Un istituto comprensivo paga 4.000 euro per una circolare pubblicata in buona fede. Il Garante per la protezione dei dati personali, con provvedimento del 29 aprile 2026 (doc. n. 10251650), ha sanzionato la scuola per aver diffuso online le iniziali di un alunno minorenne in istruzione domiciliare, la classe frequentata e il riferimento a documentazione medica. La combinazione di queste tre informazioni è stata sufficiente a configurare una violazione del GDPR.
La circolare pubblica e la violazione del GDPR
L'atto in questione era un avviso di selezione di docenti per l'istruzione domiciliare. La scuola aveva utilizzato le sole iniziali dello studente, ritenendo di aver garantito l'anonimato. Il documento era però accessibile nella sezione pubblica del sito e scaricabile liberamente da chiunque.
La madre del ragazzo ha presentato reclamo al Garante, che ha avviato le verifiche. Le verifiche hanno accertato che la combinazione di elementi - iniziali, classe frequentata, presenza di documentazione medica - rendeva il minore identificabile all'interno della comunità scolastica.
Il Garante ha qualificato la pubblicazione come trattamento illecito di dati relativi alla salute, categoria soggetta a tutele rafforzate dall'art. 9 del Regolamento (UE) 2016/679. Il Regolamento vieta la diffusione di tali dati salvo specifiche eccezioni, nessuna delle quali ricorreva nel caso in esame. Tre principi risultano violati: liceità e correttezza del trattamento, minimizzazione dei dati, tutela delle categorie particolari.
Il falso mito delle iniziali: il principio di identificabilità indiretta
Il GDPR non chiede solo di omettere il nome completo di una persona. Definisce identificabile chiunque possa essere riconosciuto attraverso una combinazione di informazioni, anche indirette. Nelle scuole - ambienti ristretti dove famiglie, insegnanti e personale si conoscono - questa soglia si raggiunge con molta facilità.
Usare le iniziali invece del nome completo non equivale ad anonimizzare. Se accompagnate dal contesto, le iniziali diventano un dato personale a tutti gli effetti. Il Garante lo ha ribadito in questo provvedimento e in altri casi analoghi riguardanti gli istituti scolastici.
Le circolari scolastiche a rischio più elevato sono quelle che riguardano situazioni individuali riconoscibili:
* Istruzione domiciliare o ospedaliera: il contesto rivela direttamente l'esistenza di una patologia
* Alunni con disabilità certificata: iniziali più classe più certificazione bastano per l'identificazione
* Esenzioni o deroghe per motivi di salute: qualsiasi riferimento a condizioni specifiche
* Atti di selezione con riferimenti a situazioni riconoscibili in un contesto ristretto
Per questi casi, il principio di minimizzazione impone di eliminare ogni informazione non strettamente necessaria alla finalità dell'atto. La selezione dei docenti non richiedeva alcun riferimento all'identità o alle condizioni dell'alunno. Il quadro normativo sul trattamento dei dati degli studenti e sull'art. 96 del Codice privacy chiarisce i limiti entro cui le scuole possono trattare e comunicare informazioni sugli alunni.
Le attenuanti riconosciute e come prevenire la stessa violazione
L'istituto ha ottenuto una riduzione della sanzione grazie a quattro attenuanti riconosciute dal Garante: la rimozione tempestiva della circolare, l'assenza di precedenti violazioni, la collaborazione durante l'istruttoria e l'impegno a migliorare le procedure interne con formazione del personale e nomina di un referente privacy. Senza questi elementi, l'importo sarebbe stato superiore.
Ogni istituto può ridurre concretamente il rischio verificando tre aspetti prima di pubblicare online qualsiasi atto che riguardi singoli alunni:
1. Verificare i riferimenti individuali: nome, iniziali o qualsiasi elemento che, nel contesto specifico, renda riconoscibile l'alunno
1. Valutare il contesto complessivo: le iniziali diventano dato personale se accompagnate da classe, patologia o circostanza specifica
1. Applicare la minimizzazione prima della pubblicazione: rimuovere tutto ciò che non è strettamente necessario alla finalità dell'atto
Il provvedimento del Garante n. 307/2026 del 29 aprile è disponibile online. Formare il personale amministrativo e docente sulla gestione dei dati ha un costo contenuto. Una sanzione - anche la minima - lo supera sempre: 4.000 euro per una circolare pubblicata per errore lo dimostra.