[doc. web n. 10233242]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 112 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con diversi reclami presentati ai sensi dell’art. 77 del Regolamento (UE) 2016/679 (di seguito, il “Regolamento”) - riuniti alla luce di quanto previsto dall’art. 10, comma 4, del Regolamento del Garante n. 1 del 4 aprile 2019, doc. web n. 9107633, secondo cui “l’istruttoria preliminare può essere svolta contestualmente in relazione a più reclami aventi il medesimo oggetto o che riguardano il medesimo titolare o responsabile del trattamento, oppure trattamenti di dati tra loro correlati”- il XX, ha rappresentato che nella home page del sito www.einaudicorreggio.edu.it dell’ Istituto Tecnico Statale “Luigi Einaudi” di Correggio (RE) (di seguito “Istituto”), presso cui ha prestato la propria attività lavorativa, sono stati pubblicati “gli orari di servizio dei docenti” e “i turni di sorveglianza dei docenti” tra cui il proprio nominativo. Il reclamante ha rappresentato, inoltre, che nel registro elettronico “Spaggiari Classe Viva” utilizzato dall’ Istituto erano indicate le proprie assenze con visibilità a tutti i docenti, propri colleghi, nonché ad alunni e famiglie.

2. L’attività istruttoria.

In riscontro alle richieste di informazioni dell’Autorità l’Istituto, con le note del XX, XX e XX, ha dichiarato, in particolare che:

- “l’orario di servizio completo, contenente nomi e cognomi dei Professori in servizio presso la Scuola, [è] disponibile nel registro elettronico della scuola, il quale può essere letto tramite una previa identificazione con username e password”;

- “sul sito web www.einaudicorreggio.edu.it venivano inoltre riportati orari del personale docente con le relative materie di insegnamento, con indicazione del solo cognome e l’iniziale del nome, al fine di garantire una più facile consultazione da parte dell’utenza scolastica e dello stesso personale scolastico, poco avvezzo alla consultazione della bacheca del registro elettronico”;

- con riferimento ai turni di sorveglianza sono stati riportati sul sito “il solo cognome del Docente con l’iniziale del nome esclusivamente nel caso vi siano docenti con lo stesso cognome, senza indicazione di orario o precisa ubicazione temporale nell’arco della giornata o della settimana. Ad ogni modo, l’Istituto ha provveduto ad impostare un’area riservata e consentire l’accesso al solo personale incaricato”;

- “i dati riportati nel file denominato “Turni di sorveglianza” sono stati pubblicati sul sito web anche al fine di dare rassicurazione alle famiglie circa l’effettivo controllo esercitato dai docenti nei momenti meno strutturati della vita scolastica”;

- i dati personali del reclamante e dei docenti, associati rispettivamente alla pubblicazione dell’orario di servizio e alla pubblicazione dei turni di assistenza alla ricreazione sono stati reperibili sul sito istituzionale dell’Istituto “dal XX al XX per l’orario di servizio” e “dal XX al XX per i “turni di assistenza alla ricreazione”;

- “il sistema informativo di gestione delle assenze e delle relative sostituzioni, utilizzato esclusivamente dal personale autorizzato dalla scrivente e per le ragioni sopra specificate, fa parte del pacchetto “Classe Viva” che l’Istituto ha acquistato dal fornitore “Gruppo Spaggiari Parma S.p.A.”;

-“i destinatari della comunicazione della sostituzione mediante la funzione “Bacheca” del Registro Elettronico Spaggiari sono […]:1.il docente assente;2.il docente che sostituisce;3. gli alunni della classe del docente assente;4. i genitori della classe del docente assente;5. il personale Ata (segreteria e collaboratori scolastici) dell’Istituto”.

A seguito di richiesta di informazioni dell’Autorità il Gruppo Spaggiari S.p.A., fornitrice del registro elettronico in uso all’ Istituto (di seguito “Società fornitrice”), ha rappresentato che:

- “le scuole per scelte organizzative possono talvolta decidere di condividere le assenze tramite lo strumento ‘bacheca’ con gruppi di studenti per classe e genitori (ad esempio per informare che la lezione sarà tenuta da un docente in supplenza) quindi utilizzare tali applicativi non per comunicare le sostituzioni dei docenti ma esclusivamente per la gestione amministrativa e giuridica delle assenze con la creazione dei relativi decreti”;

- “la visualizzazione e la gestione delle assenze e presenze è attribuita di default al solo Dirigente e all’utente direttamente interessato. Il Dirigente, per motivi di gestione amministrativa del Personale ha poi la possibilità di attribuire la facoltà di visualizzazione e modifica ad altri soggetti che separatamente sono da lui autorizzati formalmente. Spetta infatti alla Scuola la nomina ad autorizzato del trattamento con atto specifico, senza che abbia alcun ruolo la piattaforma ClasseViva”;

- “analizzando i dati salvati a database che la scrivente ha verificato, si evince che la scuola non ha utilizzato il modulo dedicato chiamato ‘Sostituzioni di Classeviva, ovvero la scuola non ha inserito le sostituzioni attraverso l’applicativo ‘Personale 2.0’. Se lo avesse fatto i dati sarebbero stati visti dalle sole persone dipendenti autorizzate dell’istituto. La scuola ha scelto sulla base delle proprie valutazioni organizzative e di gestione, la sezione denominata ‘bacheca’ il cui accesso, anche a genitori e studenti, può essere autorizzato dal Personale che si occupa della pubblicazione della comunicazione di volta in volta in modo discrezionale a seconda delle esigenze”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento sul presupposto che la pubblicazione sul sito web dell’ Istituto degli “orari di servizio dei docenti” e dei “turni di sorveglianza dei docenti”, contenenti i nominativi degli stessi, ha determinato una diffusione di dati personali mentre la messa a disposizione delle assenze e relative sostituzioni degli insegnanti tramite il modulo “Bacheca” del registro elettronico “Spaggiari Classe Viva” ha determinato una comunicazione di dati personali, in assenza di un’idonea base giuridica e in maniera non conforme al principio di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, in violazione degli artt. 5, 6 del Regolamento, nonché dell’art 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota dell’XX, l’Istituto, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “la pubblicazione degli orari e dei turni di sorveglianza sul sito istituzionale, nonché la condivisione delle assenze tramite il registro elettronico (nella modalità errata già illustrata e spiegata), è stata motivata da esigenze organizzative interne, finalizzate a garantire continuità didattica e trasparenza verso le famiglie”;

- “non vi è stata diffusione di dati sensibili (es. salute, condanne) né intento lesivo. I dati condivisi, limitati al solo cognome per esteso e all’iniziale del nome di battesimo, rappresentano il minimo necessario per le finalità dichiarate”;

- “la durata della violazione è circoscritta, non essendo il periodo interessato dalla pubblicazione superiore a 4 mesi. Inoltre, l’Istituto ha provveduto alla rimozione completa dei dati contestati senza ritardo, appena avuto conoscenza della segnalazione, eliminando in via definitiva i dati personali compromessi dal proprio sistema entro il XX”;

- “sono state immediatamente implementate le misure di sicurezza, mediante contenimento dell’accesso alla "Bacheca" del registro elettronico con riduzione del tempo di permanenza delle comunicazioni a sole 48 ore”;

- “l'utilizzo della sezione "Bacheca" è stato determinato da un errore di natura tecnico-organizzativa, non attribuibile a una condotta dolosa finalizzata a pregiudicare i diritti e le libertà degli interessati. Tale circostanza è confermata dalla pronta collaborazione con il fornitore per allineare le procedure, rendendo di fatto già operativo l’utilizzo del modulo dedicato "Sostituzioni di Classeviva". L’inclusione di genitori, studenti e personale ATA tra i destinatari è stata frutto di una discrezionalità tecnica non intenzionale, ribadita l’assenza di volontà a diffondere dati indiscriminatamente”.

- “l’errore, non riconducibile a una sistematica trascuratezza ma avente natura accidentale, è stato agevolato da una spiegazione poco chiara al momento dell’adozione del Registro elettronico. Pur senza alcuna finalità difensiva rispetto all’operato svolto, si intende chiarire che, al momento dell’adozione dello strumento, l’utilizzo di Bacheca e di Sostituzioni era stato inteso come alternativo e rimesso alla discrezionalità del Dirigente, risultando dunque quantomeno possibile e praticabile come opzione”;

3. Esito dell’attività istruttoria.

All’esito dell’attività istruttoria è stato accertato che l’Istituto, seppure per mere esigenze organizzative al solo scopo di garantire “una più facile consultazione da parte dell’utenza scolastica e dello stesso personale scolastico”, ha pubblicato sul proprio sito web gli “orari di servizio dei docenti” e dei “turni di sorveglianza dei docenti” contenenti i dati personali dei docenti tra cui il reclamante, determinando una diffusione di dati personali e, altresì, ha messo a disposizione le assenze e le relative sostituzioni degli insegnanti tramite il modulo “Bacheca” del registro elettronico “Spaggiari Classe Viva”, seppure per un “mero errore di natura tecnico-organizzativa […] avente natura accidentale”, determinando una comunicazione di dati personali.

3.1. Il quadro normativo.

La disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, paragrafo 1 del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il titolare del trattamento è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati, fra cui quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione online di dati personali.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti è emerso che l’Istituto ha pubblicato nella home page del sito www.einaudicorreggio.edu.it dal XX al XX l’orario di servizio degli insegnanti, con espressa indicazione della materia di insegnamento e del nominativo del relativo docente. È emerso, altresì, che dal XX al XX sono stati pubblicati anche i turni di assistenza durante la ricreazione svolti dai singoli docenti nominalmente identificati.

A tale riguardo si evidenzia che l’Istituto non ha comprovato l’esistenza di alcuna disposizione normativa che obblighi a pubblicare gli orari di servizio dei docenti e i turni di assistenza agli studenti durante la ricreazione, con la specifica indicazione dei nominativi dei docenti, limitandosi a richiamare generiche esigenze organizzative al solo scopo di garantire “una più facile consultazione da parte dell’utenza scolastica e dello stesso personale scolastico, poco avvezzo alla consultazione della bacheca del registro elettronico”.

Per tali ragioni si rappresenta che nessuna esigenza di carattere organizzativo può giustificare la diffusione online di dati personali in assenza di una idonea base giuridica mediante pubblicazione dell’orario di servizio dei docenti e dei turni di sorveglianza degli studenti durante la ricreazione sul sito web istituzionale dell’Istituto, come avvenuto nel caso di specie, dando luogo a una diffusione di dati personali in violazione degli artt. 5, 6 del Regolamento, nonché dell’art 2-ter del Codice.

Alla luce delle considerazioni che precedono, stante l’assenza di una specifica base giuridica che consenta la pubblicazione online sul sito web istituzionale dell’orario di servizio degli insegnanti, con espressa indicazione della materia di insegnamento e del nominativo del relativo docente nonché dei turni di assistenza agli studenti durante la ricreazione, la scelta in concreto operato dall’Istituto, seppure dettata da esigenze organizzative e di semplificazione in favore dell’utenza (“finalizzate a garantire continuità didattica e trasparenza verso le famiglie […e garantire] una più facile consultazione da parte dell’utenza scolastica e dello stesso personale scolastico, poco avvezzo alla consultazione della bacheca del registro elettronico”) ha dato luogo a una diffusione di dati personali, in assenza di un’idonea base giuridica e in maniera non conforme al principio di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, in violazione degli artt. 5, 6 del Regolamento, nonché dell’art. 2-ter del Codice.

3.3 La comunicazione di dati personali.

Con riferimento alla messa a disposizione di dati all’interno del registro elettronico “Spaggiari Classe Viva” riguardanti le assenze del reclamante, si osserva quanto segue.

Nel corso dell’istruttoria è emerso che l’Istituto non ha inserito le sostituzioni del personale docente assente dal servizio attraverso l’applicativo dedicato “Personale 2.0”, ma utilizzando, invece, la funzione “Bacheca” del registro elettronico ha comportato che la comunicazione delle assenze e delle sostituzioni dei docenti fossero visibili non solo al personale coinvolto sul piano organizzativo (ossia il docente assente e il docente proposto per la sostituzione) ma anche gli alunni e i genitori della classe di riferimento, nonché tutto il personale di segreteria e i collaboratori scolastici dell’Istituto.

Tale circostanza è stata confermata anche dalla Società fornitrice che ha specificato che il modulo del registro elettronico dedicato a gestire le assenze e le sostituzioni degli insegnanti è quello denominato “Sostituzioni di Classeviva”. L’Istituto ha utilizzato, invece, la sezione denominata “Bacheca” visibile anche a genitori e studenti e il cui contenuto può essere “esteso” a ulteriori utenti, secondo quanto rappresentato dalla Società fornitrice, in modo del tutto discrezionale da parte dei dipendenti che si occupano della pubblicazione sulla predetta sezione. Diversamente le funzionalità del modulo del registro elettronico, appositamente dedicato alla gestione delle sostituzioni del personale docente, attribuiscono unicamente al Dirigente la facoltà di determinare, per esigenze organizzative, l’estensione della comunicazione relativa all’assenza e alla sostituzione del docente a specifiche persone fisiche espressamente autorizzate al trattamento di tali informazioni, e pertanto, non possono rientrare tra i destinatari soggetti terzi estranei sia rispetto allo specifico rapporto individuale di lavoro sia rispetto all’assetto organizzativo dell’Istituto (ad esempio, genitori e studenti, ma anche altri colleghi non autorizzati).

Come chiarito costantemente dal Garante, i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’ art. 4, par.1, n. 1) del Regolamento) e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato (art. 29 del Regolamento e 2-quaterdecies del Codice; cfr., definizione di “terzo” contenuta nell’art. 4, par.1, n. 10) del Regolamento). Tale principio, già contenuto nelle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007 (doc. web n. 1417809), è stato ribadito nel tempo dal Garante nell’ambito di decisioni su singoli casi e, più di recente, con riguardo all’affissione di turni di servizio e orari di lavoro in bacheche o in sezioni del sito web ad accesso riservato e riportanti dati e vicende personali dei colleghi comunque relativi a vicende personali dei colleghi (cfr. con specifico riferimento al contesto scolastico, in particolare, provv. ti nn. 290 del 1° settembre 2022, doc web 9811361 e 150 del 28 aprile 2022, doc. web n.9777200 e provvedimenti in essi richiamati).

Sebbene nel caso di specie l’Istituto ha dichiarato che tale messa a disposizione di dati non ha riguardato il dettaglio delle specifiche causali di assenza del personale coinvolto e che le informazioni concernenti le assenze del reclamante siano state consultabili in un’area ad accesso riservato del registro elettronico - non accessibile a chiunque e tale da non determinare una diffusione di dati personali -, si deve concludere che, in ogni caso, la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero, determinato o determinabile, assai ampio di persone, tra i quali genitori e studenti della classe, e, in modo generalizzato e indistinto, tutto il personale ATA (segreteria e collaboratori scolastici), e non invece esclusivamente a vantaggio del solo personale autorizzato al trattamento di dati personali, in ragione delle mansioni svolte all’interno della realtà organizzativa dell’Istituto.

Alla luce delle considerazioni che precedono, la consultabilità sul registro elettronico “Classeviva” tramite la funzionalità “Bacheca” anziché sul modulo denominato “Sostituzioni di Classeviva” , seppure per un mero “errore di natura tecnico-organizzativa” originato, secondo quanto rappresentato, da una non piena comprensione delle specifiche caratteristiche delle diverse funzionalità dell’applicativo adottato (“una spiegazione poco chiara al momento dell’adozione del Registro elettronico”) ha di fatto reso edotto un novero di soggetti terzi e altro personale non autorizzato delle assenze e delle relative sostituzioni riguardanti il reclamante e altri docenti, in modo non conforme al quadro normativo in materia di protezione dei dati (vedi tra i tanti, provv.ti n.485 dell’11 settembre 2025, doc. web n. 10177237; 27 febbraio 2025, n.  101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; 30 gennaio 2025, n. 36, doc. web n. 10112750; 16 gennaio 2025, n. 4, doc. web n. 10110716; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 28 aprile 2022, n. 146, doc. web n. 9776406; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 11 febbraio 2021, n. 50, doc. web n. 9562866; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).

Per tali ragioni, all’esito dell’istruttoria preliminare risulta che l’Istituto, mediante un uso non corretto delle funzionalità del registro elettronico ha reso conoscibile in modo ingiustificato le predette informazioni relative alle assenze del personale docente, determinando una comunicazione di dati personali a terzi, sia all’esterno che all’interno dell’Istituto, in assenza di un’idonea base giuridica e in maniera non conforme al principio di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, in violazione degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver pubblicato sul proprio sito web istituzionale l’orario di servizio degli insegnanti, con espressa indicazione della materia di insegnamento e del nominativo del relativo docente e i turni di assistenza durante la ricreazione svolti dai singoli docenti nominalmente identificati e per aver messo a disposizione all’interno del registro elettronico “Spaggiari Classe Viva” attraverso la funzione “Bacheca” e non mediante il modulo del registro elettronico “Sostituzioni di Classeviva” appositamente dedicato a gestire le assenze e le sostituzioni degli insegnanti, in violazione degli artt. 5 e 6, del Regolamento, nonché 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Istituto ha dichiarato di aver “provveduto alla rimozione completa” dal proprio sito web istituzionale dei dati pubblicati e che l’Istituto ha collaborato con la Società fornitrice del registro elettronico, “rendendo operativo l’utilizzo del modulo dedicato "Sostituzioni di Classeviva" del predetto registro ai fini della comunicazione delle assenze e sostituzioni dei docenti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive nei confronti dell’Istituto di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

il trattamento in questione imputabile all’Istituto con riferimento alla pubblicazione degli orari e turni di sorveglianza dei docenti si è protratto per circa quattro mesi (art. 83, par. 2, lett. a), del Regolamento);

l’Istituto ha rappresentato che la pubblicazione dei dati sul sito web è da imputarsi a esigenze organizzative interne, mentre la messa a disposizione delle assenze degli insegnanti attraverso il modulo “Bacheca” è avvenuto per un mero errore tecnico-organizzativo di “natura accidentale” determinato anche da una mancata comprensione delle specifiche funzionalità del registro elettronico (art. 83, par. 2, lett. b), del Regolamento);

il trattamento non ha riguardato informazioni idonee a rivelare dati sulla salute o altre condizioni soggettive particolarmente delicate relative agli interessati, né le specifiche causali di assenza dal servizio (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Istituto, si ritiene, che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

l’Istituto, ha provveduto, non appena segnalato il problema, a rimuovere i dati personali in questione dal proprio sito web istituzionale e ha prontamente collaborato con la Società fornitrice del registro elettronico, al fine di rendere operativo per la comunicazione delle assenze e sostituzioni dei docenti l’utilizzo del modulo dedicato "Sostituzioni di Classeviva" del predetto registro, offrendo altresì una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. c) ed f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare in materia di trattamenti di dati personali (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto anche della natura del titolare (Istituto scolastico) si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000/00 (duemila/00) per la violazione degli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice e, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento ha riguardato dati eccedenti e non necessari.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto per violazione degli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

all'Istituto Tecnico Statale L. Einaudi in persona del legale rappresentante pro-tempore, con sede legale Via Prati 2 - Correggio (RE) - 42015 Correggio (RE), C.F. 80014050357, di pagare la somma di euro 2.000/00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000/00 (duemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori