Circolare contenente i dati di 51 alunni con disabilità pubblicata sul sito della scuola: il Garante Privacy sanziona un istituto di Catania
Una svista procedurale e un errore tecnico nella gestione del sito web sono costati cari ad un Istituto Tecnico Industriale Statale di Catania. Il Garante per la protezione dei dati personali, con un provvedimento datato 29 gennaio 2026, ha inflitto alla scuola una sanzione di 10.000 euro per aver diffuso online i nominativi di 51 studenti con disabilità.
Una circolare di troppo
La vicenda è scaturita dal reclamo di una madre che ha segnalato la presenza sul sito istituzionale della scuola di una circolare liberamente accessibile e indicizzata dai motori di ricerca. Il documento conteneva un elenco dettagliato: nomi e cognomi di 51 alunni, le loro classi di appartenenza e gli orari di convocazione dei Gruppi di Lavoro Operativo per l’inclusione scolastica (GLO), associati ai rispettivi insegnanti di sostegno.
Dall’istruttoria è emerso che l’incidente è nato da un “equivoco” interno. La referente per l’orario aveva predisposto il calendario degli incontri utilizzando un format che riportava la dicitura “al sito web”. Nonostante un tentativo tardivo di bloccare la pubblicazione, l’addetto al sito, tratto in inganno dalla dicitura, aveva già messo il file online.
Circolare indicizzata anche se rimossa
Un aspetto particolarmente rilevante dell’indagine riguarda la persistenza dei dati online. Sebbene la scuola avesse rimosso la circolare dalla sezione visibile del sito dopo pochi giorni, il file PDF è rimasto archiviato nell’area “media” della piattaforma. Questo ha permesso ai motori di ricerca come Google di continuare a indicizzare il documento, rendendolo rintracciabile tramite ricerca specifica fino alla presentazione del reclamo.
L’Istituto ha giustificato l’accaduto come un errore materiale dovuto a una comunicazione interna incompleta e a una scarsa conoscenza del sistema tecnico, che non elimina automaticamente i file allegati quando viene rimossa la pagina web che li ospita.
La posizione del Garante
Il Garante ha ribadito i principi fondamentali in materia di protezione dei dati.
In primo luogo, le informazioni relative alla convocazione di un GLO sono considerate a tutti gli effetti dati relativi alla salute, poiché rivelano implicitamente la condizione di disabilità dell’alunno. Tali dati, per legge, non possono essere diffusi e la loro comunicazione deve essere limitata esclusivamente ai soggetti coinvolti nel percorso terapeutico e formativo (genitori, docenti della classe e personale sanitario).
Inoltre, l’Autorità ha sottolineato che la responsabilità ricade sempre sull’ente (il titolare del trattamento) e non sul singolo dipendente. La particolare vulnerabilità dei minori coinvolti ha ulteriormente aggravato la posizione della scuola.
La sanzione
Nonostante la gravità della violazione, che avrebbe potuto comportare sanzioni teoriche fino a 20 milioni di euro, il Garante ha quantificato la multa in 10.000 euro. Sono state infatti riconosciute diverse attenuanti:
- La rimozione tempestiva della circolare una volta rilevato l’errore.
- L’assenza di precedenti violazioni a carico dell’Istituto.
- La piena collaborazione mostrata dalla scuola durante l’istruttoria.
- Le misure correttive adottate, come la revisione dei format delle circolari e l’organizzazione di corsi di formazione sulla privacy per il personale.
Il provvedimento è stato inserito nel registro interno delle autorità e pubblicato sul sito del Garante come sanzione accessoria.