Il Garante per la protezione dei dati personali ha deliberato il provvedimento n. 112 in data 26 febbraio, disponendo una sanzione amministrativa di 2.000 euro nei confronti di un istituto scolastico superiore. L’intervento dell’Autorità trae origine da un reclamo formale presentato da un ex docente dell’istituto, che aveva segnalato modalità di trattamento dei dati personali considerate non conformi alla disciplina vigente.
Il procedimento istruttorio si è concentrato su due specifiche condotte: la pubblicazione online di informazioni sul personale scolastico e l’utilizzo improprio di funzionalità del registro elettronico. L’esito del procedimento, reso noto il 26 maggio 2026, conferma la rilevanza delle violazioni accertate e l’obbligo per le istituzioni scolastiche di adottare modalità organizzative rispettose dei principi di protezione dei dati.
La pubblicazione degli orari dei docenti sul sito
L’istituto aveva reso disponibili sulla home page del proprio sito web gli orari di servizio del personale docente, comprensivi di nominativi completi, discipline insegnate e turni di sorveglianza durante la ricreazione. Chiunque navigasse il portale poteva così consultare, senza alcuna restrizione, informazioni dettagliate sull’attività lavorativa dei singoli insegnanti.
Il Garante ha rilevato che nessuna disposizione di legge impone alle scuole di diffondere pubblicamente tali dati. La motivazione addotta dall’istituto – garantire la «semplicità» di accesso alle informazioni per utenti poco pratici del registro elettronico – non costituisce una base giuridica idonea a giustificare la pubblicazione.
Il trattamento di dati personali richiede infatti un fondamento legittimo chiaro, che nel caso in esame risultava assente.
La decisione dell’Autorità ha richiamato i principi di correttezza e trasparenza previsti dalla normativa sulla protezione dei dati: pubblicare informazioni personali del personale in modalità aperta, senza una reale necessità né un obbligo normativo, viola la tutela riconosciuta ai lavoratori e configura una diffusione ingiustificata.
La bacheca del registro e la diffusione delle assenze
L’istituto ha utilizzato la funzione “Bacheca” del registro elettronico per comunicare assenze dei docenti e relative supplenze. Questa scelta operativa ha determinato la visibilità delle informazioni a un perimetro di utenti molto più ampio di quello necessario: non solo il personale autorizzato, ma anche studenti delle classi interessate, genitori e tutto il personale ATA (segreteria, collaboratori scolastici).
Il fornitore della piattaforma ha confermato che il sistema prevede un modulo dedicato per la gestione delle assenze, progettato per limitare l’accesso esclusivamente al dirigente scolastico e a poche figure designate. La bacheca, invece, per sua natura, consente la diffusione generalizzata dei contenuti pubblicati a tutti i destinatari abilitati.
L’uso improprio dello strumento ha trasformato una comunicazione interna, destinata a circolare tra responsabili del servizio, in una diffusione indiscriminata di dati personali dei dipendenti. Il Garante ha richiamato il principio di necessità: le informazioni relative al rapporto di lavoro non devono essere portate a conoscenza di soggetti estranei (genitori e studenti) né di colleghi che non hanno bisogno di tali dati per svolgere le proprie mansioni.
La piattaforma offriva canali riservati; la scelta della bacheca ha ampliato involontariamente il perimetro dei destinatari, violando i principi di limitazione della finalità e di minimizzazione dei dati.
Le giustificazioni della scuola e gli effetti
L’istituto ha riconosciuto gli errori, definendoli “tecnico-organizzativi” e di “essenzialmente accidentale”, legati a spiegazioni poco chiare ricevute all’adozione del software. La scuola ha precisato che la pubblicazione è durata al massimo quattro mesi e che, una volta rilevato il problema, ha rimosso prontamente i contenuti e corretto le modalità operative.
Il Garante ha valutato questi elementi come attenuanti: cooperazione durante l’istruttoria, intervento rapido e assenza di precedenti hanno portato a qualificare la violazione di gravità media. Per questo motivo, la sanzione è stata fissata a 2.000 euro, importo significativamente inferiore al massimo previsto dalla normativa, che può raggiungere i 20 milioni.
La vicenda evidenzia che la conformità alla privacy richiede scelte gestionali accurate: utilizzare canali non idonei per comunicazioni interne espone l’ente a responsabilità concrete, anche in assenza di intento lesivo.
