Garante privacy interviene per fuga dati sensibili sulla mensa scolastica
Il Garante per la protezione dei dati personali ha recentemente emesso un provvedimento di rilevante interesse per il mondo della scuola, dichiarando illecito il trattamento di dati personali effettuato da una società di ristorazione scolastica operante in un Comune dell'area bolognese. L'episodio, scaturito da una grave carenza nelle misure organizzative e tecniche, ha portato alla diffusione non autorizzata di informazioni sensibili e finanziarie riguardanti 50 utenti del servizio mensa, tra cui numerosi minori, verso un totale di 109 destinatari non autorizzati.
La vicenda, emersa a seguito di un'istruttoria avviata dall'Autorità dopo segnalazioni della stampa, evidenzia come un semplice errore operativo umano possa trasformarsi in una violazione sistematica dei principi fondamentali del Regolamento UE 2016/679 (GDPR) e del codice privacy nazionale. Il documento in questione, composto da ben 71 pagine, conteneva non solo nomi e cognomi, ma anche codici fiscali, dettagli sui pagamenti, saldi debitori e consumi dei pasti, configurando un rischio elevato per la riservatezza dei soggetti coinvolti.
L'Autorità ha sottolineato che la responsabilità della società di servizi non decade nel momento in cui essa opera per conto di un ente pubblico. Al contrario, il responsabile del trattamento ha l'obbligo di garantire istruzioni documentate e misure tecniche adeguate, assicurando che i flussi di dati siano protetti anche durante le fasi di gestione amministrativa e di recupero crediti. In questo caso specifico, la causa tecnica risiedeva nell'invio di un file di "test" invece del documento finale destinato ai soli interessati, un errore che ha messo a nudo le fragilità dei controlli interni della piattaforma informatica utilizzata.
Le violazioni normative e il contesto dei controlli sulla privacy scolastica
Il provvedimento, adottato ufficialmente il 17 aprile 2026, ha ravvisato una violazione dei principi di liceità, correttezza, trasparenza e minimizzazione. La gestione dei dati relativi alla mensa scolastica non può prescindere dal rispetto del principio di minimizzazione, il quale impone che vengano trattati solo i dati strettamente necessari per la finalità specifica. Nel caso in esame, la diffusione di dati finanziari e sensibili a destinatari non autorizzati è stata considerata una condotta non conforme, specialmente considerando la vulnerabilità dei minori coinvolti.
L'episodio si inserisce in un filone di controlli più ampi da parte del Garante sulla gestione dei dati nelle istituzioni scolastiche. Casi analoghi hanno già evidenziato come la trasmissione di informazioni sensibili possa avvenire per errori materiali non intenzionali, ma che non esentano le scuole e i loro partner da responsabilità. Ad esempio, sono stati sanzionati istituti per l'invio di informazioni sui PEI (Piani Educativi Individualizzati) a tutta la classe, o per la diffusione di date di nascita degli alunni a tutti i genitori, pratica ritenuta eccedente rispetto alle finalità organizzative.
Un altro punto critico rilevato dall'Autorità riguarda le relazioni Scuola-Comune. È stato ribadito che le scuole non possono trasmettere dati personali di alunni a comuni per fini di recupero crediti senza un idoneo presupposto di liceità, specialmente se tali dati potrebbero essere ottenuti tramite altri canali istituzionali. La tutela della privacy deve quindi essere garantita in ogni passaggio della catena di trattamento, assicurando che ogni ente coinvolto agisca nel rispetto dei limiti imposti dalla normativa vigente.
Misure correttive e responsabilità della società di ristorazione
A fronte del provvedimento, la società di ristorazione coinvolta ha riconosciuto l'errore operativo e ha avviato una serie di misure correttive per sanare le criticità strutturali rilevate. Tra le azioni intraprese figurano il blocco delle funzioni di invio dei solleciti automatici e l'avvio di un dialogo con il fornitore della piattaforma informatica per revisionare i protocolli di sicurezza. Inoltre, la società ha organizzato corsi di formazione specifica per il personale addetto alla gestione delle rette e ha pubblicato una procedura interna dedicata alla gestione dei dati finanziari.
Il Garante ha osservato che, sebbene la condotta abbia già esaurito i suoi effetti immediati, la dichiarazione di illiceità rimane un precedente importante. L'Autorità ha sottolineato che la prevenzione deve passare per la separazione netta dei file di test da quelli di produzione e per l'implementazione di controlli rigorosi sui flussi di e-mail. Non sono state imposte ulteriori sanzioni pecuniarie poiché la società ha collaborato pienamente e ha adottato tempestivamente le correzioni richieste, ma il monito resta fermo sulla necessità di una gestione consapevole e documentata.
| Dato rilevante | Dettaglio del provvedimento |
|---|---|
| Data del provvedimento | 17 aprile 2026 |
| Volume dell'errore | 109 destinatari hanno ricevuto dati relativi a 50 utenti |
| Dati esposti | Nomi, codici fiscali, saldi debitori, consumi pasti, dati minori |
| Causa principale | Errore umano (invio file test) e carenze organizzative |
| Misure adottate | Formazione personale, blocco solleciti, nuove procedure interne |
Cosa cambia concretamente per le scuole e i servizi scolastici
Per le società di servizi scolastici, il provvedimento impone un cambio di paradigma nella gestione delle comunicazioni digitali. Non è più sufficiente una gestione "ad hoc" delle e-mail; è necessario implementare controlli rigorosi sui flussi di invio e garantire che il personale che gestisce le rette sia formato specificamente sulla privacy. In particolare, è fondamentale assicurarsi che i software utilizzati non estrapolino automaticamente dati sensibili in comunicazioni di massa.
Per i Comuni e le Scuole, il messaggio è chiaro: vige l'obbligo di minimizzazione. I dati trasmessi tra enti devono essere il minimo indispensabile per la finalità specifica. La gestione dei crediti scolastici non può più giustificare la diffusione di dati sensibili o finanziari a destinatari non autorizzati. Le istituzioni devono verificare che ogni trasferimento di dati verso terzi (come le ditte di ristorazione) sia supportato da un idoneo presupposto di liceità e da misure tecniche che impediscano accessi accidentali da parte di soggetti non titolati.
In sintesi, per evitare sanzioni e violazioni, i soggetti coinvolti devono verificare la corretta configurazione dei software di gestione e assicurarsi che ogni invio di dati relativi a minori o famiglie sia preceduto da una verifica della destinazione corretta, separando nettamente le attività di test da quelle operative.
Per approfondire le linee guida del Garante, è possibile consultare il provvedimento ufficiale sul sito del Garante per la protezione dei dati personali.
FAQs
Garante privacy interviene per fuga dati sensibili sulla mensa scolastica
L'invio errato ha esposto informazioni sensibili e finanziarie di 50 utenti, inclusi minori. Tra i dati diffusi figurano nomi, cognomi, codici fiscali, dettagli sui pagamenti, saldi debitori, consumi dei pasti e i nominativi dei figli a carico.
L'incidente è derivato da un errore operativo umano combinato con carenze organizzative del responsabile del trattamento. Nello specifico, è stato inviato per errore un file di "test" contenente dati reali invece del documento finale destinato ai corretti destinatari.
La società ha bloccato la funzione di invio automatico dei solleciti e avviato un dialogo con il fornitore della piattaforma informatica. Sono stati inoltre organizzati corsi di formazione per il personale e pubblicate nuove procedure interne per la gestione delle rette.
È fondamentale implementare controlli rigorosi sui flussi di e-mail e separare nettamente i file di test da quelli di produzione. Inoltre, il personale che gestisce i dati finanziari deve ricevere una formazione specifica sulla privacy e rispettare il principio di minimizzazione dei dati.
