L'Istituto Comprensivo Statale Alghero 2 ha aperto il 2026 del Garante della privacy a scuola. Il provvedimento n. 1 del 16 gennaio sanziona la scuola sarda con un ammonimento formale per aver risposto a due reclami sindacali con un'unica nota allegata via pec, che ha fatto leggere alla collega ricoveri ospedalieri, assenze per motivi medici e una richiesta di visita medico collegiale di una docente.
Cosa ha detto l'Autorità
La dirigenza si era difesa parlando di economia procedurale: entrambi i reclami arrivavano dalla stessa sigla sindacale, con un'unica pec, e contestavano lo stesso decreto di assegnazione delle classi. L'idea era che spettasse al sindacato filtrare il testo prima di inoltrarlo alle docenti, inserendo gli omissis.
Il Garante boccia l'impianto. Il datore di lavoro pubblico deve garantire sempre comunicazioni individuali quando in gioco ci sono informazioni riservate dei dipendenti. L'onere di tutelare la riservatezza ricade esclusivamente sull'amministrazione, mai sul sindacato delegato. Sul piano formale l'Istituto è risultato in violazione degli articoli 5, paragrafo 1, lettera a, 6 e 9 del Regolamento UE 2016/679, oltre che dell'articolo 2-ter del Codice privacy. L'esito è un ammonimento senza sanzione pecuniaria, motivato dalla buona fede, dal numero limitato di persone coinvolte e dall'aggiornamento immediato delle procedure interne con una nuova circolare.
Perchè le assenze diventano 'dati sulla salute'
Il punto più rilevante non è l'errore della pec, ma ciò che il Garante mette in cima al provvedimento: anche solo le assenze dal servizio per malattia, senza alcuna diagnosi esplicita, rientrano nella nozione di dati relativi alla salute dell'articolo 4, numero 15 del GDPR.
L'Autorità lo costruisce su una catena di precedenti che molti dirigenti scolastici ignorano. Il riferimento principale è la sentenza della Corte di Giustizia UE C-101/01 del 6 novembre 2003 (caso Lindqvist), che impone di leggere 'dati sulla salute' nel senso più ampio: tutto ciò che riguarda gli aspetti fisici e psichici della persona, comprese assenze e visite mediche, anche se la patologia non è citata. Su questa linea il Garante richiama sei propri provvedimenti tra il 2004 e il 2024 e altre due sentenze CGUE recenti, fra cui Vyriausioji tarnybins etikos komisija (C-184/20, 2022) e Krankenversicherung Nordrhein (C-667/21, 2023).
Tradotto in pratica: nel momento in cui un riscontro a un reclamo cita date di ricovero, periodi di assenza o richieste di visita medico collegiale, è già un trattamento di categorie particolari di dati. Non serve scrivere 'patologia X'. Le linee guida del Garante sui dati dei dipendenti pubblici lo dicevano fin dal 14 giugno 2007 (provvedimento n. 23): chi tratta dati di lavoratori della scuola deve usare la stessa cautela richiesta per una cartella clinica.
Cosa cambia in segreteria
Per dirigenti scolastici, segreterie e DSGA il provvedimento si traduce in tre indicazioni operative. La prima: ogni reclamo, anche se arriva incolonnato dallo stesso sindacato con una pec unica, va riscontrato con un protocollo separato per ciascuna persona. La seconda: il principio di minimizzazione si applica anche al testo della risposta, che non deve contenere informazioni sulla salute non strettamente necessarie a motivare la decisione contestata. La terza: la responsabilità non si scarica sul sindacato. Sostenere che 'avrebbero potuto inserire gli omissis' non è una difesa valida davanti all'Autorità.
Il quadro complessivo della privacy a scuola è già da tempo sotto la lente del Garante, come ricordano le indicazioni ministeriali sul trattamento dei dati degli studenti e l'articolo 96 del Codice privacy. La scelta tra una pec cumulativa e due note separate vale, oggi, una formale apertura di istruttoria. Aggiornare la procedura prima del prossimo reclamo è la mossa meno costosa.
Resta agli atti il provvedimento integrale del 16 gennaio 2026, consultabile sul registro del Garante per la protezione dei dati personali, primo del nuovo anno e già un precedente operativo per tutte le scuole italiane.