* Il caso: orari e assenze visibili a tutti * Il reclamo del docente e l'istruttoria del Garante * Perché la pubblicazione è stata ritenuta illecita * Registro elettronico e assenze: un nodo critico * La sanzione e le implicazioni per le scuole italiane * Cosa devono fare gli istituti scolastici
Il caso: orari e assenze visibili a tutti {#il-caso-orari-e-assenze-visibili-a-tutti}
Una multa da 2.000 euro. Non una cifra enorme, certo, ma sufficiente a lanciare un segnale inequivocabile a tutte le scuole italiane. Il Garante per la protezione dei dati personali ha sanzionato un istituto tecnico per aver pubblicato online gli orari di servizio, i turni di vigilanza e le assenze dei propri docenti, informazioni che secondo l'Autorità costituiscono un trattamento illecito di dati personali.
La vicenda, che arriva in un momento in cui la digitalizzazione scolastica procede a ritmo sostenuto, pone interrogativi tutt'altro che banali. Fin dove può spingersi la trasparenza organizzativa di un istituto? E quando, invece, si sconfina nella violazione della privacy del personale?
Il reclamo del docente e l'istruttoria del Garante {#il-reclamo-del-docente-e-listruttoria-del-garante}
All'origine del provvedimento c'è il reclamo presentato da un docente dell'istituto, che ha segnalato al Garante la diffusione delle proprie informazioni personali attraverso due canali distinti: il sito web della scuola, dove erano pubblicati gli orari di servizio e i turni di vigilanza del personale, e il registro elettronico, tramite il quale studenti e genitori potevano visualizzare le assenze degli insegnanti.
Stando a quanto emerge dal provvedimento, l'insegnante aveva inizialmente tentato di risolvere la questione internamente, rivolgendosi alla dirigenza scolastica. Non avendo ottenuto riscontro adeguato, ha deciso di rivolgersi direttamente all'Autorità garante. Un passaggio che si è rivelato decisivo.
L'istruttoria ha confermato le contestazioni del docente. L'istituto non è riuscito a dimostrare l'esistenza di una base giuridica valida per giustificare la pubblicazione di quei dati in forma accessibile al pubblico o a soggetti non autorizzati.
Perché la pubblicazione è stata ritenuta illecita {#perche-la-pubblicazione-e-stata-ritenuta-illecita}
Il punto centrale della decisione risiede in un principio cardine del Regolamento europeo sulla protezione dei dati (GDPR): ogni trattamento di dati personali deve poggiare su una base giuridica chiara, e deve rispettare i criteri di necessità, proporzionalità e minimizzazione.
Rendere disponibili sul sito scolastico gli orari nominativi dei docenti e i relativi turni di vigilanza significa, di fatto, diffondere dati personali a un pubblico indeterminato. L'istituto avrebbe potuto organizzare il servizio interno senza esporre queste informazioni alla consultazione di chiunque navighi sul web.
La questione, peraltro, non è nuova. Già in passato il Garante aveva fornito indicazioni precise alle scuole attraverso il vademecum _"La scuola a prova di privacy"_, ribadendo che la pubblicazione online di dati relativi al personale deve avvenire solo quando espressamente prevista da una norma di legge o di regolamento, e nei limiti da essa stabiliti.
Registro elettronico e assenze: un nodo critico {#registro-elettronico-e-assenze-un-nodo-critico}
Particolarmente delicato il profilo relativo alle assenze dei docenti rese visibili tramite il registro elettronico. Questo strumento, ormai diffuso nella quasi totalità degli istituti italiani, nasce con una funzione precisa: documentare la frequenza degli studenti, le valutazioni, le comunicazioni scuola-famiglia. Non è pensato, né autorizzato, per veicolare informazioni sullo stato di presenza o assenza del personale docente a studenti e genitori.
Il Garante ha rilevato che rendere note le assenze dei docenti a soggetti estranei all'organizzazione scolastica interna, senza una specifica finalità istituzionale e senza idonea base giuridica, configura un trattamento eccedente e non conforme al principio di minimizzazione dei dati sancito dall'art. 5 del GDPR.
È un tema che tocca anche il rispetto della dignità professionale del docente. Sapere che la propria assenza viene esposta allo sguardo di centinaia di famiglie può generare pressioni indebite, giudizi sommari, dinamiche che nulla hanno a che fare con la corretta gestione del rapporto di lavoro. In un contesto in cui si discute di valorizzazione del ruolo dei docenti, episodi come questo rischiano di andare nella direzione opposta.
La sanzione e le implicazioni per le scuole italiane {#la-sanzione-e-le-implicazioni-per-le-scuole-italiane}
La multa di 2.000 euro è stata commisurata alla natura della violazione, alle dimensioni dell'istituto e alla circostanza che si trattava, con ogni probabilità, di una prassi consolidata più che di un atto deliberatamente lesivo. Il Garante ha comunque ordinato alla scuola di cessare immediatamente il trattamento illecito e di adeguare le proprie procedure.
Ma il vero peso del provvedimento va oltre i 2.000 euro. È un precedente che riguarda potenzialmente migliaia di istituti scolastici su tutto il territorio nazionale. Quante scuole, oggi, pubblicano sul proprio sito gli orari nominativi dei docenti? Quante rendono visibili le assenze del personale attraverso piattaforme digitali accessibili a studenti e famiglie? La risposta, con ogni probabilità, è: molte.
La normativa sulla privacy nelle scuole non vieta la gestione digitale delle informazioni organizzative. Vieta, piuttosto, che questa gestione avvenga senza un'adeguata valutazione d'impatto, senza il rispetto dei principi del GDPR e senza le necessarie cautele tecniche e organizzative.
Cosa devono fare gli istituti scolastici {#cosa-devono-fare-gli-istituti-scolastici}
Il provvedimento del Garante offre alcune indicazioni operative che ogni scuola dovrebbe prendere in seria considerazione:
* Verificare la base giuridica di ogni dato personale pubblicato sul sito web istituzionale, con particolare attenzione ai dati del personale * Limitare l'accesso alle informazioni organizzative (orari, turni, sostituzioni) ai soli soggetti che ne hanno effettivamente bisogno per ragioni di servizio * Configurare il registro elettronico in modo che le assenze dei docenti non siano visibili a studenti e genitori, a meno che non esista una specifica e documentata ragione per farlo * Aggiornare il registro dei trattamenti e, se necessario, condurre una valutazione d'impatto sulla protezione dei dati (DPIA) per i trattamenti che coinvolgono piattaforme digitali * Formare il personale, a partire dai dirigenti scolastici, sugli obblighi derivanti dal GDPR e dal Codice della privacy
La questione resta aperta, e non è difficile prevedere che il dibattito si intensificherà nei prossimi mesi. La digitalizzazione della scuola italiana, accelerata dalla pandemia e sostenuta dagli investimenti del PNRR, porta con sé opportunità enormi ma anche rischi concreti sul piano della protezione dei dati. Spetta alle scuole, con il supporto dei Responsabili della protezione dei dati (DPO) e delle indicazioni del Garante, trovare il giusto equilibrio tra efficienza organizzativa e rispetto dei diritti fondamentali di chi nella scuola lavora ogni giorno.