Una scuola è stata multata dal Garante per aver pubblicato iniziali di un alunno insieme a una documentazione medica sul sito della scuola. Il provvedimento n. 10251650, emanato il 29 aprile, fissa una sanzione di 4.000 euro e invita a verifiche di conformità. Sostituire il nome con iniziali non basta: il contesto può rivelare l'identità del minore. Questo articolo propone una guida operativa con misure di minimizzazione, controllo degli accessi e procedure di pubblicazione per evitare errori simili. Docenti, DSGA e dirigenti troveranno una checklist pratica e una tabella riassuntiva per guidare le decisioni.
Sintesi operativa: cosa è successo e come evitare simili errori
La tabella sintetizza i fatti chiave, i riferimenti e le azioni consigliate per le scuole.
| Fatto chiave | Dettaglio | Implicazioni pratiche |
|---|---|---|
| Sanzione: 4.000 euro | Provvedimento n. 10251650 del 29 aprile; possibile dimezzamento entro 30 giorni | Rafforzare policy e flussi di pubblicazione; coinvolgere DPO |
| Iniziali non bastano | La combinazione di iniziali con contesto di classe e riferimenti medici consente identificazione indiretta | Adottare tecniche di minimizzazione oltre la semplice sostituzione di nomi |
| Circolare online | Pubblicazione rimossa dopo breve periodo; nessun precedente di violazioni | Implementare controlli di pubblicazione e revisioni prima della messa online |
| Attenuanti | Collaborazione con l’Autorità; formazione prevista; nuovo referente privacy | Sviluppare piani di formazione e responsabilità chiare |
| Monito alle PA | Trasparenza non giustifica diffusione illegale di dati; monito a tutte le amministrazioni | Definire protocolli di pubblicazione e accountability |
| Dati sensibili e minori | Riferimenti a dati sensibili di salute non devono essere pubblicati | Limitare dati pubblicabili e rafforzare le procedure di verifica |
Confini operativi e implicazioni pratiche
La decisione sottolinea che la pubblicazione di dati sanitari, anche se presentati con iniziali, richiede una minimizzazione rigorosa e una gestione degli accessi molto severa. L’età del minore e il contesto scolastico aumentano la responsabilità delle istituzioni nel definire cosa può essere pubblicato e a chi. L’ordinanza funge da monito per tutte le pubbliche amministrazioni: la trasparenza non giustifica diffusione illegale di dati; occorre protocolli chiari, verifiche di conformità e una accountability ben definita.
Per le scuole, la chiave è definire policy chiare su cosa pubblicare, come farlo e chi approva. Ruoli, flussi di controllo e formazione del personale devono essere codificati in procedure interne e flussi di pubblicazione digitali. La tutela dei dati sensibili dei minori è una responsabilità condivisa tra dirigenti, docenti e servizio privacy (DPO).
Azioni pratiche immediate per prevenire violazioni
In risposta al caso, ecco azioni pratiche da implementare subito per evitare che si ripetano situazioni simili. Le misure si concentrano su minimizzazione, controlli e responsabilità, e vanno integrate in un flusso di pubblicazione web.
La guida operativa propone una checklist chiara e misurabile che i team scolastici possono attivare entro 24-48 ore, includendo ruoli, responsabilità e tempi di verifica.
FAQs
Iniziali e dati sanitari di alunno sul sito: multa di 4.000 euro. Cosa ha deciso il Garante
Il Garante ha chiarito che pubblicare iniziali insieme a riferimenti medici può rivelare l’identità del minore. È stata comminata una sanzione di 4.000 euro e sono state indicate verifiche di conformità. La pubblicazione è stata rimossa in breve tempo e non risultano precedenti di violazioni.
Le misure chiave sono la minimizzazione dei dati oltre la semplice sostituzione di nomi, e l’adozione di controlli e revisioni prima della pubblicazione. È necessario definire policy chiare su cosa pubblicare e da chi approvare, con il coinvolgimento del DPO.
Attivare entro 24-48 ore una checklist operativa con ruoli, responsabilità e tempi di verifica. Prevedere formazione del personale e l’istituzione di un nuovo referente privacy per codificare i processi.
Il provvedimento invia un monito alle PA: la trasparenza non giustifica la pubblicazione illegale di dati. Occorrono protocolli di pubblicazione e una accountability ben definita, con responsabilità condivisa tra dirigenti, docenti e DPO.
