Voti e nomi pubblicati online: il Garante Privacy sanziona un liceo di Como

Una scuola superiore di Como è stata sanzionata con 2.000 euro per aver reso accessibili a tutti gli esiti delle prove e i calendari d'esame. L'intervento del Garante Privacy scuola, scattato dopo la segnalazione di un'alunna, ribadisce il divieto di diffusione indiscriminata dei dati personali degli studenti sul web.

La violazione dei dati: dai voti intermedi al calendario dei colloqui

La vicenda, che accende nuovamente i riflettori sulla complessa digitalizzazione della pubblica amministrazione, ha avuto origine da un errore procedurale che ha esposto dati sensibili. Non si è trattato di una semplice svista su un voto finale, ma della pubblicazione integrale sul sito istituzionale — accessibile a chiunque senza credenziali — di documenti che dovevano restare riservati. Nello specifico, l'istituto comasco ha caricato online i risultati delle prove intermedie, gli esiti degli scrutini finali e, fatto ancor più grave, il calendario dettagliato dei colloqui orali.

Questi elenchi associavano in modo chiaro i nomi e cognomi degli studenti alle rispettive classi e ai risultati conseguiti. Una studentessa, accortasi della disponibilità pubblica di queste informazioni, ha deciso di tutelare la propria riservatezza presentando un reclamo formale all'Autorità garante per la protezione dei dati personali. L’istruttoria che ne è seguita ha confermato come la diffusione non riguardasse solo i punteggi, ma coinvolgesse informazioni personali riconducibili direttamente ai minori, creando un potenziale pregiudizio per la loro privacy.

La difesa dell'istituto e l'intervento del Garante Privacy scuola

Durante l'iter difensivo, la dirigenza scolastica ha tentato di argomentare la propria buona fede, attribuendo l'accaduto a un "fraintendimento" delle disposizioni interne da parte del personale amministrativo. Il Dirigente Scolastico ha precisato di aver ordinato la pubblicazione esclusivamente all'albo fisico e nell'area riservata del registro elettronico, strumenti idonei alla comunicazione scolastica sicura. La scuola ha inoltre sottolineato la rimozione tempestiva dei file non appena emersa la contestazione e l'avvio di corsi di formazione per il personale.

Tuttavia, queste giustificazioni non hanno evitato la sanzione. Il Garante Privacy scuola ha ribadito un principio fondamentale: l'errore umano di un dipendente non solleva l'ente dalla responsabilità oggettiva. Come titolare del trattamento, l'istituto ha il dovere di vigilare e implementare misure tecniche e organizzative capaci di prevenire simili incidenti (data breach). La normativa vigente, incardinata nel Regolamento europeo (GDPR) e nel Codice della privacy, stabilisce che la diffusione di dati online da parte di soggetti pubblici necessita di una norma di legge specifica che, nel caso della pubblicazione dei voti sul sito web istituzionale "in chiaro", non esiste.

Le regole per la pubblicazione degli esiti e la sanzione

L'episodio funge da monito per tutto il comparto istruzione. Le regole attuali impongono che gli esiti degli scrutini e degli esami di Stato siano resi noti tramite affissione all'albo dell'istituto o attraverso piattaforme che richiedano l'autenticazione, limitando l'accesso ai soli diretti interessati. La trasparenza amministrativa non può mai trasformarsi in una vetrina pubblica dei rendimenti scolastici.

L'Autorità ha dichiarato illecito il trattamento dei dati, evidenziando la violazione dei principi di liceità e trasparenza. Nonostante la scuola non avesse precedenti specifici e abbia cooperato prontamente, la sanzione amministrativa pecuniaria è stata fissata a 2.000 euro. Oltre alla multa, è stata disposta la pubblicazione del provvedimento sul sito del Garante: una misura accessoria che serve a sensibilizzare le amministrazioni scolastiche sull'importanza cruciale di gestire con estrema cautela i dati digitali degli studenti.