Il Garante per la protezione dei dati personali ha sanzionato un istituto comprensivo con 4.000 euro per la pubblicazione online di una circolare sull’istruzione domiciliare che conteneva le iniziali di uno studente e riferimenti a dati sanitari. L’atto, adottato il 29 aprile 2026, è stato pubblicato nel registro delle decisioni. Secondo l’Autorità, tali elementi permettevano l’identificazione indiretta dello studente e la rivelazione di informazioni di salute. L’istituto ha sostenuto di aver agito in conformità con linee guida ministeriali e di aver minimizzato i dati, ma la normativa privacy resta chiara. In questo articolo vediamo cosa è successo, quali rischi comporta e come evitare errori simili in futuro.
Per evitare l'identificazione indiretta: cosa fare subito in circolari sull’istruzione domiciliare
| Elemento | Dettaglio |
|---|---|
| Data provvedimento | 29 aprile 2026 |
| Istituto | Istituto Comprensivo non specificato (pubblicazione nell’area “Novità/ Le circolari” sul sito istituzionale) |
| Violazione | Pubblicazione di una circolare che identificava uno studente e rivelava dati sanitari |
| Sanzione | 4.000 euro di ammenda |
| Esito | Circolare rimossa; provvedimento pubblicato dal Garante |
| Misure correttive | Rafforzamento delle procedure privacy; formazione; designazione di un referente interno; gruppo di lavoro per la conformità; coordinamento con il DPO |
Limiti normativi: perché le iniziali non bastano e cosa dice GDPR
La normativa GDPR protegge i dati personali, inclusi i dati sanitari. Non basta usare iniziali per anonimizzare un minore se restano elementi di contesto che permettono l’identificazione indiretta. Il Codice della privacy italiano richiama principi di minimizzazione, finalità lecite, trasparenza e sicurezza. Nel caso esaminato, non esisteva una base normativa idonea a sostenere la pubblicazione di dati sensibili legati al minore.
Il Garante sottolinea che i minori godono di una tutela rafforzata: l’uso di iniziali non è sufficiente ad anonimizzare se restano riferimenti a salute o contesto che possa ricondurre all’identità. Le scuole devono assicurare che non siano presenti informazioni su stato di salute o contesto che rendano un alunno identificabile, soprattutto se la circolare è pubblica o accessibile ad altri utenti.
Procedura pratica di conformità privacy
Segui questa guida operativa in cinque passaggi per evitare errori simili:
- Verifica minimizzazione dati prima di pubblicare qualsiasi documento, rimuovendo riferimenti non indispensabili.
- Riduci dati presenti al minimo indispensabile e evita riferimenti a salute o contesto sensibile.
- Limitare diffusione solo alle persone direttamente interessate, evitando pubblicazioni esterne non necessarie.
- Verifica assenza dati sanitari o altri dati sensibili nel testo e negli allegati.
- Formazione del personale e nomina di un referente privacy interno, con una verifica periodica delle procedure.
FAQs
Iniziali dello studente in circolare sull’istruzione domiciliare: Garante sanziona l’istituto per identificabilità
La circolare conteneva le iniziali di uno studente e riferimenti a dati sanitari, permettendo l’identificazione indiretta; l’ammenda è stata di 4.000 euro adottata il 29/04/2026.
Anche se si usano iniziali, il contesto e riferimenti sanitari presenti nella circolare hanno permesso l’identificazione indiretta dello studente.
Ammenda di 4.000 euro; circolare rimossa e misure correttive come rafforzamento delle procedure privacy e formazione del personale.
Verifica minimizzazione dati, rimuovi riferimenti non indispensabili, limita diffusione e verifica l’assenza di dati sanitari; formare il personale e designare un referente privacy.
