NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Anche se nella scuola è noto che uno studente è affetto da disabilità i suoi dati sono comunque tutelati dal GDPR

Anche se nella scuola è noto che uno studente è affetto da disabilità i suoi dati sono comunque tutelati dal GDPR

Il fatto che in una scuola tutti sappiano che uno studente è disabile non autorizza nessuno a formalizzare e diffondere quell’informazione. La notorietà di un dato non lo rende disponibile. Anche ciò che è di dominio comune, se riguarda dati personali – e a maggior ragione dati sulla salute – resta soggetto alle regole sulla protezione dei dati.

Lo ha ribadito il Garante per la protezione dei dati personali con il provvedimento n. 36 del 29 gennaio 2026, con cui ha ammonito un istituto scolastico per violazione del GDPR.

Il caso: PEI inviato a tutta la classe e lista con date di nascita - La vicenda nasce dal reclamo dei genitori di uno studente con disabilità. Due le contestazioni mosse dall’Autorità:

- la prima riguarda l’invio, da parte di un’insegnante, di comunicazioni relative al Piano educativo individualizzato (Pei) dell’alunno agli indirizzi e-mail di tutti i compagni di classe. Un’informazione che, per legge, può essere condivisa solo con soggetti specificamente legittimati;

- la seconda contestazione concerne l’invio a tutti i genitori della classe dell’elenco completo degli alunni, comprensivo delle date di nascita.
In entrambi i casi, la scuola ha evidenziato che si trattava di dati già conosciuti da tutti: la condizione di disabilità era nota all’interno della classe; le date di nascita erano informazioni che i ragazzi già si scambiavano abitualmente.

La difesa dell’istituto: errore umano e limiti del software - Quanto al Pei, l’istituto ha parlato di un errore isolato nella selezione dei destinatari, commesso da una docente che stava svolgendo un’attività di supporto amministrativo.

Quanto alla lista con le date di nascita, la scuola ha spiegato di aver utilizzato un software gestionale che generava automaticamente elenchi comprensivi di quel dato. Ha inoltre fatto presente di essersi attivata per chiedere alla software house una modifica del programma, così da produrre in futuro elenchi contenenti solo nomi e cognomi.

Il principio affermato: la notorietà non cancella la violazione - Il Garante non ha accolto le giustificazioni. Con riferimento al Pei, ha ricordato che le informazioni relative al percorso educativo personalizzato – che presuppongono dati sulla salute, quindi dati appartenenti a categorie particolari – possono essere comunicate esclusivamente ai genitori dell’alunno, ai docenti della classe e agli altri soggetti espressamente individuati dalla normativa. La trasmissione ai compagni di classe è illecita, anche se questi sono già a conoscenza della situazione.

Il punto centrale è proprio questo: una cosa è la conoscenza di fatto, altra cosa è la comunicazione formale di un dato personale. Mettere “nero su bianco” e diffondere via e-mail un’informazione significa effettuare un trattamento di dati che deve trovare una base giuridica e rispettare i principi di necessità, minimizzazione e limitazione delle finalità.

Lo stesso ragionamento vale per le date di nascita. Anche se note, la loro comunicazione generalizzata è stata ritenuta eccedente rispetto alle finalità organizzative dichiarate. La diffusione di dati non necessari integra una violazione del principio di minimizzazione.

La reazione correttiva della scuola – in particolare la richiesta di modifica del software – è stata valutata positivamente dall’Autorità. Per questo motivo non è stata irrogata una sanzione pecuniaria, ma solo un ammonimento ufficiale.

Una lezione per le scuole (e non solo) - Il provvedimento offre un chiarimento importante: la privacy non tutela il segreto, ma il controllo sulla circolazione dei dati personali. Anche quando un’informazione è conosciuta in un contesto ristretto, la sua formalizzazione e trasmissione attraverso canali ufficiali costituisce un trattamento che deve rispettare le regole.
In ambito scolastico, ciò assume un rilievo particolare quando si tratta di dati relativi alla salute o comunque di informazioni che possono incidere sulla dignità e sulla sfera personale degli studenti.

L’episodio richiama inoltre a un uso consapevole degli strumenti tecnologici: eventuali rigidità dei software gestionali non rappresentano una giustificazione. Il titolare del trattamento resta responsabile delle modalità con cui i dati vengono trattati, anche quando il sistema informatico “fa tutto da solo”. La notorietà, dunque, non è una scriminante. Se un dato è personale, deve essere sempre protetto.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev Sanzionato dal Garante della privacy il medico che registra i dialoghi con i suoi pazienti per tutelarsi da minacce e offese
Next Standard UNI, certificazioni ISO e GDPR: convergenze operative nella governance dell’amministratore di condominio

Galleria Video

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza