L'Istituto Comprensivo Statale Alghero 2 ha aperto il 2026 del Garante della privacy a scuola. Il provvedimento n. 1 del 16 gennaio sanziona la scuola sarda con un ammonimento formale per aver risposto a due reclami sindacali con un'unica nota allegata via pec, che ha fatto leggere alla collega ricoveri ospedalieri, assenze per motivi medici e una richiesta di visita medico collegiale di una docente.
Cosa ha detto l'Autorità
La dirigenza si era difesa parlando di economia procedurale: entrambi i reclami arrivavano dalla stessa sigla sindacale, con un'unica pec, e contestavano lo stesso decreto di assegnazione delle classi. L'idea era che spettasse al sindacato filtrare il testo prima di inoltrarlo alle docenti, inserendo gli omissis.
Il Garante boccia l'impianto. Il datore di lavoro pubblico deve garantire sempre comunicazioni individuali quando in gioco ci sono informazioni riservate dei dipendenti. L'onere di tutelare la riservatezza ricade esclusivamente sull'amministrazione, mai sul sindacato delegato. Sul piano formale l'Istituto è risultato in violazione degli articoli 5, paragrafo 1, lettera a, 6 e 9 del Regolamento UE 2016/679, oltre che dell'articolo 2-ter del Codice privacy. L'esito è un ammonimento senza sanzione pecuniaria, motivato dalla buona fede, dal numero limitato di persone coinvolte e dall'aggiornamento immediato delle procedure interne con una nuova circolare.
Perchè le assenze diventano 'dati sulla salute'
Il punto più rilevante non è l'errore della pec, ma ciò che il Garante mette in cima al provvedimento: anche solo le assenze dal servizio per malattia, senza alcuna diagnosi esplicita, rientrano nella nozione di dati relativi alla salute dell'articolo 4, numero 15 del GDPR.
L'Autorità lo costruisce su una catena di precedenti che molti dirigenti scolastici ignorano. Il riferimento principale è la sentenza della Corte di Giustizia UE C-101/01 del 6 novembre 2003 (caso Lindqvist), che impone di leggere 'dati sulla salute' nel senso più ampio: tutto ciò che riguarda gli aspetti fisici e psichici della persona, comprese assenze e visite mediche, anche se la patologia non è citata. Su questa linea il Garante richiama sei propri provvedimenti tra il 2004 e il 2024 e altre due sentenze CGUE recenti, fra cui Vyriausioji tarnybins etikos komisija (C-184/20, 2022) e Krankenversicherung Nordrhein (C-667/21, 2023).
Tradotto in pratica: nel momento in cui un riscontro a un reclamo cita date di ricovero, periodi di assenza o richieste di visita medico collegiale, è già un trattamento di categorie particolari di dati. Non serve scrivere 'patologia X'. Le linee guida del Garante sui dati dei dipendenti pubblici lo dicevano fin dal 14 giugno 2007 (provvedimento n. 23): chi tratta dati di lavoratori della scuola deve usare la stessa cautela richiesta per una cartella clinica.
Cosa cambia in segreteria
Per dirigenti scolastici, segreterie e DSGA il provvedimento si traduce in tre indicazioni operative. La prima: ogni reclamo, anche se arriva incolonnato dallo stesso sindacato con una pec unica, va riscontrato con un protocollo separato per ciascuna persona. La seconda: il principio di minimizzazione si applica anche al testo della risposta, che non deve contenere informazioni sulla salute non strettamente necessarie a motivare la decisione contestata. La terza: la responsabilità non si scarica sul sindacato. Sostenere che 'avrebbero potuto inserire gli omissis' non è una difesa valida davanti all'Autorità.
Il quadro complessivo della privacy a scuola è già da tempo sotto la lente del Garante, come ricordano le indicazioni ministeriali sul trattamento dei dati degli studenti e l'articolo 96 del Codice privacy. La scelta tra una pec cumulativa e due note separate vale, oggi, una formale apertura di istruttoria. Aggiornare la procedura prima del prossimo reclamo è la mossa meno costosa.
Resta agli atti il provvedimento integrale del 16 gennaio 2026, consultabile sul registro del Garante per la protezione dei dati personali, primo del nuovo anno e già un precedente operativo per tutte le scuole italiane.
Domande frequenti
Perché la scuola sarda è stata ammonita dal Garante della privacy?
La scuola è stata ammonita perché ha inviato a un sindacato una comunicazione unica contenente dati sanitari di più docenti, violando la riservatezza prevista dal GDPR e dal Codice privacy.
Cosa si intende per 'dati relativi alla salute' secondo il Garante?
Secondo il Garante, anche semplici assenze per malattia, senza diagnosi esplicite, sono considerate dati relativi alla salute, poiché riguardano aspetti fisici e psichici della persona.
Qual è la responsabilità dell’amministrazione nella tutela della privacy dei dipendenti?
L’onere di garantire la riservatezza delle informazioni sensibili dei dipendenti ricade sempre sull’amministrazione, che deve adottare comunicazioni individuali e non può delegare questa responsabilità al sindacato.
Quali sono le principali indicazioni operative emerse dal provvedimento per le scuole?
Le scuole devono rispondere ai reclami con comunicazioni separate per ciascuna persona, minimizzare le informazioni sulla salute nelle risposte e non delegare la tutela della privacy al sindacato.
Che impatto ha questo provvedimento sulle procedure delle segreterie scolastiche?
Le segreterie devono aggiornare le proprie procedure per assicurare la gestione individuale dei dati sensibili e garantire il rispetto della privacy nelle comunicazioni, riducendo il rischio di violazioni.
Dove è possibile consultare il provvedimento integrale del Garante?
Il provvedimento integrale del 16 gennaio 2026 è consultabile sul registro del Garante per la protezione dei dati personali.
