Un file con nome, codice fiscale, fasce ISEE e i pasti consumati di 80 famiglie finisce per errore nella casella di posta di oltre cento destinatari. È la dinamica della violazione della mensa scolastica di Marzabotto su cui interviene il Garante per la protezione dei dati personali, che dichiara illecito il trattamento di Sodexo Italia e non infligge alcuna sanzione pecuniaria.
Il file di test inviato per sbaglio dal gestore del servizio
Il provvedimento n. 275 del 17 aprile 2026 ricostruisce nel dettaglio quanto avvenuto a Marzabotto, in provincia di Bologna. Sodexo Italia gestiva il servizio di ristorazione per conto del Comune e, tramite la piattaforma eCivis Solution del subfornitore Project S.r.l., un'operatrice ha caricato un file di test di 72 pagine e l'ha spedito come sollecito di pagamento. I destinatari reali erano oltre cento famiglie. Il documento conteneva i dati di circa 50 contribuenti: anagrafica, codice fiscale, importi dovuti, fasce ISEE e perfino il dettaglio dei pasti consumati dai bambini, giorno per giorno. Il sub-fornitore ha precisato che la piattaforma prevede molte fasi di controllo per evitare proprio questo tipo di errore: in questo caso, sono state ignorate. Sul trattamento dei dati raccolti negli istituti, le indicazioni ministeriali sull'articolo 96 del Codice privacy fissano già da anni un perimetro chiaro.
Perché il Garante non ha multato Sodexo
Sul piano formale, l'Autorità ha contestato la violazione di più articoli del GDPR: assenza di una base giuridica per la comunicazione, mancato rispetto dei principi di liceità, correttezza e minimizzazione, carenza iniziale di misure organizzative e formative. Tutti presupposti che, nei casi più gravi, possono portare a una sanzione fino al 4% del fatturato globale. Sodexo Italia, invece, esce dal procedimento con la sola dichiarazione di illiceità del trattamento e nessuna misura correttiva aggiuntiva. La motivazione è scritta nel testo del provvedimento del 17 aprile 2026: la violazione "ha esaurito i suoi effetti" e la società ha già adottato correttivi interni dopo l'incidente. È un esito che si lega al bilancio complessivo dell'Autorità. Nel 2024 sono arrivate 2.204 notifiche di data breach, in media sei al giorno, e sono stati incassati 24 milioni di euro di sanzioni a fronte di 835 provvedimenti. Le 498 violazioni del settore pubblico hanno riguardato in larga parte comuni, scuole e sanità: esattamente lo schema del caso Marzabotto, ovvero servizi gestiti da concessionari privati per conto degli enti locali.
Cosa cambia per le mense scolastiche e per le famiglie
Per la famiglia che si è vista finire in una mail di altri genitori la lista della morosità, il provvedimento non porta indennizzi automatici: serve un'azione civile separata. Per i comuni che esternalizzano la mensa scolastica, invece, il caso fissa due punti pratici. Il primo: anche quando il servizio è in concessione, il titolare del trattamento resta l'ente pubblico, mentre la società che gestisce è responsabile esterno ex art. 28 GDPR. Il secondo: la nomina del sub-responsabile non scarica la responsabilità sul livello più basso della filiera. È Sodexo a risponderne, e per ricaduta il Comune. Dopo l'errore, la società ha disattivato la funzione di invio dei solleciti dalla piattaforma e avviato corsi di formazione per il personale. Non è la prima volta che le mense finiscono al centro delle cronache: dai pasti contaminati ai rapporti tesi tra sindaci e famiglie su frequenze e morosità, il servizio resta uno dei punti di contatto più delicati fra ente locale e utenza.
Il dossier resta aperto sul fronte civile e sul giudizio di opposizione che Sodexo Italia ha avviato contro il provvedimento. Nel frattempo, il piano ispettivo del Garante per il primo semestre 2026 ha messo proprio le scuole e i loro fornitori digitali fra le priorità di vigilanza.