Provvedimento del 9 ottobre 2025 [10192761]
Provvedimento del 9 ottobre 2025 [10192761]
Condividi[doc. web n. 10192761]
Provvedimento del 9 ottobre 2025
Registro dei provvedimenti
n. 583 del 9 ottobre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, Segretario Generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la Prof.ssa Cerrina Feroni.
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità, la sig.ra XX ha rappresentato che una docente dell’Istituto Comprensivo “VALMOREA” di Valmorea (CO) (di seguito “l’Istituto”) avrebbe pubblicato sulla piattaforma Classroom della classe del figlio, taluni messaggi con i quali si richiedevano colloqui urgenti con i genitori di tre alunni indicati nominativamente e che, in risposta al messaggio con il quale la reclamante ringraziava “per la riservatezza e il rispetto della privacy dei ragazzi”, l’insegnante avrebbe risposto “Non c'è bisogno di ringraziare. Tutti devono sapere che se si comporteranno come suo figlio, verranno presi provvedimenti seri.”
2. L’attività istruttoria.
Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità in data XX (prot. n. XX), alla quale si rinvia integralmente, il dirigente scolastico dell’Istituto ha rappresentato, in particolare, che:
- “a seguito della segnalazione via mail, ricevuta dalla sig.ra XX, in data XX, ho provveduto tempestivamente a richiedere alla docente l’immediata rimozione dei messaggi, riconoscendo nell’episodio una potenziale violazione della normativa in materia di protezione dei dati personali. In ogni caso ho riportato l’episodio nel registro delle violazioni tenuto dall’amministrazione senza effettuare alcuna comunicazione all’Autorità garante ritenendo improbabile che la violazione dei dati personali, ove occorsa, potesse comportare un rischio per i diritti e le libertà delle persone fisiche;
- “la docente, a seguito di specifica richiesta di chiarimenti, ha riferito che in data XX, dopo aver inviato una richiesta di colloquio, via mail, indirizzata ai genitori di tre alunni della classe […], ha riportato la stessa convocazione anche sulla Classroom, senza specificare la causa e con una finalità educativa. A seguito degli accertamenti condotti riteniamo che al momento di inviare la comunicazione la docente, che ha operato nell’immediatezza dei fatti, sia stata tratta in qualche modo in inganno dal fatto che i destinatari del messaggio fossero utenti individuati dalla casella nome.cognome@icvalmorea.edu.it dove nome e cognome sono quelli degli alunni della classe, ovviamente presenti ai fatti e nei confronti dei quali si volevano perseguire finalità educative, senza valutare il fatto che alla medesima casella potessero accedere anche i genitori degli alunni, che non dovevano venire a conoscenza dei nominativi degli alunni coinvolti.”;
- “la pubblicazione dei messaggi è avvenuta dopo le XX del giorno XX ed è stata definitivamente rimossa alle ore XX del giorno XX, come da dichiarazione fornita dalla docente stessa”;
- “ad oggi, al sottoscritto, non è pervenuta alcuna segnalazione da parte degli altri destinatari della comunicazione e, tantomeno, da parte degli altri componenti della classe virtuale”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione, sulla piattaforma Classroom, dei messaggi contenenti informazioni personali relativi al figlio della reclamante e altri due alunni, seppure avvenuta in un’area accessibile solo a genitori degli alunni della classe e non, quindi accessibile a chiunque, ha dato luogo, nel caso di specie, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e 2-ter del Codice.
Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
Con nota del XX (prot. n. XX) l’Istituto scolastico ha fatto pervenire le memorie difensive, alle quali si rinvia integralmente, rappresentando, in particolare, che:
- “il Dirigente Scolastico […] si attivava immediatamente per contattare la docente fuori servizio perché provvedesse alla rimozione immediata dei messaggi contestati”;
- “dagli accertamenti condotti dal dirigente scolastico è emerso che il giorno XX a seguito del comportamento tenuto in aula alla presenza di tutti i compagni una docente (…) ha proceduto alla convocazione dei genitori di tre alunni della classe (…) della scuola secondaria I grado “F.lli Cervi” di Binago. La convocazione è avvenuta in modo riservato con tre mail inviate singolarmente ai rispettivi genitori. Successivamente la docente ha ritenuto di dover comunicare, all’intera classe, i provvedimenti presi pubblicando sulla classroom riservata agli alunni della classe […] il messaggio”;
- “La comunicazione su classroom aveva quindi le finalità educative che la docente stessa esplicita, in modo brusco, nella sua risposta al genitore che ringraziava, nel suo messaggio, “per la riservatezza e il rispetto della privacy dei ragazzi”. La comunicazione, insomma, era rivolta agli alunni della classe che, già a conoscenza dei fatti, venivano così messi a conoscenza anche dei provvedimenti presi nei confronti degli alunni indisciplinati.”;
- “I messaggi contestati, quindi, erano destinati agli alunni della classe e la Sig.ra XX ha potuto avere accesso agli stessi solo a seguito della segnalazione del figlio che ha acceduto alla classroom con le proprie credenziali personali”.
3. Esito dell’attività istruttoria.
3.1 Normativa applicabile.
Il quadro normativo in materia di protezione dei dati previsto dal Regolamento dispone che il trattamento di dati personali da parte di soggetti pubblici è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).
Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Esito dell’attività istruttoria.
Alla luce dell’attività istruttoria, risulta che una docente dell’Istituto ha reso disponibile, sulla piattaforma Classroom, alcuni messaggi con i quali si richiedevano ai genitori colloqui urgenti con riguardo a tre alunni indicati nominativamente, tra cui il figlio della reclamante, rendendo note a tutti i genitori degli alunni della classe informazioni relative a specifici alunni.
Tali messaggi sono rimasti visibili sulla piattaforma soprindicata per circa 24 ore e successivamente sono stati rimossi.
Giova premettere che ai sensi dell’art. 4 par. 1, n. 7, il “titolare del trattamento” è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’EDPB del 7 luglio 2021, prevedono che “è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR” (par. 17).
Al riguardo, anche nella sentenza della Corte di Giustizia del caso C-741/21, dell’11 aprile 2024, si è affermato che “un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità”.
Pertanto, il titolare del trattamento è sempre la persona giuridica nel suo complesso, anche quando una violazione del Regolamento si sia verificata per negligenza o inadempimento di un autorizzato.
Ciò premesso, si osserva che il Garante ha avuto modo di intervenire, in numerose occasioni, sul tema delle “comunicazioni scolastiche”. In tale ambito l’Autorità ha chiarito che “Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad es., gli alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate” (vedi, da ultimo, La scuola a prova di privacy - Vademecum ed. 2023, disponibile sul sito web del Garante: www.garanteprivacy.it, doc web n. 9886884, vedi anche le FAQ “Scuola e privacy - Domande più frequenti”, consultabili all’indirizzo FAQ - Scuola e privacy - Garante Privacy, in part. FAQ n. 7).
In particolare, con riferimento al caso di specie, sebbene la pubblicazione dei messaggi in questione sia avvenuta in un’area non accessibile a chiunque tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, comunque in favore di un novero determinato o determinabile di soggetti essendo tale area accessibile a tutti i genitori degli alunni della classe dell’interessato (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali del figlio della reclamante e di altri alunni (vedi al riguardo, provv. 27 novembre 2024, n. 728, doc. web n. 10097324; provv. 27 marzo 2025, n.169, doc. web n. 10136982).
A tal riguardo, si rammenta, inoltre, che i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento).
Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali riguardanti il figlio della reclamante.
Per tali ragioni l’Istituto ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
Ciò premesso, le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Ciò tenuto conto che:
- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;
- i messaggi sono stati visibili nella piattaforma, per circa 24 ore, in quanto l’Istituto ha provveduto tempestivamente a cancellarli;
- i soggetti ai quali i messaggi sarebbero stati resi accessibili sono limitati alla classe di appartenenza del figlio della reclamante;
- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, parr. 2 e 5, lett. a) del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo Valmorea con sede in Via Roma n. 636, 22070 - Valmorea (CO) - Codice Fiscale: 80012680130, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Valmorea quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 ottobre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Fanizza
