Provvedimento del 16 gennaio 2026 [10218932]
Provvedimento del 16 gennaio 2026 [10218932]
Condividi[doc. web n. 10218932]
Provvedimento del 16 gennaio 2026
Registro dei provvedimenti
n. 4 del 16 gennaio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l’avv. Guido Scorza;
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità, la sig.ra XX, ha lamentato che il Liceo Classico e Scientifico Alessandro Volta di Como (di seguito, l’Istituto) ha pubblicato sul sito web istituzionale “gli esiti delle prove intermedie di tutte le classi e degli esiti finali per le commissioni che hanno già concluso gli esami”.
In base ad autonomi accertamenti effettuati dall’Ufficio (cfr. prot. n. XX del XX) è stato inoltre accertato che sul sito web dell’Istituto è stato pubblicato anche il diario dei colloqui previsti per l’esame orale, recante l’indicazione della data prevista per il colloquio e dei nominativi degli alunni divisi per classe.
2. L’attività istruttoria.
Con nota del XX rispondendo alla richiesta di informazioni formulata da questa Autorità, il dirigente scolastico dell’Istituto ha rappresentato, in particolare, che:
- “Il giorno sabato XX, […] ricevo dalla prof.ssa […] una telefonata in cui ella mi comunica che i presidenti di Commissione di stanza presso il mio liceo avevano chiesto chiarimenti in merito alla pubblicazione sul sito del Liceo degli atti relativi all'Esame di Stato; in quell'occasione ho risposto alla docente vicaria di riferire ai sig.ri Presidenti che nessun atto avrebbe dovuto essere pubblicato in quello spazio, dal momento che l'O.M. n. XX del XX ne prevedeva espressamente la pubblicazione solo all'albo della scuola e sull'area riservata del Registro Elettronico. Con successiva telefonata, sempre nella medesima mattina, la prof.ssa […] mi informava di aver comunicato ai sig.ri Presidenti quanto da me disposto in merito e di avere anche, a tale proposito, avvisato l'applicata di segreteria, […] che si occupa materialmente di pubblicare sul sito della scuola le comunicazioni ordinarie (avvisi e circolari)”;
- “Dato che ero assolutamente certo che sul sito della scuola nel banner "Esami di Stato XX" ci fossero solo ed esclusivamente i Documenti relativi alla storia delle singole classi (i cosiddetti Documenti del XX) a disposizione delle Commissioni d'Esame, […] ho scoperto che, invece, erano pubblicati in quella cartella tutti gli atti (esiti delle prove scritte, calendario delle prove orali ed esiti finali) di tutte le classi”;
- “ho poi subito sentito l'amministrativa della segreteria incaricata di seguire i lavori delle Commissioni d'esame: la sig.ra […], mi ha confessato di aver forse mal compreso le parole dei presidenti che nel consegnarle, di volta in volta, gli atti d'esame ne chiedevano la pubblicazione sul RE e la loro trasmissione all'archivio elettronico”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito istituzionale degli esiti delle prove intermedie e gli esiti finali degli esami di Stato nonché il diario dei colloqui previsti per l’esame orale, recante l’indicazione della data prevista per il colloquio e dei nominativi degli alunni divisi per classe, ha dato luogo a una diffusione illecita di dati personali, in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, paragrafo 1, lett. a) del Regolamento e in assenza di un idoneo presupposto normativo, in violazione dell’art. 6 del Regolamento e 2-ter del Codice.
Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
Con nota del XX l’Istituto ha fatto pervenire le proprie memorie difensive, specificando, in particolare, che:
- “La pubblicazione [degli esiti prove intermedie ed esiti finali degli esami di Stato e del diario dei colloqui ] è avvenuta a titolo assolutamente involontario, ma non solo, poiché si è determinata a fronte di una disposizione in senso del tutto contrario che il dirigente scolastico, comandato dagli uffici superiori, in quel momento, ad altro incarico istituzionale ha impartito alla prof.ssa […] in qualità di prima collaboratrice del dirigente, formalmente incaricata di sostituirlo in quel frangente, la quale convocata dal dirigente dichiara di aver a sua volta impartito la stessa disposizione alla assistente amministrativa […] che, ascoltata dal dirigente in merito, ha ammesso, […] di aver probabilmente frainteso le indicazioni ricevute dai singoli Presidenti di commissione”;
- “Il dirigente scolastico, nel momento stesso in cui ha appreso della contestazione avanzata all’Autorità da parte della studentessa, ha disposto l’immediata rimozione dall’area pubblica del sito istituzionale dei dati oggetto di contestazione”;
- “Il personale docente e non docente, con particolare riferimento a quello che presta servizio in segreteria o che ha ricevuto incarichi che determinano in capo a loro trattamenti di dati particolari (collaboratori del dirigente, docenti che si occupano a vario titolo di disabilità, orientamento, sportello psicologico etc.) è stato regolarmente formato in data XX e viene monitorato lo stato della formazione di ciascun nuovo inserimento.”;
- “Al momento in cui viene redatta questa memoria il dirigente ha già provveduto a richiedere al D.P.O. una formazione specifica per il personale di segreteria e per lo staff del dirigente in materia di “pubblicità legale albo on line” ed “amministrazione trasparente””;
- “Sia rispetto alla pubblicazione degli esiti delle prove intermedie e finali degli esami di Stato che alla pubblicazione del diario dei colloqui, la violazione ha riguardato dati personali di natura “comune” (nome, cognome, esito), nessun dato pubblicato è riconducibile alle categorie definite agli artt. 9 e 10 del Regolamento UE”.
3. Esito dell’attività istruttoria
3.1 Normativa applicabile
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), prevede che il trattamento di dati personali da parte di soggetti pubblici è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).
Il titolare del trattamento è poi in ogni caso tenuto a rispettare i principi in materia di protezione dei dati (art. 5, del Regolamento) tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 La pubblicazione sul sito istituzionale dei dati personali
Nel caso in esame, l’Istituto ha pubblicato, sul sito web istituzionale, gli esiti delle prove intermedie e gli esiti finali degli esami di Stato nonché il diario dei colloqui previsti per l’esame orale, recante l’indicazione della data prevista per il colloquio e dei nominativi degli alunni divisi per classe.
In primo luogo giova precisare che, ai sensi dell’art. 4 par. 1, n. 7, il “titolare del trattamento” è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’EDPB del 7 luglio 2021, prevedono che “è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR” (par. 17).
Al riguardo, anche nella sentenza della Corte di Giustizia del caso C-741/21, dell’11 aprile 2024, si è affermato che “un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità”.
Pertanto, il titolare del trattamento è sempre la persona giuridica nel suo complesso, anche quando una violazione del Regolamento si sia verificata per negligenza o inadempimento di un autorizzato al trattamento dei dati personali.
Inoltre, con specifico riferimento alla pubblicazione dei risultati degli esami di Stato, si rappresenta che la disciplina di settore in materia prevede, in particolare, che l'esito della prima e della seconda prova “è pubblicato, per tutti i candidati, all'albo dell'istituto sede della commissione d'esame almeno due giorni prima della data fissata per l'inizio dello svolgimento del colloquio di cui ai commi 9 e 10 del medesimo articolo” e che “l'esito dell'esame con l'indicazione del punteggio finale conseguito, inclusa la menzione della lode, è pubblicato, contemporaneamente per tutti i candidati della classe, all'albo dell'istituto sede della commissione, con la sola indicazione «non diplomato» nel caso di mancato superamento dell'esame stesso” (cfr. art. 18, commi 3 e 7 del d.lgs. 13 aprile 2017, n. 62 e successive modifiche e integrazioni).
Si evidenzia inoltre che l’ordinanza ministeriale n. XX del XX, vigente all’epoca dei fatti dispone che “Il punteggio attribuito a ciascuna prova scritta è pubblicato per tutti i candidati, (…) tramite affissione di tabelloni presso l’istituzione scolastica sede della commissione/classe, nonché, distintamente per ogni classe, solo e unicamente nell’area documentale riservata del registro elettronico, cui accedono gli studenti della classe di riferimento, almeno due giorni prima della data fissata per l’inizio dello svolgimento dei colloqui”.
L’Ordinanza prevede, inoltre, che “L’esito dell’esame, con l’indicazione del punteggio finale conseguito, inclusa la menzione della lode, è pubblicato, contemporaneamente per tutti i candidati di ciascuna classe, al termine delle operazioni (…) tramite affissione di tabelloni presso l’istituzione scolastica sede della commissione/classe, nonché, distintamente per ogni classe, unicamente nell’area documentale riservata del registro elettronico, cui accedono gli studenti della classe di riferimento, con la sola indicazione della dicitura “Non diplomato” nel caso di mancato superamento dell’esame stesso” (v. anche l’ordinanza ministeriale n. XX del XX).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Istituto, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a), 6, parr. 1-3 del Regolamento e 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la pubblicazione sul sito istituzionale ha riguardato gli esiti delle prove intermedie e gli esiti finali degli esami di Stato nonché il diario dei colloqui previsti per l’esame orale (cfr. art. 83, par. 2, lett. a), del Regolamento);
- con specifico riguardo al profilo soggettivo della violazione la stessa è avvenuta per un errore materiale (art. 83, par. 2, lett. b), del Regolamento);
- riguardo alle categorie di dati personali comunicati, non sono comprese categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).
Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni, dotato di limitate risorse economiche, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:
- l’Istituto ha provveduto a rimuovere dal sito istituzionale delle informazioni pubblicate (art. 83, par. 2, lett. c), del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);
- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00) per avere violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione del fatto che la pubblicazione ha ad oggetto dati personali degli studenti.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dal Liceo Classico e Scientifico Alessandro Volta con sede in Via Cesare Cantù n. 57, 22100, Como - Codice Fiscale: 80018960130, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Liceo Classico e Scientifico Alessandro Volta con sede in Via Cesare Cantù n. 57, 22100, Como - Codice Fiscale: 80018960130, di pagare la complessiva somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al Liceo Classico e Scientifico Alessandro Volta con sede in Via Cesare Cantù n. 57, 22100, Como - Codice Fiscale 80018960130:
- di pagare la complessiva somma di euro 2.000,00 (duemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 16 gennaio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Montuori
