Violata la privacy dei bambini iscritti ai servizi di sostegno delle scuole dell’infanzia: divulgazione di dati sensibili con il dettaglio delle disabilità
Di recente, il Garante per la privacy ha esaminato un reclamo relativo alla comunicazione non autorizzata di dati sensibili di minori destinatari di sostegno scolastico da parte di una cooperativa sociale che gestisce servizi per l’inclusione scolastica nelle scuole dell’infanzia per conto del Comune di Bologna.
Secondo quanto emerso nel corso dell’istruttoria condotta dall’Autorità, la cooperativa ha trasmesso via email alle famiglie dei minori alcuni file contenenti non solo le informazioni sulla partecipazione allo sciopero dei propri operatori, ma anche dettagli sulle condizioni di salute e disabilità di minori iscritti ai servizi scolastici.
Infatti, oltre alla documentazione allegata, la comunicazione indirizzata ai responsabili dei vari distretti scolastici riportava non solo i nomi dei minori, ma anche data e luogo di nascita, cittadinanza, patologie, codici di classificazione delle disabilità, certificazioni e il monte ore di sostegno.
Dato che tali informazioni rientrano tra i dati personali sensibili, in quanto rivelano lo stato di salute dei soggetti interessati, e richiedono una protezione specifica, soprattutto perché riguardano minori, soggetti considerati vulnerabili, il Garante ha quindi accertato le violazioni delle disposizioni previste dall’art. 28 del GDPR per non aver “utilizzato la perizia necessaria ad evitare la messa a disposizione delle informazioni” in “violazione delle istruzioni fornite dal titolare del trattamento”, e dall’art.32 del Regolamento UE per non aver adottato misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
Pur in assenza di dolo, la cooperativa, agendo come responsabile del trattamento per conto del Comune di Bologna, non avrebbe infatti adottato le misure organizzative e tecniche necessarie per evitare la divulgazione non autorizzata di dati.
In seguito all’incidente, la cooperativa ha avviato un piano di riorganizzazione dei processi interni, introducendo strumenti di pseudonimizzazione (codici alfanumerici al posto dei dati anagrafici) e organizzando attività formative per il personale. Inoltre, è stato riconosciuto un risarcimento a una delle famiglie coinvolte.
A conclusione dell’istruttoria, il Garante adottato nei confronti della cooperativa il provvedimento n. 274 del 29 aprile 2025 con una sanzione amministrativa di 20.000 euro, ritenuta proporzionata alla gravità dell’infrazione, al numero di soggetti vulnerabili coinvolti e alla natura dei dati trattati.
