Una scuola ha pagato circa 20.000 euro di sanzione al Garante per aver pubblicato sul sito istituzionale gli elenchi delle classi con i nominativi degli alunni. La Corte dei Conti ha poi chiesto al dirigente di rimborsare quella somma all'istituto, perché l'errore è stato suo. È il precedente che pesa sopra ogni FAQ di fine anno scolastico sulla privacy.
Cosa le scuole possono fare oggi
Il quadro operativo resta quello fissato dal Garante: la composizione delle classi non si pubblica sul sito web della scuola. Per le classi prime i nominativi vanno comunicati via e-mail all'indirizzo indicato dalle famiglie all'atto dell'iscrizione, per le classi successive sull'area riservata del registro elettronico accessibile solo agli studenti della classe.
Resta consentita, in via residuale, l'affissione al tabellone in bacheca, da usare solo quando mancano strumenti telematici. Gli elenchi devono contenere soltanto i nominativi: niente luogo e data di nascita, niente informazioni sanitarie, niente dati personali ulteriori. Le stesse regole si estendono alle graduatorie interne e ad altri elenchi che riguardano studenti o personale.
Il precedente da 20.000 euro che fa giurisprudenza
Il provvedimento del Garante del 13 aprile 2023, n. 185 ha sanzionato una scuola che, nella sezione amministrazione trasparente del proprio sito, aveva pubblicato una nota del dirigente con i nominativi degli alunni ammessi al tempo pieno e l'indicazione della classe assegnata. La segnalazione era arrivata da una docente dell'istituto.
Il Garante ha ricostruito una diffusione illecita di dati personali in violazione degli articoli 5 e 6 del GDPR e dell'articolo 2-ter del Codice privacy. La pubblicazione di dati nominativi sul sito è lecita solo se prevista da una specifica disposizione di legge: per la composizione delle classi quella disposizione non esiste.
Il seguito è il pezzo che le FAQ di fine anno non raccontano. La sanzione, pagata con fondi dell'istituto, è finita davanti alla Corte dei Conti Veneto (sentenza n. 315/2025): il Pubblico Ministero contabile ha contestato al dirigente il danno erariale, perché la mancata adozione di direttive interne e di un sistema di controlli aveva portato a esaurire le casse pubbliche per una sanzione evitabile. Il caso si è chiuso solo quando il dirigente ha restituito di tasca propria la somma all'istituto.
Il vademecum è del 2025, non del 2023
Il riferimento più aggiornato non è più l'edizione 2023 del documento del Garante, ancora citata da molte testate. Dal 27 novembre 2025 è online la versione aggiornata del vademecum La scuola a prova di privacy del Garante, che integra le novità su intelligenza artificiale a scuola, chat di classe, smartphone, iscrizioni e graduatorie del personale.
Per la composizione delle classi le regole non cambiano, ma il perimetro del trattamento dati si amplia: il vademecum 2025 ricorda che anche le chat di genitori e studenti rientrano nel raggio della normativa, vieta espressamente la pubblicazione online di morosità del servizio mensa e degli elenchi degli iscritti al trasporto scolastico, e recepisce il parere reso dal Garante sulle prime linee guida del Ministero per l'uso sicuro dell'IA nelle scuole. Per chi gestisce anche le procedure del personale, cambia il modo di trattare gli elenchi: come funziona la domanda per le graduatorie ATA 24 mesi resta un caso a parte, regolato da norme di trasparenza specifiche.
Cosa deve fare il dirigente prima di chiudere l'anno
La sentenza veneta sposta il rischio dal piano amministrativo a quello personale. Il dirigente che pubblica o lascia pubblicare elenchi nominativi sul sito non rischia solo la sanzione formale al titolare del trattamento: rischia di doverla rimborsare. Per questo il vademecum 2025 insiste sulle direttive interne, sulla nomina formale dei responsabili e su un sistema di controlli proporzionato alle dimensioni dell'istituto.
Prima del 30 giugno la checklist operativa è asciutta: revisionare la sezione amministrazione trasparente per rimuovere note del dirigente che contengono nominativi di alunni, verificare i canali di comunicazione delle classi prime (e-mail dedicate, non bacheche pubbliche), controllare che il registro elettronico restringa l'accesso agli elenchi alla sola classe interessata, ricordare ai docenti che le chat di gruppo non sono il canale ufficiale per gli elenchi.
L'errore più frequente non è la malafede ma la prassi consolidata: pubblicare "come si è sempre fatto" su un sito che oggi è indicizzato dai motori di ricerca. Una nota dimenticata in amministrazione trasparente vale lo stesso 20.000 euro di tre anni fa.