g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 29 gennaio 2026 [10221777]

Provvedimento del 29 gennaio 2026 [10221777]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10221777]

Provvedimento del 29 gennaio 2026

Registro dei provvedimenti
n. 36 del 29 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità dai sigg. XX e XX, per il tramite del loro legale, è stato lamentato che un’insegnante dell’Istituto Superiore Statale Fermi - Da Vinci di Empoli (di seguito l’Istituto) avrebbe inviato dal proprio indirizzo e-mail istituzionale, tre comunicazioni contenenti “l’invito a partecipare al PEI” del figlio dei reclamanti e “l’annullamento dell’evento”, agli indirizzi di posta elettronica di tutti gli alunni della classe dell’alunno. È stato, inoltre, rappresentato che l’Istituto avrebbe inviato ai reclamanti “una comunicazione circa la composizione della classe XX per l’anno scolastico XX, con indicati i nomi degli alunni e tutte le relative date di nascita degli stessi”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, l’Istituto ha rappresentato, in particolare che:

- “si tratta di una comunicazione indirizzata erroneamente a soggetti non titolati a ricevere tale informazione (nel caso alunni della classe), e ciò è avvenuto per un mero errore materiale non intenzionale, riconducibile ad un’errata selezione dei destinatari della email. Si specifica ulteriormente che la comunicazione non conteneva alcuna copia del PEI dell’alunno, né alcun riferimento specifico allo stesso. L’Istituto ha preso atto dell’accaduto, adottando immediatamente come misure correttiva, l’invio di una comunicazione di rettifica e richiesta di cancellazione ai destinatari non autorizzati”;

- “dalla verifica interna all’Istituto si conferma che le comunicazioni, anche tramite email, contenenti la programmazione e l’aggiornamento del PEI dell’alunno sono state sempre inviate ai docenti del consiglio di classe, alla famiglia e alle figure esterne autorizzate”;

- “la trasmissione della lista contenente i nominativi degli alunni della classe 2S e le relative date di nascita è avvenuta nell’ambito delle attività organizzative e gestionali dell’Istituto connesse all’avvio dell’anno scolastico. In particolare, tale comunicazione è stata inviata ai reclamanti, dagli uffici di segreteria, attraverso l’utilizzo del software ARGO-alunni che riproduce per ogni classe, i dati degli alunni comprensivi di nome, cognome e data di nascita”;

-  “si tratta, pertanto, di un errore materiale, avvenuto in buona fede e dovuto alla trasmissione di un documento interno privo di opportuna anonimizzazione, anziché di una versione predisposta per l’utenza esterna. L’inclusione delle date di nascita non era necessaria rispetto alla finalità perseguita, e ciò ha comportato una comunicazione non conforme al principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del GDPR”;

- “dagli accertamenti interni condotti a seguito della segnalazione, si conferma che la comunicazione è stata inviata ai genitori di alunni frequentanti la classe XX, in un unico invio, tramite e-mail, all’indirizzo fornito in sede di iscrizione”;

- “a seguito dell’accaduto l’Istituto ha prontamente richiesto al gestore del software Argo la possibilità di generare elenchi che contengano esclusivamente nomi e cognomi degli alunni senza altro elemento identificativo ovvero elenchi contenenti dati personali, che tengano conto del principio di minimizzazione. È stato ulteriormente avviato un percorso di sensibilizzazione del personale scolastico in merito alla protezione dei dati personali e alle corrette modalità di condivisione delle informazioni con l’utenza”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto l’invio di alcune comunicazioni riguardanti il Programma educativo individualizzato (PEI) relativo al figlio dei reclamanti, agli indirizzi di posta elettronica di tutti i compagni di classe dell’interessato ha dato luogo a una comunicazione di dati personali in assenza di idoneo presupposto di liceità in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) del Codice) e l’invio a tutti i genitori della classe del figlio dei reclamanti, della lista degli alunni della classe stessa, contenente la data di nascita di ciascuno di essi, è stata effettuata in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota dell’XX (prot. n. XX), rappresentando, in particolare, che:

- “riguardo alla mail con i destinatari erronei: la condotta contestata è stata posta in essere per errore materiale nella selezione degli indirizzi mail da parte di una docente che non era tenuta a tale operazione, svolta di spontanea volontà. Tale adempimento, infatti, è di competenza degli uffici amministrativi”;

- “riguardo all’invio della data di nascita: il trattamento è avvenuto per errore materiale in quanto il sistema Argo estrapola i dati nella modalità “data di nascita”;

- “per quanto riguarda le date di nascita si precisa che tutti gli alunni della classe sono a conoscenza delle date di nascita di ciascuno di loro”;

- “si fa presente, inoltre, che per il futuro agli alunni verrà comunicata l’assegnazione alla classe omettendo l’elenco degli altri alunni della stessa”;

- “si precisa, altresì, che entrambe le informazioni erano già note a tutti. L’allievo in questione si avvale del docente di sostegno pertanto era a tutti noto (insegnanti, genitori e alunni) la sua condizione di disabilità”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha inviato alcune comunicazioni riguardanti il Programma educativo individualizzato (PEI) relativo al figlio dei reclamanti agli indirizzi di posta elettronica di tutti i compagni di classe dell’interessato.

Risulta inoltre che l’Istituto ha inviato a tutti i genitori di una classe, via e-mail, la lista degli alunni della classe contenente la data di nascita di ciascuno di essi.

Con riguardo al profilo relativo all’invio della comunicazione relativa al PEI dell’interessato, si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994).

Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che il riferimento al PEI, riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno al quale tale documento viene riferito.

In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta nei confronti dei compagni di classe dell’interessato, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute dell’interessato (si veda, al riguardo, provv. 27 novembre 2024, n. 728, doc. web n. 10097324; provv. 12 dicembre 2024, n. 767, doc. web n. 10099052; provv 27 febbraio 2025, n.  115, doc. web n. 10126123; provv. 10 aprile 2025, n. 203. doc. web n. 10144156).

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “l’allievo in questione si avvale del docente di sostegno pertanto era a tutti noto (insegnanti, genitori e alunni) la sua condizione di disabilità”.

Con riguardo alla questione riguardante l’invio a tutti i genitori della classe XX, della lista degli alunni della classe contenente la data di nascita di ciascuno di essi, si osserva che, sebbene l’invio della lista degli alunni della classe sia stata effettuata nell’ambito delle attività organizzative e gestionali dell’Istituto connesse all’avvio dell’anno scolastico e sia dovuta all’utilizzo del software “ARGO-alunni che riproduce per ogni classe, i dati degli alunni comprensivi di nome, cognome e data di nascita”, gli ulteriori dati personali comunicati, relativi alla data di nascita dei singoli alunni, risultano del tutto eccedenti e non necessari rispetto alla finalità perseguita con l’invio della richiamata lista, in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento, né può essere considerata idonea a legittimare il trattamento la conoscenza, in generale, delle date di nascita da parte dei compagni di classe.

Per tali ragioni si rappresenta che l’Istituto ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali (artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) del Codice).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- gli eventi si sono verificati per mero errore materiale;

- l’Istituto ha inviato, mediante mail, alcune comunicazioni riguardanti il Programma educativo individualizzato (PEI) relativo all’interessato ai suoi compagni di classe senza mettere a disposizione il contenuto del PEI stesso;

- l’Istituto ha adottato misure per attenuare il danno subito dall’interessato, inviando una comunicazione di rettifica e richiesta di cancellazione ai destinatari non autorizzati e chiedendo al gestore del software Argo la possibilità di generare elenchi che contengano esclusivamente nomi e cognomi degli alunni senza altro elemento identificativo nel rispetto del principio di minimizzazione;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto d’Istruzione superiore statale Enrico Fermi – Leonardo da Vinci, Via Bonistallo, n. 73 – 50053 Empoli (FI) - Codice Fiscale 82004810485 - descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto d’Istruzione superiore statale Enrico Fermi – Leonardo da Vinci quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10221777
Data
29/01/26

Argomenti

Dati sanitari Scuola Studenti

Tipologie

Prescrizioni del Garante

Vedi anche (8)