Un istituto comprensivo ha ricevuto una sanzione di 4.000 euro dal Garante per la protezione dei dati personali per aver pubblicato sul sito web scolastico una circolare relativa all'istruzione domiciliare. Il provvedimento del 29 aprile 2026 riafferma un principio esplicito: le sole iniziali non anonimizzano un alunno quando altri dati contestuali ne rendono possibile l'identificazione.
Tre elementi che rendevano identificabile lo studente
La circolare era pubblicata nell'area pubblica del sito istituzionale, nella sezione circolari. Conteneva un avviso di selezione per docenti destinati ad affiancare lo studente durante il periodo di assenza da scuola. Tre elementi, combinati, rendevano il soggetto riconoscibile senza bisogno del nome per esteso: le iniziali del nome e del cognome, l'indicazione della classe frequentata e il riferimento alla presenza di documentazione medica agli atti. La selezione era rivolta in via prioritaria ai docenti già assegnati a quella classe, aggiungendo un quarto elemento identificativo.
La madre dell'alunno aveva presentato reclamo. L'istituto si era difeso sostenendo che compagni e docenti fossero già a conoscenza dell'assenza prolungata dello studente e che la pubblicazione rispondesse a esigenze organizzative legittime. Il Garante ha respinto entrambi gli argomenti: la conoscenza circoscritta a un contesto chiuso - la classe, la sala docenti - non equivale ad autorizzare la pubblicazione di quella stessa informazione su una pagina web accessibile a chiunque, senza limiti di tempo né di utenza.
Le FAQ del Garante lo vietano espressamente
Le linee guida sulla privacy nelle scuole sono pubbliche e accessibili a chiunque. La FAQ numero 6 stabilisce che i dati relativi alla salute non possono essere diffusi, citando espressamente il caso di una circolare online con i nomi di studenti con patologie o diete differenziate per ragioni sanitarie. La FAQ numero 7 precisa che nelle circolari o comunicazioni non rivolte a destinatari specifici non possono comparire dati che rendano identificabili gli alunni coinvolti in vicende delicate. Il caso del 29 aprile 2026 rientra esattamente in entrambe le casistiche.
La scuola ha riconosciuto un'errata interpretazione della normativa e ha citato difficoltà organizzative legate a frequenti avvicendamenti nella dirigenza e nella segreteria. Il Garante ha tenuto conto di questi fattori come attenuanti nel calcolo della sanzione, insieme alla rimozione tempestiva della circolare e alla collaborazione durante l'istruttoria. Il risultato è comunque di 4.000 euro, perché i dati coinvolti riguardano la salute di un minore: categoria che il GDPR tutela con il massimo livello di protezione. Diffondere dati sanitari di un alunno non è una valutazione discrezionale rimessa alla scuola: è un divieto esplicito del Regolamento europeo e del Codice privacy italiano.
Come le segreterie scolastiche possono evitare la multa
Per le scuole che devono attivare percorsi di istruzione domiciliare la regola operativa è chiara. L'avviso di selezione dei docenti può essere pubblicato sul sito, ma deve essere privo di qualsiasi elemento identificativo: niente iniziali, niente indicazione della classe specifica del plesso, niente menzione di documentazione medica. Il documento può specificare che si ricerca un docente per un percorso di istruzione domiciliare, con le materie richieste e i requisiti necessari, senza aggiungere altro. I docenti già assegnati alla classe dell'alunno possono essere contattati in modo diretto e riservato, senza che questa informazione finisca in un documento pubblico.
Le segreterie scolastiche gestiscono ogni giorno comunicazioni che toccano dati sensibili degli alunni, spesso senza strumenti di aggiornamento adeguati. Le scuole affrontano oggi trasformazioni significative: dall'introduzione di strumenti di intelligenza artificiale nella didattica alle selezioni collegate ai nuovi concorsi di reclutamento docenti, ogni processo che tratta dati personali di studenti o candidati deve rispettare le stesse regole di base. La privacy non cambia con il cambio di procedura.
La scuola sanzionata ha comunicato l'intenzione di introdurre formazione specifica per il personale, nominare un referente privacy interno e istituire un gruppo di lavoro sulla conformità delle procedure amministrative. Il provvedimento del 29 aprile 2026 sarà pubblicato sul sito del Garante come misura aggiuntiva, motivata dalla natura dei dati coinvolti. In un sistema scolastico alle prese con pressioni normative e contrattuali crescenti, la gestione della privacy non può restare un adempimento residuale affidato al buon senso individuale del singolo ufficio.