Dati sensibili su fogli riciclati, il Garante privacy sanziona un liceo romano

Un episodio apparentemente marginale, ma dalle implicazioni rilevanti sul piano della tutela dei dati personali, è finito sotto la lente del Garante per la protezione dei dati personali.

Protagonista della vicenda è il un Liceo di Roma, dove durante un’assemblea studentesca dedicata all’educazione sessuo-affettiva sono stati distribuiti fogli di carta riciclata contenenti dati sensibili.

In particolare, su quei fogli compariva la dicitura “Riepilogo alunni con disabilità” insieme al nome e cognome di una studentessa e all’indicazione “Disturbi specifici dell’apprendimento (DSA)”, informazione riconducibile allo stato di salute.

Il reclamo della famiglia

A segnalare l’accaduto è stato il padre della studentessa, tramite un reclamo formale. Secondo quanto ricostruito, i fogli sarebbero stati utilizzati come semplice carta di recupero e distribuiti agli studenti per scrivere domande durante l’incontro.

La famiglia ha però chiesto fin da subito di evitare indagini tra gli studenti, per non amplificare l’episodio e proteggere la riservatezza della ragazza.

Le spiegazioni dell’istituto

La scuola ha sostenuto di non aver avuto un ruolo diretto nella diffusione dei documenti, sottolineando come l’assemblea fosse autogestita dagli studenti.

Sono state avviate verifiche interne tra personale docente e amministrativo, senza però riuscire a individuare l’origine esatta dei fogli. Un collaboratore scolastico ha confermato di aver consegnato carta da riciclo agli studenti, ma senza sapere che contenesse dati sensibili.

L’istituto ha inoltre evidenziato di aver adottato misure per la protezione dei dati, tra cui sistemi di controllo delle stampe e procedure di distruzione dei documenti sensibili.

La valutazione del Garante: violazione accertata

Nonostante le giustificazioni, il Garante ha ritenuto che si sia verificata una comunicazione illecita di dati personali, anche relativi alla salute.

Due i punti chiave evidenziati dall’Autorità:

• Mancanza di base giuridica per la comunicazione dei dati
• Inadeguate misure di sicurezza, che hanno consentito la circolazione incontrollata di documenti sensibili

Anche se la diffusione è rimasta limitata a un numero ristretto di studenti, ciò non esclude la violazione: la semplice “conoscibilità” dei dati da parte di terzi è sufficiente a configurare un illecito.

Il principio: responsabilità della scuola

Un passaggio centrale del provvedimento riguarda la responsabilità: il titolare del trattamento resta sempre l’istituzione nel suo complesso, anche se l’errore è riconducibile a singoli operatori o a negligenze interne.

Nel caso specifico, la scuola non ha potuto sottrarsi alle proprie responsabilità organizzative.

La sanzione

Il Garante ha quindi disposto una sanzione amministrativa di 2.000 euro.

L’importo, relativamente contenuto rispetto ai massimi previsti dal GDPR, tiene conto di diversi fattori attenuanti:

• coinvolgimento di un solo soggetto
• carattere colposo della violazione
• collaborazione dell’istituto con l’Autorità
• assenza di precedenti

Resta però la gravità legata alla natura dei dati trattati, appartenenti a categorie particolari (salute).

Un monito per le scuole

Il caso rappresenta un richiamo importante per tutte le istituzioni scolastiche.

La gestione dei dati degli studenti, soprattutto quelli sensibili, richiede:

• controlli rigorosi sui documenti cartacei
• procedure chiare di smaltimento
• formazione del personale.

Anche un gesto banale, come riutilizzare fogli stampati, può trasformarsi in una violazione della privacy.

Privacy e minori: una tutela rafforzata

Il provvedimento ribadisce infine un principio fondamentale: i dati dei minori meritano una protezione rafforzata.

La loro maggiore vulnerabilità impone standard più elevati di sicurezza e attenzione, soprattutto in contesti come quello scolastico, dove la circolazione delle informazioni è quotidiana.