g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 23 ottobre 2025 [10195414]

Provvedimento del 23 ottobre 2025 [10195414]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10195414]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 626 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, Segretario Generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità, i sig.ri XX e XX, per il tramite del proprio legale, hanno rappresentato che l’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina (di seguito “l’Istituto”) avrebbe pubblicato, sul sito web istituzionale, “la nota protocollo […]” relativa alla convocazione di un consiglio di classe straordinario riferito al “procedimento disciplinare” previsto nei confronti del proprio figlio.

È stato inoltre rappresentato che il legale dei reclamanti, con nota trasmessa via PEC il XX, “diffidava l’Istituto scolastico dalla rimozione della citata nota pubblicata sul sito web il XX e ancora presente alla data del XX” e che a “tale missiva non veniva fornito riscontro alcuno”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) e nota del XX (prot. n. XX) l’Istituto ha fornito riscontro alle richieste di informazioni formulate dall’Autorità in data XX (prot. n. XX) e in data XX (prot. n. XX), alle quali si rinvia integralmente, rappresentando, in particolare, che:

- “la nota protocollo […]" per la convocazione di un Consiglio di classe riferito al "procedimento disciplinare" previsto nei confronti del figlio dei sigg. XX e XX è stata effettivamente pubblicata sul sito della scuola recando nell'intestazione il nome dello studente”;

- “la pubblicazione del nome è stato un grave errore commesso dalla scuola. Che si tratti di un errore è dimostrato dal fatto che la circolare alla quale l'intestazione col nome si riferisce non contiene al suo interno alcun elemento identificativo dello studente. Sarebbe assurdo evitare di scrivere nella circolare il nome dello studente e poi usarlo nell'intestazione”;

- “in sostanza, il sottoscritto è venuto a sapere della presenza di un file che violava il diritto alla riservatezza di uno studente il giorno stesso dell'arrivo della diffida presentata dall'avvocato”;

- “nessun riscontro è stato fornito alla missiva solo perché pochi minuti dopo il suo ricevimento da parte dell'Istituto, la circolare con l'intestazione del nome dello studente è stata rimossa;

- “la nota è rimasta visibile per l'arco temporale che va dal XX al XX”;

- “quando viene convocato un consiglio di classe disciplinare, la convocazione avviene in forma assolutamente anonima: nessun dato identificativo è collocato nel testo o nel nome del file. Inoltre, la convocazione viene resa visibile esclusivamente al consiglio di classe interessato”;

- “dagli Atti risulta che il personale sia stato istruito attraverso formazione specifica ed abbia ricevuto le lettere di incarico e le relative istruzioni;

- “analoga formazione, […] è prevista anche per questo anno scolastico per il personale di nuova nomina, dando sempre risalto al Regolamento in essere a far data dal XX”;

- “non risulta agli Atti documentazione in merito alle azioni intraprese dall’IIS Statista Aldo Moro relativamente alla designazione di un DPO precedentemente alla data del XX”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto l’Istituto ha pubblicato sul sito web istituzionale, una nota relativa alla convocazione di un consiglio di classe straordinario riferito al “procedimento disciplinare” previsto nei confronti del figlio dei reclamanti, recante nella denominazione del file, il cognome dello studente, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e 2-ter del Codice;  non avendo l’Istituto fornito riscontro alla richiesta di esercizio dei diritti formulata dagli interessati, in violazione dell’art. 12 del Regolamento e non avendo l’Istituto provveduto a designare un DPO fino alla data del XX, in violazione dell’art. 37, parr. 1 e 7 del Regolamento.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con note del XX e XX (prot. n. XX e XX) la dirigente scolastica dell’Istituto ha fatto pervenire le memorie difensive, alle quali si rinvia integralmente, rappresentando, in particolare:

- di “essere in servizio presso l'IIS STATISTA ALDO MORO dal XX, dopo ben tre Dirigenti Scolastici susseguitisi dopo l'evento oggetto di reclamo”;

- di aver preso visione della documentazione “agli atti della SCUOLA relativ[a] al Reclamo” e di aver contattato il DPO e ascoltato i referenti del sito;

- che “La circolare […] oggetto di contestazione non presenta il nome dello studente, […] presente solo nel nome del file PDF;

- che “dopo la segnalazione/diffida si è ritirato il file immediatamente dal sito e si è cercata una piattaforma che NON avesse l'inserimento automatico dei file, ma che permettesse agli operatori autorizzati all'inserimento dei dati sulla piattaforma di inserirli manualmente e con modalità più semplici.

Nel corso dell’audizione tenutasi in data XX (v. verbale prot. n. XX della medesima data, in atti), l’Istituto ha dichiarato, in particolare, che:

- “la dirigente scolastica è in servizio da XX, è stato quindi ricostruito il fascicolo e la vicenda in esame seppur avvenuta precedentemente l’incarico e si è verificato che nel file, contenente la circolare di convocazione del consiglio di classe straordinario per motivi disciplinari, compariva solo nell’oggetto del file (non nella circolare) il cognome ma non il nome di battesimo dell’interessato. Per quanto concerne la pubblicazione sul sito istituzionale del documento in esame, all’epoca si usava una piattaforma che compilava in automatico i campi della pubblicazione, dopo il reclamo la piattaforma è stata cambiata ed attualmente è previsto l’inserimento manuale del campo relativo alla pubblicazione;

- “la scuola è venuta a conoscenza della pubblicazione solo dopo aver ricevuto la lettera dell’avvocato nominato dall’interessato e ha rimosso immediatamente il file”;

- “in un momento successivo al reclamo si è provveduto a nominare il RPD, probabilmente la mancata nomina è dipesa dalla scarsezza dei fondi a disposizione dell’Istituto”;

- “l’Istituto gestisce molti studenti (circa 700) e un gran numero di personale (circa 200), il dirigente all’epoca dei fatti aveva la reggenza di due Istituti, questo ha potuto indurre a una disattenzione”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento dispone che il trattamento di dati personali da parte di soggetti pubblici è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

Con riguardo alla figura del RPD, il Regolamento prevede che “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (art. 37, par. 1, lett. a) del Regolamento).

Il titolare del trattamento è, altresì, tenuto a pubblicare i dati di contatto del RPD e a comunicare gli stessi all'autorità di controllo (art. 37, par. 7, del Regolamento; cfr. il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104, nonché le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, del 15 dicembre 2017, doc. web n. 7322110).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Dagli elementi acquisiti e dai fatti emersi nel corso dell’attività istruttoria e dalle successive valutazioni in relazione alla vicenda oggetto di reclamo, risulta che l’Istituto ha pubblicato, sul sito web istituzionale, una circolare relativa alla convocazione di un consiglio di classe straordinario riguardante il procedimento disciplinare previsto nei confronti del figlio dei reclamanti.

Tale circolare, pur non riportando all’interno del documento l’indicazione del nominativo dell’interessato, recava nella denominazione del documento, consultabile online, nella pagina “Elenco Circolari di Istituto A.S. XX” recante i titoli delle circolari stesse, il cognome dell’alunno stesso.

Nell’ambito dell’istruttoria, l’Istituto ha confermato che tale pubblicazione si è protratta dal XX al XX, data in cui l’Istituto, a seguito della segnalazione del legale dei reclamanti, ha provveduto alla rimozione del documento pubblicato online.

Ciò premesso, si osserva che il Garante ha avuto modo di intervenire, in numerose occasioni, sul tema delle “comunicazioni scolastiche”. In tale ambito l’Autorità ha chiarito che “Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad es., gli alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate” (vedi, da ultimo, La scuola a prova di privacy - Vademecum ed. 2023, disponibile sul sito web del Garante: www.garanteprivacy.it, doc web n. 9886884, vedi anche le FAQ “Scuola e privacy - Domande più frequenti”, consultabili all’indirizzo FAQ - Scuola e privacy - Garante Privacy, in part. FAQ n. 7).

In particolare, con riferimento al caso di specie, si osserva che, sebbene all’interno della circolare non fosse riportato il nominativo dell’interessato, l’indicazione dello stesso nella denominazione del documento ha, di fatto, determinato, ancorché per effetto di un mero errore materiale, la diffusione di informazioni personali relative al procedimento disciplinare previsto nei confronti dell’alunno, in assenza di un idoneo presupposto normativo.

A tal riguardo, si rammenta, inoltre, che i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento).

Per tali ragioni l’Istituto ha dato luogo, in assenza di idoneo presupposto di liceità, a una diffusione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice (con riferimento alla pubblicazione di dati personali relativi ad alunni da parte di istituti scolastici cfr. Provvedimento 9 luglio 2020, n. 140, doc. web n. 9451734; Provvedimento 13 aprile 2023, n. 185, doc. web n. 9902516; Provvedimento 6 luglio 2023, n. 288, doc. web n. 9920274; Provvedimento 13 marzo 2025, n. 134, doc. web n. 10127792; Provvedimento 10 luglio 2025, n. 410 doc. web n. 10162731).

3.3 La nomina del responsabile della protezione dei dati

Dagli elementi acquisiti e dai fatti emersi nel corso dell’attività istruttoria e dalle successive valutazioni in relazione alla vicenda oggetto di reclamo, risulta che l’Istituto, fino al mese di XX, non aveva provveduto a nominare il RPD e quindi a comunicare i dati di contatto all’Autorità.

Al riguardo, si rammenta che il Regolamento prevede che il RPD deve essere obbligatoriamente designato dal titolare del trattamento “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico” (art. 37, par. 1, del Regolamento).

Inoltre, nelle Linee-guida sui responsabili della protezione dei dati (RPD), adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, si aggiunge che “Nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il WP29 ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico.12 In questi casi la nomina di un RPD è obbligatoria” (par. 2.1.1), e che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).

Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che “sussiste l’obbligo di designazione per tutti i soggetti pubblici, ai sensi della lett. a) dell’art. 37, par. 1, del Regolamento, quali, ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo, compresi gli istituti scolastici; gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le Università; le Camere di commercio, industria, artigianato e agricoltura; le Aziende del Servizio sanitario nazionale; le Autorità indipendenti (cfr., a valenza meramente indicativa e non esaustiva, l’elenco di cui all’art. 1, comma 2, del d.lgs. 30 marzo 2001, n. 165)” (par. 3), che “Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti”, e che “Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato. Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni e le relative FAQ: peraltro, si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento (l’ente complessivamente inteso, e non il legale rappresentante) e la compilazione del codice fiscale dell’amministrazione (e non della partita IVA, ovvero del codice fiscale di altro soggetto)” (par. 7).

Nel corso dell’istruttoria è emerso che l’Istituto, ha provveduto a nominare il RPD e ad effettuare la comunicazione all’Autorità dei dati di contatto dello stesso in data XX, successivamente all’avvio del procedimento, agendo pertanto in violazione dell’art. 37, parr. 1 e 7, del Regolamento (cfr. Provvedimento n. 697 del 14 novembre 2024, doc. web n. 10085757; Provvedimento n. 698 del 14 novembre 2024, doc. web n. 10085732; Provvedimento n. 5 del 16 gennaio 2025, doc. web n. 10110910; Provvedimento n. 6 del 16 gennaio 2025, doc. web n. 10110989; Provvedimento n. 318 del 4 giugno 2025, doc. web n. 10163000, Provvedimento n. 384 del 10 luglio 2025, doc. web n. 10161611).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ gli elementi forniti dal titolare del trattamento consentono solo in parte di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, potendo procedere con l’archiviazione del presente procedimento, ai sensi del combinato disposto di cui agli artt. 11 e 14 del regolamento del Garante n. 1/2019, solamente con riferimento alla violazione dell’art. 12 del Regolamento, in relazione al mancato riscontro alla diffida relativa alla rimozione della circolare in esame, presentata dai reclamanti.

Ciò in ragione del fatto che l’Istituto, in buona fede, avendo provveduto tempestivamente alla rimozione richiesta, non ha ritenuto di dover fornire riscontro formale agli interessati, anche tenuto conto che la diffida non era formalmente qualificata come “esercizio dei diritti” presentata ai sensi dell’art. 12 del Regolamento.

Quanto al resto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per la pubblicazione della circolare oggetto di reclamo in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice e per la mancata nomina del RPD fino al mese di XX, in violazione dell’art. 37, par. 1 del Regolamento e mancata comunicazione dei dati di contatto dello stesso all’Autorità in violazione dell’art. 37, par. 7 del Regolamento.  

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, avendo l’Istituto scolastico provveduto a rimuovere la richiamata circolare sul sito web istituzionale e avendo provveduto a nominare il RPD e comunicare i dati di contatto dello stesso all’Autorità, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, l’Istituto ha posto in essere due distinte condotte, che devono essere considerate separatamente ai fini della quantificazione della sanzione amministrativa da applicarsi.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

5.1 La condotta che attiene al trattamento dei dati personali effettuato dall’Istituto.

La violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice è soggetta alla sanzione prevista dall’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni relative agli degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

Osservato che:

la circolare oggetto del reclamo è stata pubblicata sul sito istituzionale dell’Istituto per un periodo di tempo limitato dal XX al XX (cfr. art. 83, par. 2, lett. a), del Regolamento);

l’indicazione, nella denominazione della circolare, del cognome dell’interessato è dovuta ad un mero errore materiale, dimostrato dal fatto che la circolare non contiene al suo interno il nominativo dello studente (cfr. art. 83, par. 2, lett. a) e b), del Regolamento);

il trattamento non ha riguardato dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni pertanto, dotato di limitate risorse economiche si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

il titolare del trattamento ha provveduto a rimuovere la circolare appena avuto contezza dell’erronea pubblicazione (art. 83, par. 2, lett. c), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In considerazione di tutto quanto sopra esposto, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione violazioni degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che la pubblicazione ha ad oggetto dati personali relativi ad un minore e pertanto ad un soggetto particolarmente vulnerabile.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5.2 La condotta che attiene alla tardiva nomina del responsabile della protezione dei dati

La violazione dell’art. 37, parr. 1 e 7 del Regolamento è soggetta alla sanzione prevista dall’art. 83, par. 4, del Regolamento, e, pertanto, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

Osservato che:

- l’Istituto ha nominato il RPD e ha comunicato i relativi dati di contatto all’Autorità solo a seguito dell’intervento del Garante. La mancata comunicazione dei dati di contatto del RPD all’Autorità ha inciso negativamente sulla possibilità che l’Autorità contattasse il medesimo RPD in modo facile e diretto (cfr. art. 83, par. 2, lett. a), del Regolamento);

-  il carattere colposo della violazione (cfr. art. 83, par. 2, lett. b), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Di contro, si osserva che l’Istituto è un soggetto di ridotte dimensioni dotato, pertanto, di limitate risorse economiche. Si tiene conto, altresì, che:

l’Istituto si è attivato al fine di porre rimedio alla violazione (art. 83, par. 2, lett. c), del Regolamento);

non risultano a carico della stessa precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione dell’art. 37, commi 1 e 7 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019, trattandosi del ritardato assolvimento ad adempimenti divenuti obbligatori fin dal 2018.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dall’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina (RI)), nei termini di cui in motivazione, degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3, 37, parr. 1 e 7 del Regolamento e 2-ter, commi 1 e 3, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, l’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina (RI) con sede in Viale della Gioventù, 30 02032, Fara in Sabina (RI) - Codice Fiscale: 90021480570, di pagare la complessiva somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina:

- di pagare la complessiva somma di euro 4.000,00 (quattromila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza

 

Scheda

Doc-Web
10195414
Data
23/10/25

Argomenti

Istruzione e formazione Scuola Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (1)