Un istituto tecnico di Correggio, in provincia di Reggio Emilia, ha ricevuto una multa da 2.000 euro dal Garante privacy. Il provvedimento n. 112 del 26 febbraio 2026 ha sanzionato l'Istituto Tecnico Statale Luigi Einaudi per due pratiche diffuse tra le scuole italiane: la pubblicazione degli orari dei docenti sulla home page del sito istituzionale e la configurazione del registro elettronico ClasseViva che rendeva visibili le assenze di un docente all'intera comunità scolastica, genitori e studenti compresi.
Gli orari sul sito: la base giuridica mancante
Nella home page del sito einaudicorreggio.edu.it erano pubblicati gli orari di servizio dei docenti: cognome, iniziale del nome, materia insegnata e turni di sorveglianza durante la ricreazione. La scuola si è difesa sostenendo che la pubblicazione serviva a garantire la continuità didattica e non riguardava dati sensibili come quelli sanitari. Il Garante non ha accettato la difesa. Per diffondere dati personali su un sito web pubblico serve una base giuridica specifica. Nessuna norma vigente impone alle scuole di pubblicare nominativamente gli orari dei docenti su internet. In assenza di quella norma, la pubblicazione è illegittima, qualunque sia la finalità perseguita.
La differenza tra pubblicazione sul sito e accesso nel registro elettronico non è tecnica ma giuridica. Un orario nel registro, accessibile con credenziali personali, rispetta il principio di minimizzazione dei dati. Lo stesso orario sulla home page, visibile a chiunque senza autenticazione, lo viola. Rimuovere la sezione dal sito non impedisce alle famiglie di consultare gli orari: cambia solo lo strumento, sostituendo la diffusione aperta con un accesso controllato.
ClasseViva Spaggiari: le assenze visibili ai profili sbagliati
Il secondo addebito riguarda il registro elettronico ClasseViva di Spaggiari. Le assenze del docente reclamante non erano visibili solo al personale autorizzato al loro trattamento, ma anche a tutti i colleghi docenti, agli studenti, alle famiglie e al personale ATA in modo indistinto, compresi collaboratori scolastici e personale di segreteria. Per il Garante, la visibilità delle assenze del personale deve essere circoscritta esclusivamente a chi, per le proprie mansioni, ha effettiva necessità di accedere a quelle informazioni. Non basta che l'accesso avvenga tramite login: il profilo utente deve essere configurato in modo che ciascun attore veda solo i dati di propria competenza.
ClasseViva e gli altri principali registri elettronici offrono profili differenziati: famiglia, studente, docente, ATA, segreteria, dirigenza. La responsabilità della configurazione non è del fornitore della piattaforma ma della scuola, che agisce come titolare del trattamento ai sensi del GDPR. Se un genitore o uno studente può verificare quante assenze ha accumulato un determinato docente nel corso del mese, la scuola ha una violazione documentabile. L'anomalia non dipende da un bug del software: dipende da come la scuola ha impostato le autorizzazioni di accesso.
Cosa devono cambiare le scuole dopo questo provvedimento
Quando il Garante privacy sanziona una scuola per la configurazione del registro elettronico, il provvedimento vale come indicazione per tutti gli istituti che usano sistemi analoghi. Le scuole dovrebbero verificare due cose. Prima: cosa è pubblicato sul sito istituzionale riguardo al personale docente. Gli orari nominativi vanno rimossi o sostituiti con versioni che non permettano di identificare il singolo docente, a meno di non poter indicare una norma specifica che ne imponga la pubblicazione. Le scuole hanno obblighi di trasparenza su altre voci - come la rilevazione dei contratti per viaggi d'istruzione con importi superiori a 140.000 euro - ma gli orari dei singoli docenti non rientrano tra i dati soggetti a pubblicazione obbligatoria.
Seconda verifica: i profili di accesso nel registro elettronico. Il DPO (responsabile per la protezione dei dati), che ogni scuola pubblica è tenuta a nominare, dovrebbe controllare almeno una volta per anno scolastico che i profili famiglia, studente e ATA generico non abbiano accesso alle assenze del personale docente. Per le scuole che gestiscono docenti con funzioni aggiuntive come tutor e orientatori, la verifica è ancora più urgente: più ruoli attivi nel sistema significa più profili di accesso da controllare e maggiore rischio di visibilità non autorizzata.
I 2.000 euro di sanzione sono contenuti rispetto ai massimali previsti dal GDPR, ridotti grazie alla collaborazione dimostrata dall'istituto durante il procedimento. Il testo integrale è disponibile nel provvedimento n. 112 del 26 febbraio 2026 sul sito del Garante per la protezione dei dati personali. Le scuole che si riconoscono nelle situazioni descritte possono usarlo come riferimento per adeguare le proprie configurazioni prima che arrivi un reclamo.