Privacy a scuola, Garante ammonisce un istituto per la gestione dei dati degli alunni in un progetto di orientamento
In un recente provvedimento datato 13 novembre 2025, il Garante per la protezione dei dati personali ha fatto luce su una delicata questione riguardante il trattamento dei dati personali dei minori in ambito scolastico. La vicenda ha interessato un istituto comprensivo di Asti, finito sotto la lente dell’Autorità a seguito del reclamo della madre di un alunno.
Il caso: dati sensibili per il progetto di orientamento
Tutto ha avuto inizio quando una studentessa della Scuola Secondaria di I grado ha partecipato, durante l’orario scolastico, al progetto “Obiettivo Orientamento”, un’iniziativa della Regione Piemonte volta ad aiutare i giovani nelle scelte per il proprio futuro professionale.
Secondo quanto denunciato nel reclamo, l’Istituto avrebbe fornito a soggetti esterni dati personali completi (nomi, indirizzi, codici fiscali e numeri di telefono) di ogni ragazzo. Inoltre, durante il primo incontro, è stato somministrato agli alunni un questionario individuale volto a profilarne caratteristiche emotive e personali, il tutto senza che le famiglie fossero state preventivamente informate o avessero ricevuto un’informativa specifica sul trattamento dei dati.
La difesa della scuola: compito di interesse pubblico
L’Istituto ha cercato di difendere il proprio operato sostenendo che il titolare del trattamento fosse la Regione Piemonte e che la base giuridica non risiedesse nel consenso, bensì nell’esecuzione di un compito di interesse pubblico connesso all’orientamento degli studenti.
La scuola ha inoltre precisato di aver agito nell’ambito delle proprie finalità educative, comunicando alla Regione solo i dati ritenuti indispensabili per l’erogazione del servizio e richiamando la normativa sulla cooperazione tra soggetti pubblici. Secondo la difesa, l’informativa era stata comunque pubblicata sul sito istituzionale dell’Istituto.
La decisione del Garante: manca una base giuridica specifica
Nonostante le giustificazioni addotte, il Garante ha rilevato l’illiceità del trattamento. L’Autorità ha chiarito che, sebbene il trattamento di dati in ambito pubblico sia lecito per obblighi legali o compiti di interesse pubblico, tali operazioni devono essere espressamente previste da una norma di legge, di regolamento o da atti amministrativi generali.
Nel caso specifico, l’Istituto non ha fornito alcuna base giuridica idonea “per rango e qualità” a legittimare la comunicazione dei dati degli alunni alla Regione Piemonte. L’Autorità ha inoltre ribadito che i minori, data la loro vulnerabilità, meritano una protezione specifica, essendo spesso meno consapevoli dei rischi legati al trattamento dei propri dati.
Le conseguenze: ammonizione per “violazione minore”
Tuttavia, il Garante ha deciso di non infliggere una sanzione pecuniaria, qualificando l’accaduto come una “violazione minore”. Questa decisione è stata presa considerando che:
- L’Istituto ha agito nella convinzione che la comunicazione fosse legittima per finalità pubbliche.
- La scuola non ha effettuato ulteriori trattamenti sui questionari.
- Non risultavano precedenti violazioni a carico dell’istituto.
In conclusione, il Garante ha dichiarato l’illiceità della condotta e ha ammonito formalmente l’Istituto Comprensivo per la violazione degli articoli 5 e 6 del Regolamento UE (GDPR) e del Codice della Privacy italiano.