g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 29 aprile 2026 [10251650]

Provvedimento del 29 aprile 2026 [10251650]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10251650]

Provvedimento del 29 aprile 2026

Registro dei provvedimenti
n. 307 del 29 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità dalla sig.ra XX è stato lamentato che, sul sito istituzionale dell’Istituto Comprensivo Montelibretti di Montelibretti (di seguito, “l’Istituto”), sarebbe stata pubblicata, in data XX, una circolare avente ad oggetto “Avviso di selezione per il personale docente interno/esterno – Istruzione domiciliare a.s. XX”, contenente le iniziali del nome e del cognome del figlio della reclamante, il riferimento alla “presenza di documentazione medica conservata agli atti” e al fatto che “la selezione è rivolta in via prioritaria ai docenti del Consiglio di Classe […] della Scuola Primaria di Montelibretti”, classe di appartenenza dell’interessato.

Dalla verifica preliminare effettata dall’Ufficio (relazione di servizio del XX, prot. n. XX), è emerso che la predetta circolare risultava visibile e liberamente scaricabile nella sezione “Novità/Le Circolari” del sito web dell’Istituto.

2. L’attività istruttoria.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito web istituzionale della circolare predetta ha dato luogo a una diffusione illecita di dati personali, anche relativi alla salute, in violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

L’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, alle quali si rinvia integralmente, con nota del XX (prot. n. XX), rappresentando, in particolare, che:

- “il trattamento di informazioni da parte di un soggetto pubblico – quale è, a tutti gli effetti, l’Istituzione scolastica – risulta lecito qualora sia necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (cfr. art. 6, par. 1, lett. c) ed e) del Regolamento (UE) 2016/679– GDPR, nonché art. 2-ter del D.lgs. 196/2003, come modificato dal D.lgs. 101/2018). Nel caso di specie, si evidenzia come l’attivazione dell’istruzione domiciliare comporti un procedimento amministrativo complesso, che impone alla scuola un’attenta organizzazione sia sul piano didattico che su quello logistico. Le Linee di indirizzo nazionali sull’istruzione domiciliare – adottate dal Ministero dell’Istruzione […] stabiliscono che: “In generale, l’istruzione domiciliare è svolta dagli insegnanti della classe di appartenenza, in orario aggiuntivo (ore eccedenti il normale servizio). In mancanza di questi, può essere affidata ad altri docenti della stessa scuola che si rendano disponibili oppure a docenti di scuole viciniori; non è da escludere il coinvolgimento dei docenti ospedalieri nei termini sopra riportati”;

- “in tale cornice, l’indicazione della classe di appartenenza dell’alunno nella circolare pubblicata sul sito istituzionale si rivela elemento strettamente necessario a garantire: la trasparenza del procedimento amministrativo di selezione; il rispetto dei criteri di priorità imposti dalla normativa di settore; la correttezza del trattamento ai sensi dell’art. 5, par. 1, lett. a) e c), GDPR, in quanto riferito a finalità determinate, esplicite e legittime. Diversamente, l’omissione di tale informazione avrebbe pregiudicato il corretto svolgimento del procedimento e reso impossibile garantire la prelazione ai docenti della classe, come richiesto dalla normativa”;

- “L’Istituto scolastico, nel predisporre l’“Avviso di selezione per il personale docente interno/esterno – Istruzione domiciliare a.s. XX”, ha agito in buona fede, ponendo particolare attenzione al rispetto del principio di minimizzazione dei dati sancito dall’art. 5, par. 1, lett. c) del […] (GDPR). In tale ottica, è stato scelto di non indicare il nome completo dello studente beneficiario del servizio, ma unicamente le iniziali del nome e del cognome.”;

- “il rischio di identificazione si è, in effetti, concretizzato non in ragione della mera presenza delle iniziali, ma piuttosto per effetto della combinazione di più elementi […] Tale circostanza ha reso possibile, per i soli soggetti interni alla comunità scolastica e alla specifica classe, una potenziale identificazione del minore. Si sottolinea tuttavia che tali soggetti – vale a dire i docenti e gli alunni della classe – erano già a conoscenza dell’assenza prolungata del compagno, potendone constatare quotidianamente la mancata presenza in aula e sapevano anche dell’infortunio.”;

- “In primo luogo, come emerge in modo evidente dagli allegati uniti alla segnalazione, nessun dato sensibile/particolare è stato diffuso. Si tratta solo di informazioni (il generico riferimento documenti sanitari) che possono portare ad assunzioni di carattere molto generico, ma nessuna informazione di dettaglio.”;

- “La diffusione dell’atto […] non è avvenuta per dolo, negligenza o superficialità da parte dell’Istituto, ma esclusivamente per effetto di una errata interpretazione della disciplina di settore e di una valutazione potenzialmente non pienamente conforme al principio di minimizzazione dei dati […] Si tratta dunque di un mero errore materiale, fisiologicamente possibile nell’ambito dell’attività amministrativa quotidiana, soprattutto in contesti – come quello scolastico”.

Con nota del XX (prot. n. XX), la dirigente scolastica dell’Istituto ha fatto pervenire una nota di rinuncia all’audizione e osservazioni integrative, alla quale si rinvia integralmente, rappresentando, in particolare, che:

- “ritengo doveroso rappresentare all'Autorità la particolare situazione di criticità organizzativa e gestionale in cui versa codesto Istituto Comprensivo. […] L'Istituto opera da diversi anni in un contesto di estremo disagio legato al continuo avvicendamento di figure dirigenziali e amministrative”;

- “la scrivente, presa visione della documentazione agli atti, riconosce l’errore e si impegna a rafforzare le misure organizzative interne, al fine di prevenire il ripetersi di simili situazioni. In particolare, l’Istituto adotterà le seguenti iniziative: Formazione del personale […] Verrà individuato un referente interno per la privacy e sarà istituito un gruppo di lavoro dedicato alla valutazione della conformità alla normativa sulla protezione dei dati di tutte le procedure amministrative adottate dall'Istituto, con particolare attenzione ai processi di pubblicazione sul sito istituzionale. Tale struttura organizzativa interna collaborerà con il DPO”;

- “la scrivente, riconoscendo la violazione commessa in buona fede nel contesto delle criticità organizzative rappresentate, intende assicurare all'Autorità la massima collaborazione per la risoluzione della questione”.

3. Normativa applicabile.

3.1 Il quadro normativo.

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento prevede che il trattamento di dati personali da parte di soggetti pubblici, come l’Istituto, è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 del Regolamento), in ragione della loro particolare delicatezza, “non possono essere diffusi” (art. 2-septies, comma 8 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato e del principio di “minimizzazione dei dati”, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, e dalle successive valutazioni di questo Dipartimento, risulta che l’Istituto ha pubblicato sul sito web istituzionale, una circolare contenente un “Avviso di selezione per il personale docente interno/esterno – Istruzione domiciliare a.s. XX”, recante l’indicazione delle iniziali del nome e del cognome dell’alunno a cui è destinato l’intervento domiciliare, il riferimento a documentazione medica depositata agli atti e l’invito a partecipare alla selezione, in via prioritaria, ai docenti della classe di appartenenza dell’alunno stesso.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 1 del Regolamento, per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (v. anche C26, C27, C30 del Regolamento).

In particolare, ai sensi dell’art. 4 par.1, n.15 del Regolamento, sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Stante le richiamate definizioni di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che il complesso delle informazioni contenute nella circolare, ovvero: l’indicazione delle iniziali del nome e del cognome dello studente; la previsione dell’istituto dell’istruzione domiciliare, notoriamente destinato a studenti sottoposti a terapie domiciliari che ne impediscono la frequenza a scuola; il riferimento alla documentazione medica, il criterio di preferenza, in relazione allo svolgimento dell’attività domiciliare, per i docenti della classe di appartenenza dell’interessato,  fornisca indicazioni idonee a identificare il figlio della reclamante e a rivelare informazioni relative allo stato di salute dello stesso (cfr. Provvedimento 12 dicembre 2024, n. 767, doc. web n. 10099052, Provvedimento 27 febbraio 2025, n. 117, doc. web n. 10118264, Provvedimento 10 aprile 2025, n. 203, doc. web n. 10144156, Provvedimento 10 luglio 2025 n. 385, doc. web n. 10162203, Provvedimento 29 gennaio 2026, n. 64, doc. web n. 100221968).

Si rappresenta inoltre che l’Autorità ha tradizionalmente chiarito che “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online. Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato […]. In molti casi, infatti, in particolari ambiti (ad esempio, per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati […] è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti. Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori” (cfr. Provv. 15 maggio 2014, n. 243 recante “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, doc. web n. 3134436, in part. par. 3).

Del resto, “per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; sulla identificabilità delle iniziali cfr. anche Provvedimento 2 marzo 2023, n. 65, doc. web n. 9874480; Provvedimento 25 febbraio 2021, n. 68, doc. web n. 9567429; Provvedimento 2 luglio 2020, n. 118, doc. web n. 9440025; Provvedimento  2 luglio 2020, n. 119, doc. web n. 9440042; Provvedimento 27 novembre 2024, n. 728, doc. web n. 10097324).

Per completezza, si evidenzia che i minori, in quanto “persone fisiche vulnerabili” meritano “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. n. 38 del Regolamento).

Alla luce delle considerazioni che precedono, l’Istituto scolastico, pubblicando sul sito web la predetta circolare contenente un avviso di selezione per il personale docente finalizzato ad erogare prestazioni di istruzione domiciliare e recante l’indicazione delle iniziali del nome e del cognome dell’alunno a cui è destinato l’intervento domiciliare, il riferimento a documentazione medica depositata agli atti e l’invito, a partecipare alla selezione, in via prioritaria, ai docenti della classe di appartenenza dell’alunno stesso, ha di fatto reso note informazioni relative alla salute dell’interessato dando in tal modo luogo a una “diffusione” di dati personali, anche relativi alla salute, in violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, avendo l’Istituto scolastico rimosso la circolare, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate - degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice) - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la pubblicazione dei dati ha riguardato un soggetto minorenne (cfr. art. 83, par. 2, lett. a), del Regolamento);

- con specifico riguardo al profilo soggettivo della violazione la stessa è avvenuta per effetto di una errata interpretazione della disciplina di settore e della disciplina in materia di protezione dei dati personali e nell’erroneo convincimento che l’indicazione delle sole iniziali del nome e del cognome dell’alunno “potesse garantire l’anonimizzazione dei dati” (art. 83, par. 2, lett. b), del Regolamento);

- la pubblicazione ha riguardato categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni, dotato di limitate risorse economiche, si devono considerare, altresì, le seguenti circostanze attenuanti:

- la diffusione si è protratta per un periodo temporale ridotto in quanto il titolare del trattamento ha provveduto a rimuovere la circolare (art. 83, par. 2, lett. c), del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

- l’Istituto si è impegnato a rafforzare le misure organizzative interne, al fine di prevenire il ripetersi di episodi quali quello occorso e ad adottare iniziative riguardanti la formazione del personale, l’individuazione di un referente interno e un gruppo di lavoro dedicato alla valutazione della conformità alla normativa sulla protezione dei dati di tutte le procedure amministrative adottate dall'Istituto, che collaborerà con il DPO;

- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la diffusione di categorie particolari di dati di un soggetto minorenne in assenza di condizioni di liceità.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dall’ all’Istituto Comprensivo Statale Montelibretti di Montelibretti (RM), nei termini di cui in motivazione, degli artt. 5, par. 1, lett. a) e c), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto Comprensivo Statale Montelibretti, con sede in P.zza della Repubblica 21 - 00010 Montelibretti (RM) - Codice Fiscale: 94032580584, di pagare la complessiva somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Istituto Comprensivo Statale Montelibretti:

- di pagare la complessiva somma di euro 4.000,00 (quattromila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 29 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10251650
Data
29/04/26

Argomenti

Dati sanitari Scuola Studenti Tutela dei minori

Tipologie

Ordinanza ingiunzione o revoca