g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 10 luglio 2025 [10162203]

Provvedimento del 10 luglio 2025 [10162203]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10162203]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 385 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prLof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott.Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con il reclamo presentato all’Autorità dalla sig.ra XX e dal sig. XX, è stato lamentato che l’Istituto Comprensivo 2 C.D. “G. Modugno” S.M. “G. Galilei” di Monopoli (di seguito, l’Istituto) avrebbe pubblicato sul sito web istituzionale e, in particolare, all’indirizzo https://...  la  circolare n. XX relativa alle convocazioni del Gruppo di lavoro Operativo per l’inclusione scolastica (GLO) organizzate dall’Istituto, “contenente l’elenco dei bambini disabili con nome e cognome e classe frequentata, tra cui quello del (…) figlio”.

Dall’accertamento preliminare effettuato dall’Ufficio in data XX (prot. n. XX) è emerso che la predetta circolare risultava visibile e liberamente scaricabile all’url: “XX e conteneva l’elenco dei nominativi (cognome e iniziale del nome) degli alunni per i quali era stato convocato il GLO, divisi per classi e per plesso di appartenenza.

2. L’attività istruttoria.

Con nota del XX (Prot. X) rispondendo alla richiesta di informazioni formulata dall’Autorità, alla quale si rinvia integralmente, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare, che:

-  “quanto rappresentato è meramente da intendere quale semplice discrasia tra la volontà effettiva di questa Amministrazione (sempre attenta al diritto alla privacy degli studenti e delle loro famiglie) e la reale pubblicazione della nota in cui erano presenti alcuni dati sui quali si sarebbe dovuta operare un’attenzione particolare ai sensi di quanto dispone il GDPR 679/2016”;

- “In particolare da indagine interna effettuata a posteriori, dopo il rilievo è emerso che la (…) circ. n. XX – convocazione GLO Infanzia-Primaria tra i destinatari riporta chiaramente la mailng list 4: docenti primaria, docenti sostegno, personale ATA, lingue con esclusiva limitazione ai docenti infanzia, docenti primaria, docenti di sostegno”;

- “sempre dall’indagine interna è emerso che la stessa è stata materialmente redatta dalla docente funzione strumentale (…), mentre la relativa pubblicazione in “articolo visibile” e “scaricabile” è stata successivamente pubblicata (…) dall’amministrativa dell’ufficio di segreteria in assoluta buona fede, senza aver avuto la consapevolezza di ledere il diritto alla privacy dell’alunno e della famiglia”;

- “tuttavia come da specifica segnalazione, la circolare n. XX veniva prontamente rimossa in data XX u.s. come da dichiarazione in allegato della responsabile alla pubblicazione”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito web istituzionale della circolare  citata relativa alle convocazioni del GLO organizzate dall’Istituto, contenente l'elenco nominativo (cognome e iniziale del nome) dei bambini per i quali le predette riunioni sono state convocate, comprensiva del nominativo del figlio dei reclamanti, ha dato luogo a una diffusione illecita di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, 9 del Regolamento e 2-ter, 2 sexies e 2-septies, comma 8, del Codice).

Pertanto, l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, alle quali si rinvia integralmente, con nota con dell’XX (prot. n. XX), rappresentando, in particolare, che:

- “la mattina del 5 giugno u.s. è avvenuto che l'assistente amministrativa (…), pressata dalla necessità di espletare nella stessa mattinata vari adempimenti urgenti, connessi con la conclusione dell'anno scolastico, ha pubblicato sul sito web della scuola la circolare n. XX, consegnatale dalla docente (…) che l'aveva redatta, inserendola frettolosamente ed erroneamente nella sezione Articoli "visibile e scaricabile". La dipendente, quindi, non ha tenuto conto delle consuete regole di riservatezza, che peraltro ella ben conosceva, avendole sempre osservate in altre occasioni. Soprattutto, ella ha completamente ignorato la raccomandazione, che poco prima le aveva fatto la sottoscritta Dirigente, di oscurare sul web il nome degli alunni disabili, riportati nella circolare, essendone riservata la visione ai soli docenti delle relative classi. Tali circostanze sono confermate dalla dichiarazione personale (…), rilasciata dalla docente (…), che era presente in Segreteria, in quanto coordinatrice GLO, allorché la sottoscritta impartì il suddetto ordine di oscuramento. Quindi, nella valutazione del predetto illecito non si può non tener conto del fatto che la dipendente (…) incaricata del trattamento ha operato, oltre che contro le sue reali intenzioni, anche secondo modalità contrarie e comunque incompatibili con quelle stabilite dalla scrivente titolare del trattamento”;

- “si permette di rilevare, anche con riferimento all'art 83 par. 2, del codice che la condotta in questione non risulta commessa né intenzionalmente, né per negligenza o colpa di qualsiasi genere dalla sottoscritta, quale titolare del trattamento.;

- “inoltre, va escluso qualsivoglia comportamento inadeguato della sottoscritta non solo perché, come osservato dianzi, ella ha impartito l'ordine su menzionato di oscuramento dei dati sensibili, ma anche perché in precedenza non si sono mai verificate analoghe violazioni, e inoltre perché, in via generale, la sottoscritta Dirigente scolastica si è premurata di effettuare periodiche iniziative di formazione del personale, nella fattispecie di quello amministrativo, sia prima del fatto contestato, sia dopo la contestazione cui ora si risponde, e precisamente l'ultima formazione del DPO incaricato svoltasi in data XX, come risulta dagli Atti della Scuola”;

- la “violazione (è stata) causata da un mero errore materiale avvenuta in buona fede, quindi senza intenzionalità alcuna”;

- è stata effettuata la “Cancellazione della circolare da parte della responsabile della pubblicazione (…) non appena rilevata l'erronea pubblicazione”;

-“ai sensi degli artt. 25 e 32 del Reg. europeo, per garantire un livello di sicurezza per la protezione dei dati, questo istituto adotta normalmente le misure tecniche della pseudonimizzazione e della minimizzazione. Sul piano organizzativo attua periodicamente corsi di formazione per la Privacy al personale tutto tenuti dal DPO, (…) In programma è previsto l'espletamento di un ulteriore corso di addestramento entro XX in conformità alle disposizioni vigenti. Infine questo istituto aggiorna periodicamente l'informativa POLICY PRIVACY on line per far conoscere agli “interessati” (studenti, famiglie, docenti...) come vengono trattati i dati personali”.

Con nota del XX (prot. n. XX) rispondendo alla ulteriore richiesta di chiarimenti formulata dall’Autorità, alla quale si rinvia integralmente, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare, che:

- L’“episodio costituisce una eccezione, rispetto al costante ed eccellente lavoro svolto da tutti i miei collaboratori scolastici. Ad avvalorare tale tesi, richiamo (…), le istruzioni operative puntualmente disposte dalla sottoscritta e redatte dal Direttore SGA (…), recante proprio il titolo di “Piano di lavoro personale amministrativo tecnico ausiliario” (…), vigente nell’anno scolastico XX, periodo nel quale si è verificato l’avvenimento”;

- “nella documentazione sopra richiamata, vi è specifico riferimento alla particolare cura con cui devono essere trattati i “dati sensibili”. Inoltre la scrivente ha conferito l’incarico di DPO, a cui è stato demandato il compito precipuo di informare, formare e addestrare tutto il personale interno.”;

- “Vi si allega copia di Autocertificazione, ex lege, invero già in Vostri atti, a firma della Sig.ra (…) attestante la dichiarazione - circa la personale responsabilità, di aver pubblicato autonomamente, ammettendo di non aver seguito le istruzioni precedentemente impartite dalla Dirigente Scolastica e di averla prontamente rimossa dal sito in data XX, quando ha preso atto del colpevole errore”.

3.  Normativa applicabile.

3.1 Il quadro normativo.

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento prevede che il trattamento di dati personali da parte di soggetti pubblici, come l’Istituto, è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 del Regolamento), in ragione della loro particolare delicatezza, “non possono essere diffusi” (art. 2-septies, comma 8 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che l’Istituto ha pubblicato sul sito web istituzionale la circolare XX relativa alle convocazioni del GLO organizzate dall’Istituto, contenente l'elenco nominativo (cognome e iniziale del nome) dei bambini per i quali le predette riunioni sono state convocate, comprensiva del nominativo del figlio dei reclamanti.

Tale circolare è stata visibile sul sito web dell’Istituto dal XX al XX ed è stata successivamente resa non accessibile.

In via preliminare si osserva che, ai sensi dell’art. 4 par. 1, n. 7, il “titolare del trattamento” è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’EDPB del 7 luglio 2021, prevedono che “è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR” (par. 17).

Al riguardo, anche nella sentenza della Corte di Giustizia del caso C-741/21, dell’11 aprile 2024, si è affermato che “un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità”.

Pertanto, il titolare del trattamento è sempre la persona giuridica nel suo complesso, anche quando una violazione del Regolamento si sia verificata per negligenza o inadempimento di un autorizzato.

Circa la natura dei dati personali diffusi, si rileva inoltre che, ai sensi dell’art. 4 par. 1, n. 15, del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la convocazione di una riunione del GLO per l’inclusione scolastica, prevista dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno per il quale viene convocata anche considerando che i minori, in quanto “persone fisiche vulnerabili” meritano “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. n. 38 del Regolamento).

Le informazioni relative alla convocazione del richiamato gruppo di lavoro, recanti in chiaro l’indicazione del nominativo o delle iniziali del nome e cognome dell’alunno per il quale è stata organizzata, possono essere comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. art. 9, comma 10, d.lgs. 13 aprile 2017, n. 66; cfr. Provvedimento 28 aprile 2022, n. 148, doc. web 9777156). v. provv. 27 novembre 2024, n. 728, doc. web n. 10097324, provv. 12 dicembre 2024, n. 767, doc. web n. 10099052, provv. 27 febbraio 2025, n. 117, doc. web n. 10118264).

Ciò posto, anche la previsione di un’unica comunicazione della circolare a tutti i docenti della scuola dell’infanzia e della scuola primaria, ai referenti “inclusione” della scuola dell’infanzia e della scuola primaria, ai referenti della ASL, agli educatori degli alunni e a tutti i genitori degli alunni delle diverse classi convocate per la medesima data, indicata nella richiamata circolare - in luogo di distinte comunicazioni rivolte ai soli genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso - risulta in contrasto con la disciplina di settore e con la normativa in materia di protezione dei dati personali.

Alla luce delle considerazioni che precedono, stante la definizione di “titolare del trattamento”, l’Istituto scolastico, pubblicando sul sito web le convocazioni delle riunioni del Gruppo di lavoro Operativo per l’inclusione scolastica contenenti dati personali relativi alla salute degli alunni ivi riportati, ha di fatto reso nota la condizione di disabilità dei suddetti alunni a soggetti non tenuti ed esserne informati, dando in tal modo luogo a una “diffusione” di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, avendo l’Istituto scolastico reso non visibile la richiamata circolare sul sito Internet, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate - degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice) - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la comunicazione di dati ha riguardato pochi interessati e si è protratta per circa 28 giorni (cfr. art. 83, par. 2, lett. a), del Regolamento);

- con specifico riguardo al profilo soggettivo della violazione la stessa è avvenuta a causa di un mero errore materiale, in quanto la circolare in esame è stata inserita per errore nella “sezione Articoli visibile e scaricabile” (art. 83, par. 2, lett. b), del Regolamento);

- la pubblicazione ha riguardato anche categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni si devono considerare, altresì, le seguenti circostanze attenuanti:

- il titolare del trattamento ha provveduto a rimuovere la circolare non appena rilevata l’erronea pubblicazione (art. 83, par. 2, lett. c), del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

-il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la comunicazione di dati personali, incluse categorie particolari di dati di numerosi alunni in assenza di una condizione di liceità.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dall’Istituto Comprensivo 2 C.D. “G. Modugno” - S.M. “G. Galilei” di Monopoli (BA), nei termini di cui in motivazione, degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto Comprensivo 2 C.D. “G. Modugno” - S.M. “G. Galilei” di Monopoli (BA) con sede in via Via Europa Libera, 3 - 70043 Monopoli (BA) - Codice Fiscale: 93423580724, di pagare la complessiva somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Istituto Comprensivo 2 C.D. “G. Modugno” - S.M. “G. Galilei” di Monopoli:

- di pagare la complessiva somma di euro 4.000,00 (quattromila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Filippi
 

Scheda

Doc-Web
10162203
Data
10/07/25

Argomenti

Dati sanitari Scuola Studenti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (8)