Registrati
06.07.2026

Sanzioni agli istituti scolastici per violazione della privacy, quali atti ha riguardato? Tutti i dettagli nella Relazione del Garante

La Relazione del Garante della Privacy è particolarmente interessante anche per il dettaglio di analisi con cui presenta i casi di istituti scolastici sanzionati.

Il Garante, ovviamente, non specifica i nomi dei singoli istituti scolastici sanzionati, ma descrive le tipologie di scuole (asili, licei, istituti comprensivi) e i dettagli delle violazioni che hanno portato all’irrogazione di sanzioni pecuniarie o ammonimenti.

Nello specifico, le violazioni che hanno comportato sanzioni per gli istituti scolastici riguardano le seguenti tipologie di casi

Diffusione di foto e video di minori online

Un istituto scolastico è stato sanzionato con una multa pecuniaria per aver pubblicato sul proprio canale YouTube un video di auguri di Natale che ritraeva diversi studenti senza aver acquisito un consenso valido, informato ed esplicito. Un altro istituto è stato multato per aver incaricato un influencer di registrare un video promozionale all’interno della scuola. Il video, che ritraeva una studentessa (seppur di spalle), è stato pubblicato sui profili social dell’influencer senza che vi fosse una base giuridica idonea e senza la nomina dell’influencer quale responsabile del trattamento. Un asilo (operante come soggetto sia pubblico che privato) è stato sanzionato con un provvedimento sanzionatorio e prescrittivo per aver pubblicato sul proprio sito web e sul profilo Google Maps numerose immagini di minori in momenti particolarmente delicati (mentre dormivano, a mensa o durante l’igiene personale e il cambio pannolino).

Uso illecito di sistemi di videosorveglianza

Lo stesso asilo sopra menzionato è stato multato anche per aver installato e attivato telecamere di videosorveglianza in aree interne sensibili (come refettorio, bagni, zona riposo e guardaroba) riprendendo i bambini e il personale scolastico senza una previa valutazione di impatto (DPIA) e determinando un monitoraggio a distanza dei dipendenti. Un comune, gestore di un nido e la collegata cooperativa sociale sono stati sanzionati per aver allegato e inviato via e-mail a terzi, in occasione di uno sciopero, un file Excel contenente patologie, disabilità e assegnazione degli insegnanti di sostegno di numerosi alunni.

Mailing list e comunicazioni con dati visibili a terzi

Una scuola è stata sanzionata con una sanzione amministrativa pecuniaria per aver inviato una e-mail istituzionale riguardante gli adempimenti vaccinali degli alunni lasciando in chiaro gli indirizzi dei 37 destinatari. In questo modo ha rivelato illecitamente a terzi informazioni sensibili sullo stato di salute e sulle inadempienze vaccinali dei figli di altri genitori. Un altro istituto è stato sanzionato per aver pubblicato sul proprio sito web istituzionale una circolare di convocazione del consiglio di classe straordinario per un procedimento disciplinare contro un alunno: sebbene il nome fosse oscurato nel testo, il cognome del minore era visibile nella denominazione del file allegato consultabile online.

Mancata protezione dei dati dei lavoratori e dei candidati

Un liceo è stato multato per aver trasmesso i curriculum dei docenti candidati a una selezione interna a quarantaquattro famiglie di studenti a rischio abbandono scolastico affinché potessero scegliere il docente preferito. Un altro istituto è stato sanzionato con una sanzione pecuniaria per aver registrato nel protocollo informatico ordinario (rendendolo visibile a personale non autorizzato di altri uffici) un ricorso relativo alla rettifica del periodo di comporto di un dipendente, contenente dati sensibili sulla salute e sulla controversia lavorativa. E ancora, un istituto è stato sanzionato per la pubblicazione sul proprio sito web di una graduatoria contenente indirizzi privati e numeri di telefono dei candidati, rimasta poi indicizzata sui motori di ricerca e raggiungibile anche su siti esterni.

Omessa o ritardata nomina del RPD

Da ultimo un istituto scolastico ha ricevuto una sanzione pecuniaria per aver nominato il nuovo Responsabile della protezione dei dati (RPD) e averne comunicato i dati al Garante con un notevole ritardo rispetto alla cessazione del precedente incarico.

La scuola coinvolta nel caso della circolare con il cognome del minore nel file è stata inoltre sanzionata anche per non aver provveduto a nominare per un certo periodo il RPD e per non averne comunicato i dati di contatto all’Autorità.

Come si vede si tratta di casi molto specifici che segnalano tuttavia la necessità, da parte delle scuole, di porre particolare attenzione anche a piccoli dettagli (come il caso del nome del file) che possono comportare diffusione di dati sensibili.

Analisi di dettaglio di 19 sanzioni

Nella tabella che segue abbiamo riportato 19 provvedimenti del Garante con descrizione della violazione e le azioni correttive e le note riprese dalla relazione annuale.

Lo scopo è proprio quello di favorire la assunzione di consapevolezza, da parte delle scuole, dei molti modi con cui, per sbadataggine, scarsa formazione, errori tecnici si rischia di non rispettare il GDPR e quindi di incorrere in sanzioni da parte del Garante.

 REGISTRO SANZIONI E PROVVEDIMENTI GARANTE PRIVACY (AMBITO SCOLASTICO) – Relazione Annuale 2025 del Garante per la Protezione dei Dati Personali (Capitolo 4.3)  
 Tipologia violazioneDescrizione della violazione e dettagli del casoProvvedimento del GaranteNote / Azioni correttive
1Pubblicazione immagini sensibili online e videosorveglianza illecitaPubblicazione di foto di minori in contesti delicati (sonno, mensa, igiene, cambio) su sito web e Google Maps; installazione telecamere in aree interne sensibili senza DPIA; nomina RPD in conflitto di interessi.Sanzione Pecuniaria e PrescrittivaL’asilo deve conformarsi alle prescrizioni relative all’RPD e rimuovere le telecamere interne non autorizzate.
2Comunicazione illecita a terzi (Dati sanitari)Inoltro accidentale via e-mail di file Excel contenenti elenchi con patologie, disabilità e docenti di sostegno di minori a 53 genitori di una scuola d’infanzia comunale.Sanzione PecuniariaL’errore è stato commesso materialmente da una collaboratrice scolastica nell’inoltro della comunicazione su uno sciopero.
3Comunicazione illecita a terzi (Dati sanitari)Invio al Comune di dati sanitari sensibili di minori (patologie e disabilità) non pertinenti rispetto all’oggetto della comunicazione dello sciopero, agendo in violazione delle istruzioni del titolare.Sanzione PecuniariaLa cooperativa ha violato l’art. 28 del RGPD inviando dati eccedenti rispetto alla finalità organizzativa dello sciopero.
4Comunicazione illecita dati candidatiTrasmissione dei curriculum dei docenti candidati a selezione interna a 44 famiglie di studenti a rischio abbandono scolastico affinché potessero scegliere il docente.Sanzione PecuniariaLa diffusione dei CV viola il principio di non discriminazione e l’accesso paritario alle procedure nel pubblico impiego.
5Trattamento illecito dipendenti e riscontro tardivoReset password e mantenimento attivo dell’account e-mail di un ex docente per 2 anni senza informare i mittenti; pubblicazione online di parere endoprocedimentale non previsto; riscontro tardivo a istanze di accesso.Sanzione PecuniariaMantenimento attivo dell’account individuale senza reindirizzamento o avviso automatico violando la privacy dell’ex dipendente.
6Diffusione immagini minori onlinePubblicazione sul proprio canale YouTube istituzionale di un video di auguri di Natale con immagini di studenti senza aver acquisito un consenso specifico, esplicito e valido.Sanzione PecuniariaIl modulo di iscrizione generico non conteneva un flag esplicito per l’autorizzazione alla pubblicazione su canali social esterni.
7Diffusione immagini minori promozionaleIncarico a un influencer di girare un video promozionale che ritraeva un’alunna (di spalle) al pianoforte, pubblicato sui social dell’influencer senza base giuridica o nomina a responsabile.Sanzione PecuniariaLa scuola ha omesso la nomina a responsabile ex art. 28. Il consenso dei genitori non includeva la promozione commerciale.
8Diffusione circolare disciplinare onlinePubblicazione sul sito istituzionale di una circolare riguardante un procedimento disciplinare contro un alunno; sebbene anonimizzata nel testo, il cognome dell’alunno era presente nel nome del file allegato.Sanzione PecuniariaLa sanzione include anche l’omessa nomina e comunicazione dell’RPD all’Autorità per un determinato periodo di tempo.
9Mailing list con indirizzi in chiaroInvio di e-mail istituzionale su adempimenti vaccinali lasciando in chiaro gli indirizzi di 37 destinatari, svelando indirettamente l’inadempienza vaccinale dei rispettivi figli.Sanzione PecuniariaLa mailing list in chiaro ha rivelato dati sensibili relativi allo stato vaccinale dei minori ad altri genitori della classe.
10Diffusione graduatoria onlinePubblicazione sul sito web di una graduatoria contenente indirizzi privati e numeri di telefono dei candidati, rimasta indicizzata su motori di ricerca; mancato riscontro a istanza di cancellazione.Sanzione PecuniariaLa scuola ha rimosso la graduatoria a seguito del reclamo, ma è rimasta a lungo visibile su motori di ricerca esterni.
11Protocollo informatico ordinario e dati sensibiliInserimento nel protocollo ordinario (visibile a personale non autorizzato) di un ricorso dipendente con dati su gravi patologie e controversia di lavoro; tardiva informativa e istruzioni ai dipendenti.Sanzione PecuniariaNecessità di implementare un sistema di autorizzazioni selettive sulla bacheca del protocollo informatico per dati sensibili.
12Diffusione circolare convocazione GLOCircolare di convocazione del GLO (Gruppo di Lavoro Operativo per l’inclusione), contenente riferimenti a più alunni con disabilità, pubblicata direttamente sul sito istituzionale.Sanzione PecuniariaI dati sanitari degli alunni con disabilità meritano massima tutela e non possono essere diffusi sui canali pubblici.
13Invio convocazione GLO a soggetto estraneoInvio della convocazione del GLO contenente il nominativo dell’alunno con disabilità a un indirizzo e-mail di un soggetto completamente estraneo alla comunità scolastica.AmmonimentoL’invio accidentale a terzi costituisce una comunicazione illecita di dati sanitari del minore, sebbene dovuta a mero errore.
14GLO e PEI su registro elettronicoConvocazione del GLO con esplicito riferimento al PEI (Piano Educativo Individualizzato) resa accessibile sulla bacheca del registro elettronico a tutti i genitori della classe.AmmonimentoI dati relativi al PEI rivelano informazioni sullo stato di salute degli alunni e non devono essere visibili a soggetti non autorizzati.
15PEI caricato su registro elettronicoDocente mette a disposizione il PEI di un alunno disabile sul registro elettronico visibile a tutti; uno screenshot viene poi inoltrato da un genitore nella chat di classe.AmmonimentoIl Garante ha evidenziato che la chat di classe su WhatsApp è gestita da privati e non ricade sotto la responsabilità della scuola.
16Richieste colloqui su piattaforma pubblicaMessa a disposizione su piattaforma scolastica visibile a tutti i genitori di messaggi con cui si richiedevano colloqui urgenti indicando nominativamente tre alunni.AmmonimentoLe comunicazioni visibili a tutti i genitori non devono riportare nominativi legati a specifiche problematiche degli studenti.
17Nota vicende personali su piattaformaMessa a disposizione su piattaforma visibile a tutti i genitori di una nota contenente informazioni sensibili riguardanti vicende personali e familiari di un alunno.AmmonimentoLa pubblicazione ha esposto dati intimi del minore alla vista della comunità di classe senza idonea base giuridica.
18Messaggi area pubblica piattaformaMessa a disposizione nell’area pubblica della piattaforma scolastica di messaggi indirizzati a un genitore con informazioni personali relative al figlio.AmmonimentoI messaggi individuali devono essere instradati su canali privati e non in bacheche pubbliche della piattaforma.
19Ritardo nomina e notifica RPDNomina del nuovo Responsabile della Protezione dei Dati (RPD) ed effettuazione della comunicazione all’Autorità con notevole ritardo rispetto alla cessazione del precedente.Sanzione PecuniariaLa nomina tempestiva del RPD è un obbligo di accountability primario per tutti i soggetti pubblici ex art. 37 RGPD.

In sintesi: 13 sanzioni pecuniarie e 6 ammonimenti.

Non sei ancora un utente TS+?

Registrati gratuitamente in pochi passi per ricevere notifiche personalizzate e newsletter dedicate