NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • L'intelligenza artificiale nella Pubblica Amministrazione e nelle imprese: AgID, AI Act e strumenti a supporto per le valutazioni d’impatto

Dati sensibili su carta riciclata: quando la violazione della privacy è nel retro del foglio

Quella che a prima vista potrebbe sembrare una banale disattenzione o una scelta ecologica mal riuscita si è trasformata in un caso emblematico di violazione della privacy in ambito scolastico. Protagonista è un liceo romano finito sotto l’attenzione del Garante per la protezione dei dati personali dopo un episodio avvenuto durante un’assemblea studentesca dedicata all’educazione sessuo-affettiva.

In quell’occasione, agli studenti erano stati distribuiti fogli di carta riciclata da utilizzare per scrivere domande e riflessioni. Nulla di insolito, se non fosse che su alcuni di quei fogli erano presenti dati sensibili riconducibili a una studentessa, in particolare informazioni legate alla sua salute e al suo percorso scolastico. Un dettaglio tutt’altro che trascurabile, che ha spinto il padre della ragazza a presentare un reclamo formale, chiedendo tra l’altro di evitare verifiche invasive tra gli studenti per non aggravare ulteriormente la situazione.

La scuola, dal canto suo, ha cercato di chiarire la propria posizione, sottolineando di non aver organizzato direttamente l’assemblea, essendo autogestita dagli studenti. Sono state avviate verifiche interne per capire come quei documenti fossero finiti tra la carta da riciclo, ma senza riuscire a individuare con certezza l’origine dell’errore. Un collaboratore scolastico ha confermato di aver distribuito fogli di recupero, ignaro del fatto che contenessero dati sensibili.

Tuttavia, per il Garante questo non è stato sufficiente a escludere la responsabilità dell’istituto. Il punto centrale non è tanto l’intenzionalità, quanto l’adeguatezza delle misure organizzative adottate per proteggere i dati personali. Se documenti contenenti informazioni così delicate riescono a circolare liberamente, significa che il sistema di gestione e controllo non è stato efficace.

L’Autorità ha quindi ritenuto che si sia verificata una violazione dei principi fondamentali del trattamento dei dati, come la liceità, la correttezza e la riservatezza, oltre a una carenza nelle misure di sicurezza richieste dal Regolamento generale sulla protezione dei dati. A pesare è stato anche il fatto che non sia stato possibile ricostruire con precisione il percorso che ha portato quei documenti fuori dal circuito protetto.

Alla fine dell’istruttoria, il Garante ha sanzionato il liceo con una multa di 2.000 euro. (Provvedimento n.160 del 12 marzo 2026) Una cifra contenuta, determinata anche considerando le dimensioni dell’istituto e l’assenza di precedenti, ma che non attenua il significato della decisione. Il Garante ha infatti voluto ribadire un principio chiaro: la tutela dei dati personali, soprattutto quando riguarda studenti e informazioni sensibili, non può essere trattata come un aspetto secondario della gestione scolastica.

Questo episodio diventa così un monito per tutte le scuole. Anche pratiche apparentemente innocue, come il riutilizzo di fogli stampati, possono comportare rischi seri per la tutela della privacy se non sono accompagnate da controlli adeguati.

In un contesto come quello scolastico, dove circolano dati legati alla salute, alle difficoltà di apprendimento o ad altre fragilità personali, il livello di attenzione deve essere particolarmente elevato.

Proprio da casi come questo emerge con chiarezza quanto la prevenzione passi da scelte organizzative semplici ma consapevoli. Il riutilizzo della carta, ad esempio, dovrebbe essere sempre subordinato a una verifica preventiva, escludendo in modo assoluto documenti che possano contenere dati personali. Ancora più a monte, è fondamentale che il personale scolastico sia adeguatamente formato, perché spesso le violazioni nascono non da dolo ma da sottovalutazione del rischio.

Anche la gestione dei documenti cartacei merita un’attenzione specifica: procedure chiare per l’archiviazione e lo smaltimento, come l’uso sistematico di distruggidocumenti per gli atti non più necessari, possono ridurre drasticamente il rischio di dispersione dei dati. Allo stesso modo, definire responsabilità precise e controlli interni aiuta a evitare che materiali sensibili escano dai canali previsti.

E ovviamente, non va trascurato l’aspetto culturale. La protezione dei dati non è solo un obbligo imposto dal GDPR, ma una componente essenziale del rapporto di fiducia tra scuola, studenti e famiglie. È proprio questa consapevolezza diffusa che consente di trasformare la compliance da mero adempimento formale a pratica quotidiana, capace di prevenire errori anche banali ma potenzialmente molto dannosi.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev Dall'European Data Protection Board un modello di valutazione d'impatto per semplificare la compliance e rafforzare la coerenza
Next Dipendenti “curiosi”: le misure organizzative necessarie per proteggere i dati aziendali ed evitare sanzioni del Garante Privacy

Galleria Video

Il furto d'identità con l'intelligenza artificiale

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza