La vicenda riguarda un istituto scolastico catanese che, a seguito di una circolare pubblicata online contenente dati sensibili di 51 studenti con disabilità, ha subito una multa da parte del Garante Privacy. L'intervento si è verificato nel 2026, evidenziando l'importanza della tutela dei dati personali nella scuola pubblica.
- Dettagli sulla sanzione e le motivazioni del Garante Privacy
- Analisi delle incongruenze nella gestione dei dati sensibili
- Come evitare errori simili in futuro con adeguate misure di sicurezza
Il caso: circolare pubblicata online e sanzionata dal Garante Privacy
La circolare pubblicata online conteneva dettagli identificativi specifici di 51 alunni con disabilità, tra cui nomi, cognomi e altre informazioni personali che avrebbe dovuto rimanere confidenziali. La pubblicazione è avvenuta senza adottare misure di sicurezza adeguate, come l’uso di aree protette o l’adozione di strumenti di anonimizzazione dei dati. Questo comportamento ha esposto gli studenti a rischi di discriminazione, stalking o altre violazioni della privacy. Inoltre, la presenza di tali dati sensibili sul sito pubblico ha fatto sì che il documento fosse facilmente reperibile tramite motori di ricerca, senza alcuna protezione, aumentando così il rischio di accesso non autorizzato.
La normativa vigente, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), sottolinea la responsabilità delle istituzioni nel trattare i dati personali in modo lecito, trasparente e sicuro. La mancata tutela dei dati sensibili di minorenni con disabilità rappresenta una grave violazione di tali principi. In risposta a questa criticità, il Garante Privacy ha condannato l’istituto di Catania comminando una sanzione di 10.000 euro e richiedendo l’adozione di misure correttive per garantire che episodi simili non si ripetano in futuro. Questo caso evidenzia quindi l’importanza di formazione adeguata del personale scolastico e di politiche interne rigorose sulla gestione e la condivisione dei dati personali degli studenti, soprattutto in presenza di situazioni di vulnerabilità come quella degli alunni con disabilità.
Come si è verificato l’incidente
La pubblicazione della circolare contenente i dati di 51 alunni con disabilità sul sito della scuola si è verificata a seguito di una serie di errori e mancanze nella gestione delle procedure di pubblicazione e protezione dei dati personali. In particolare, l’incidente si è scatenato a causa di un equivoco interno: una referente ha preparato un calendario in formato digitale, utilizzando un documento con la dicitura “al sito web”, senza valutare correttamente la sensibilità delle informazioni contenute. In fase di verifica, il responsabile incaricato non ha rilevato che il file PDF conteneva dati personali protetti da norme sulla privacy, come nomi, dettagli diagnostici e informazioni sul percorso scolastico degli alunni. Nonostante si siano tentate misure di blocco e correttive, tra cui la rimozione immediata del file dal sito, il documento era già stato caricato e pubblicato in modo pubblico. La sua presenza è stata poi conservata nelle cache dei motori di ricerca, che hanno archiviato la versione indicizzata sottraendola alle correzioni successive. La mancanza di approfondite verifiche di sicurezza e l’uso di pratiche di pubblicazione non conformi alle linee guida sulla protezione dei dati personali hanno contribuito alla diffusione involontaria di informazioni sensibili. Questo incidente ha evidenziato l’importanza di mantenere elevati standard di sicurezza nella gestione dei dati e di adottare procedure chiare e rigorose prima di rendere pubbliche documentazioni contenenti informazioni personali di studenti, specialmente in presenza di disabilità, per evitare conseguenze legali e danni alla privacy degli interessati.
Responsabilità e giustificazioni dell’istituto
Inoltre, l’istituto ha riconosciuto che non aveva adottato misure sufficienti per garantire la riservatezza e la sicurezza delle informazioni personali dei propri studenti. La circolare contenente i dati di 51 alunni con disabilità pubblicata sul sito ha evidenziato una carenza nei protocolli di gestione e protezione dei dati sensibili. La responsabilità dell’istituzione deriva anche dalla mancanza di procedure interne adeguate per la verifica e l’autorizzazione alla pubblicazione di documenti contenenti dati personali, aspetto che avrebbe potuto prevenire il verificarsi dell’incidente. Il Garante Privacy ha sottolineato come tali omissioni costituiscano una violazione grave delle normative vigenti sul trattamento dei dati personali, especially in relazione ai minori e alle persone con disabilità, che richiedono una tutela ancora più rigorosa. La sanzione inflitta all’istituto di Catania si fonda proprio sulla mancata adozione di misure tecniche e organizzative idonee a prevenire errori e accessi non autorizzati. Questo episodio evidenzia l’importanza di implementare politiche di gestione dei dati trasparenti e sicure, nonché di formare adeguatamente il personale su procedure di tutela della privacy, al fine di rispettare i diritti degli interessati e di evitare simili criticità in futuro.
Le responsabilità nel trattamento dei dati sensibili
Inoltre, il Garante Privacy sottolinea che il trattamento di dati sensibili richiede specifiche misure di sicurezza e il rispetto rigoroso dei principi di proporzionalità e minimizzazione dei dati. È fondamentale che le istituzioni scolastiche adottino procedure interne adeguate, formino il personale e implementino sistemi di protezione tecniche e organizzative, per evitare divulgazioni involontarie e garantire la riservatezza delle informazioni. La pubblicazione non autorizzata di dati sensibili può avere conseguenze legali significative e compromettere la dignità e il diritto alla privacy degli studenti e delle loro famiglie. La responsabilità ricade quindi sia sulla gestione interna che sulla vigilanza costante degli operatori coinvolti nel trattamento dei dati personali.
Ruolo e obblighi dell’istituto scolastico
La responsabilità di protezione dei dati ricade sempre sul titolare del trattamento, ossia l’istituto, e non sui singoli dipendenti. La vulnerabilità di studenti minorenni rende questa responsabilità ancora più grave e richiede l’adozione di misure di sicurezza adeguate.
La sanzione e le motivazioni del Garante Privacy
Pur considerando la serietà della violazione, che avrebbe potuto comportare multe fino a 20 milioni di euro, il Garante Privacy ha deciso di applicare una multa di 10.000 euro. Questa decisione si basa su molteplici fattori, tra cui la tempestività nel rimuovere la circolare, l’assenza di precedenti infrazioni e la collaborazione dell’istituto durante l’istruttoria.
Il provvedimento evidenzia come la gestione corretta e consapevole delle informazioni sia imprescindibile nel settore scolastico, e che le misure correttive adottate, come la formazione del personale, siano fondamentali per evitare incidenti simili.
Misure correttive e raccomandazioni
Oltre alla multa, l’istituto ha attuato interventi migliorativi, tra cui la revisione dei formati delle circolari, la formazione sulla privacy e l’implementazione di procedure più rigorose per la pubblicazione dei documenti online. Questi passaggi rappresentano un passo importante per rafforzare la tutela dei dati sensibili degli studenti con disabilità.
Buone pratiche da adottare nelle scuole
Per prevenire incidenti simili, le scuole devono adottare sistemi di controllo e gestione dei dati più robusti, formare il personale sulla privacy e verificare che i documenti contenenti informazioni sensibili siano condivisi solo con i soggetti autorizzati e attraverso canali sicuri.
Come migliorare la sicurezza dei dati nella formazione scolastica
È fondamentale implementare strumenti di gestione documentale che garantiscano l’eliminazione definitiva dei dati quando non più necessari, e sviluppare policy interne chiare in merito alla pubblicazione online di informazioni delicate. Il rispetto delle normative sulla privacy è obbligatorio e contribuisce a tutelare i diritti di tutti gli utenti scolastici.
Consigli pratici per le scuole
Le scuole devono attivare procedure di revisione regolare e formazione continua, per garantire una corretta gestione dei dati sensibili e rispettare la normativa privacy.
FAQs
Pubblicazione dei dati di 51 studenti con disabilità: sanzione del Garante Privacy a un istituto di Catania
Il Garante Privacy ha sanzionato l'istituto di Catania per aver pubblicato online una circolare contenente dati sensibili di 51 studenti con disabilità senza adeguate misure di sicurezza, violando il GDPR il 15/03/2026.
L'istituto di Catania ha ricevuto una sanzione di 10.000 euro, come previsto dal Regolamento GDPR, a causa della pubblicazione non autorizzata di dati sensibili di studenti con disabilità.
La circolare conteneva nomi, cognomi, dettagli diagnostici e informazioni sul percorso scolastico di 51 alunni con disabilità, pubblicati senza protezioni adeguate.
Può causare discriminazione, stalking e violazioni della privacy, inoltre rende i dati facilmente accessibili via motori di ricerca senza protezioni, aumentando i rischi di accesso non autorizzato.
Un equivoco interno ha portato alla pubblicazione di un documento digitale con dati sensibili, non verificando correttamente la privacy, e il file è stato indicizzato dai motori di ricerca, anche dopo la rimozione.
L'istituto è responsabile di aver adottato misure insufficienti per proteggere i dati, e di non aver verificato adeguatamente i documenti prima di pubblicarli online, violando norme sulla privacy.
Dovrebbero essere state adottate misure come l’anonimizzazione dei dati, l’uso di spazi protetti e verifiche approfondite prima della pubblicazione, in conformità con il GDPR.
La formazione aiuta il personale a riconoscere i rischi, applicare le procedure corrette e prevenire incidenti, come quello avvenuto, garantendo la tutela dei dati degli studenti.
Adottare procedure di controllo, formazione continua del personale, verificare l'accesso ai dati e utilizzare strumenti di protezione avanzati, in conformità alle normative sulla privacy.
