Ascolta le ultime notizie
Privacy a scuola, il Garante sanziona un istituto: pubblicati online dati sanitari di un alunno in istruzione domiciliare
Il Garante per la protezione dei dati personali ha sanzionato un Istituto Comprensivo per aver pubblicato sul proprio sito una circolare contenente informazioni riconducibili allo stato di salute di un alunno minorenne.
Il documento, relativo a un “Avviso di selezione per il personale docente” per l’istruzione domiciliare, riportava le iniziali dello studente, il riferimento alla presenza di documentazione medica e l’indicazione della classe frequentata. Elementi che, combinati tra loro, hanno reso il minore identificabile.
Il reclamo della madre e le verifiche
A far partire il procedimento è stato il reclamo della madre del ragazzo. Le verifiche dell’Autorità hanno accertato che la circolare era liberamente accessibile e scaricabile nella sezione pubblica del sito dell’istituto.
Secondo il Garante, la diffusione online di tali informazioni ha configurato un trattamento illecito di dati personali, in particolare dati relativi alla salute, soggetti a tutele rafforzate.
La difesa della scuola: “Errore in buona fede”
L’istituto ha sostenuto di aver agito nel rispetto delle norme, ritenendo necessario indicare la classe per garantire trasparenza nella selezione dei docenti e rispettare i criteri organizzativi dell’istruzione domiciliare.
Inoltre, la scuola ha evidenziato di aver utilizzato solo le iniziali dello studente proprio per tutelarne l’identità. Tuttavia, ha riconosciuto che la combinazione di informazioni ha reso possibile l’identificazione, soprattutto all’interno della comunità scolastica.
Il principio chiave: le iniziali non bastano
Il provvedimento ribadisce un punto centrale nella giurisprudenza privacy: le sole iniziali non garantiscono l’anonimato.
Se accompagnate da altri dati di contesto – come classe, situazione sanitaria o circostanze specifiche – possono permettere di risalire facilmente all’identità della persona, soprattutto in contesti ristretti come una scuola.
I dati sanitari non possono essere diffusi
Il Garante richiama esplicitamente il quadro normativo europeo, in particolare il Regolamento (UE) 2016/679, che vieta la diffusione dei dati relativi alla salute, salvo specifiche eccezioni che in questo caso non ricorrevano.
La pubblicazione online ha quindi rappresentato una violazione dei principi di:
- liceità e correttezza del trattamento
- minimizzazione dei dati
- tutela rafforzata per categorie particolari di dati
Ancora più grave, sottolinea l’Autorità, il fatto che il soggetto coinvolto fosse un minore, considerato particolarmente vulnerabile.
La decisione: sanzione da 4.000 euro
Alla luce delle violazioni accertate, il Garante ha inflitto all’istituto una sanzione amministrativa di 4.000 euro.
Nel determinare l’importo, l’Autorità ha tenuto conto di alcune attenuanti:
- la rimozione tempestiva della circolare
- l’assenza di precedenti violazioni
- la collaborazione dell’istituto
- l’impegno a migliorare le procedure interne
La scuola ha infatti annunciato misure correttive, tra cui formazione del personale e istituzione di un referente privacy.
Un richiamo per tutte le amministrazioni pubbliche
Il provvedimento rappresenta un ulteriore monito per le amministrazioni pubbliche: la trasparenza non può mai giustificare la diffusione indebita di dati personali, soprattutto quando riguardano la salute.
La pubblicazione online di atti amministrativi richiede un’attenta valutazione preventiva: ogni informazione non strettamente necessaria deve essere oscurata, per evitare rischi di identificazione.