Mail contenenti informazioni sul PEI inviate a tutti i compagni di classe: il Garante Privacy ammonisce una scuola
Un errore materiale nella gestione delle comunicazioni digitali è costato un richiamo ufficiale dal Garante per la protezione dei dati personali ad un Istituto superiore. Con un provvedimento datato 29 gennaio 2026, l’Autorità ha dichiarato illecita la condotta della scuola in merito al trattamento dei dati personali dei propri studenti.
Mail inviate a destinatari errati
La vicenda trae origine da un reclamo presentato dai genitori di un alunno. Secondo quanto ricostruito dall’istruttoria, un’insegnante dell’istituto aveva inviato dal proprio indirizzo istituzionale tre e-mail riguardanti il PEI (Piano Educativo Individualizzato) del figlio dei reclamanti. Il problema? Le comunicazioni, che includevano l’invito e l’annullamento dell’incontro, non sono state recapitate solo ai diretti interessati, ma sono finite nelle caselle di posta elettronica di tutti i compagni di classe dell’alunno.
Oltre a questo episodio, alla scuola è stato contestato l’invio a tutti i genitori di una classe di un elenco degli alunni completo di nomi, cognomi e date di nascita, queste ultime ritenute dal Garante del tutto eccedenti rispetto alle finalità organizzative della scuola.
La difesa della scuola: “Errore in buona fede”
L’Istituto ha cercato di giustificare l’accaduto parlando di un “mero errore materiale non intenzionale” dovuto a una selezione errata dei destinatari e all’automatismo del software di gestione, che estrapolava i dati completi delle date di nascita. La difesa ha inoltre sostenuto che la condizione di disabilità dell’alunno fosse già nota a docenti e compagni, in quanto lo studente si avvaleva del docente di sostegno.
Tuttavia, il Garante è stato categorico: il riferimento al PEI rappresenta di per sé un’informazione relativa allo stato di salute. Inoltre, la presunta conoscenza pregressa della disabilità da parte della classe non giustifica la comunicazione ingiustificata di tali dati a terzi.
La decisione
Nonostante la gravità delle violazioni degli articoli 5, 6 e 9 del GDPR (Regolamento UE sulla privacy), l’Autorità ha deciso di qualificare il caso come una “violazione minore”.
Diversi fattori hanno spinto il Garante a una mano più leggera:
- La piena collaborazione prestata dalla scuola durante l’indagine.
- La natura accidentale dell’errore (buona fede).
- Le misure correttive immediate, come la richiesta ai gestori del software di generare elenchi minimizzati e l’avvio di percorsi di sensibilizzazione per il personale.
Invece di una pesante sanzione pecuniaria, il Garante ha dunque optato per un’ammonizione formale. Il provvedimento è stato ora annotato nel registro interno dell’Autorità e pubblicato sul sito ufficiale, fungendo da monito per tutte le istituzioni scolastiche sulla necessità di una gestione rigorosa e consapevole dei dati dei minori.