmi Educativi Individualizzati (PEI) a destinatari non autorizzati. La violazione, seppur frutto di errore materiale, ha comportato la comunicazione illecita di dati, portando alla sanzione amministrativa di 1.000 euro.

I fatti accertati dal Garante

Una cittadina ha presentato segnalazione all’Autorità Garante per la protezione dei dati personali, denunciando di aver ricevuto, più volte, comunicazioni via e-mail da una scuola contenenti Programmi Educativi Individualizzati (PEI) riferiti ad alunni con disabilità. Queste comunicazioni, indirizzate erroneamente al suo indirizzo e-mail, riportavano in chiaro anche gli indirizzi di posta elettronica di altri destinatari, oltre ai nominativi degli studenti interessati.

L’istituto scolastico, in sede di chiarimento, ha attribuito l’errore a un caso di omonimia tra la segnalante e una docente dell’istituto. In particolare, è emerso che l’Assistente Amministrativa incaricata della didattica aveva selezionato un indirizzo errato a causa del sistema di autocompletamento del gestionale di posta elettronica utilizzato.

La posizione della scuola e le giustificazioni presentate

Nelle sue memorie difensive, l’istituto scolastico ha evidenziato che:

• L’errore è da attribuirsi a un errato invio tramite e-mail dell’invito alla riunione del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO).
• Le comunicazioni contenevano solo i nomi degli alunni e le date degli incontri, senza espliciti riferimenti allo stato di salute.
• La posta elettronica all’epoca era gestita dal Direttore dei Servizi Generali e Amministrativi (DSGA) e da un Assistente Amministrativo, non dalla dirigente scolastica, che quindi non era a conoscenza né del problema né della segnalazione.

Il quadro normativo di riferimento

La vicenda è stata valutata alla luce del Regolamento (UE) 2016/679 (GDPR), che definisce come dato personale qualsiasi informazione che consenta l’identificazione diretta o indiretta di una persona fisica. I dati relativi alla salute rientrano tra le categorie particolari di dati personali, e sono soggetti a specifiche tutele (art. 9 GDPR).

Secondo l’art. 5 del GDPR, i dati personali devono essere trattati in modo lecito, corretto e trasparente; devono essere raccolti per finalità determinate e legittime; e devono essere protetti da accessi non autorizzati.

Inoltre, l’art. 2-ter e l’art. 2-sexies del Codice Privacy italiano stabiliscono le basi di liceità per il trattamento dei dati da parte di soggetti pubblici, specificando in quali casi è ammesso il trattamento di dati sensibili e quali cautele debbano essere adottate.

Errore umano e gestione inadeguata della posta elettronica

L’invio in chiaro degli indirizzi di posta elettronica nella comunicazione ha configurato una comunicazione non autorizzata di dati personali a terzi. Anche in mancanza di dettagli specifici sullo stato di salute, il semplice riferimento al PEI, documento specifico per gli alunni con disabilità, è sufficiente per configurare una violazione della privacy.

Il Garante ha ribadito che l’utilizzo di mailing list in chiaro (senza usare la funzione CCN - copia conoscenza nascosta) costituisce una violazione della normativa, in quanto rende visibili a tutti i destinatari gli indirizzi di posta elettronica altrui, realizzando di fatto una diffusione di dati personali non autorizzata.

Conclusioni del Garante e sanzione amministrativa

Alla luce degli elementi raccolti, il Garante ha stabilito che l’istituto scolastico ha effettuato una comunicazione illecita di dati personali e di categorie particolari di dati personali, in violazione degli articoli 5, 6 e 9 del Regolamento (UE) 2016/679, nonché delle corrispondenti disposizioni del Codice Privacy italiano.

Considerata la natura del trattamento, l’entità della violazione, e il fatto che l’errore si sia ripetuto più volte, pur senza dolo, è stata comminata una sanzione amministrativa di 1.000 euro.

Riflessioni e raccomandazioni

Questo caso evidenzia ancora una volta la necessità per le pubbliche amministrazioni, e in particolare per le scuole, di adottare misure tecniche e organizzative adeguate per la protezione dei dati personali. Formazione continua del personale, configurazione sicura dei sistemi informatici e attenzione nella gestione delle comunicazioni elettroniche sono strumenti fondamentali per evitare violazioni che possono compromettere la fiducia degli utenti e l’integrità dell’istituzione scolastica.

In sintesi, anche un semplice errore di invio può generare conseguenze rilevanti in termini di responsabilità e sanzioni: la privacy non è un’opzione, ma un dovere.