Privacy violata a scuola, dal PEI ai dati sullo stato di salute: i provvedimenti del Garante nella Relazione annuale 2024
Il 15 luglio, l’Autorità Garante per la protezione dei dati personali – composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – ha presentato la Relazione sull’attività svolta nel quinto anno di mandato del Collegio.
La Relazione illustra i diversi fronti su cui è stata impegnata l’Autorità nel corso del 2024. Tra questi molti provvedimeenti hanno interessato le istituzioni scolastiche. Ecco una sintesi dei principali.
Pubblicazione indebita di atti online contenenti dati del personale scolastico
Un istituto scolastico è stato sanzionato per aver pubblicato sul sito istituzionale numerose determinazioni dirigenziali relative alle assenze di una docente e di altro personale. Tali documenti contenevano dati personali divulgati senza base giuridica valida (Provv. 24 gennaio 2024, n. 35).
Comunicazione illecita di dati relativi alla salute attraverso le convocazioni del GLO
Il Garante ha sanzionato una scuola per aver diffuso a un numero eccessivo di destinatari le convocazioni delle riunioni del Gruppo di Lavoro per l’Inclusione (GLO), includendo le iniziali degli studenti coinvolti. È stato ribadito che tali informazioni, anche se apparentemente anonimizzate, rientrano nei dati sanitari e devono essere comunicate solo a soggetti legittimati (Provv. 27 novembre 2024, n. 728).
Divulgazione non autorizzata di PEI e uso scorretto delle mailing list
Una scuola è stata sanzionata per aver inviato a soggetti non autorizzati e-mail contenenti i Piani Educativi Individualizzati (PEI) di alunni con disabilità, rendendo noti i nominativi, le date degli incontri e gli indirizzi e-mail dei destinatari. Il Garante ha ribadito che il PEI contiene dati sanitari e deve essere trattato con la massima riservatezza (Provv. 12 dicembre 2024, n. 767).
Comunicazione illecita dello stato di salute (COVID-19) tramite registro elettronico
Un istituto scolastico ha ricevuto un ammonimento per aver comunicato a tutti i genitori di una classe, tramite registro elettronico, la positività al COVID-19 di un alunno, violando la disciplina sulla tutela dei dati sanitari (Provv. 4 luglio 2024, n. 403).
Raccolta illecita di dati personali nell’ambito di un progetto universitario
Un istituto scolastico è stato ammonito per aver somministrato test a minori nell’ambito di una ricerca universitaria, raccogliendo dati sulle competenze emotive e informazioni anche sulla vita sessuale dei bambini, senza designazione come responsabile del trattamento e senza una base giuridica adeguata. Inoltre, la pseudonimizzazione adottata non garantiva l’anonimato reale degli alunni. L’istituto ha violato anche il diritto di accesso ai dati richiesto dai genitori (Provv. 7 marzo 2024, n. 135).